HELP, je suis infecté par TR/Vundo.Gen

Question

Bonjour,
d'après antivir, je suis infecté par TR/Vundo.Gen, pas moyen de s'en défaire, plusieurs fichiers sont infectés notamment C:\Windows\System32\yaywxUKc.dll

Si vous pouvez m'aider avant que je ne devienne dingue, je vous en serai très reconnaissant.
voici le rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:32:25, on 04/05/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\DellTPad\Apoint.exe
C:\Windows\OEM02Mon.exe
C:\Program Files\Sigmatel\C-Major Audio\WDM\sttray.exe
C:\Windows\System32undll32.exe
C:\Windows\System32undll32.exe
C:\Windows\System32undll32.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Dell\MediaDirect\PCMService.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
D:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
c:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
D:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrobat.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\WerCon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer fourni par Dell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O2 - BHO: (no name) - {EF72E28D-DBCA-4D8D-802D-BDBB31557C6A} - C:\Windows\system32\yaywxUKc.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: qtvglped - {0A1A0015-CF20-4AA1-B7BB-A33B81F8E478} - C:\Windows\qtvglped.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [OEM02Mon.exe] C:\Windows\OEM02Mon.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\sttray.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32
vHotkey.dll,Start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "c:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [DELL Webcam Manager] "C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe" /s
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [dscactivate] "C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "D:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32qRLcBtr.dll,#1
O4 - HKLM\..\Run: [fc478683] rundll32.exe "C:\Windows\system32\mgpsdkmd.dll",b
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [fkypwizj] C:\Windows\system32\uhurelet.exe
O4 - HKLM\..\Policies\Explorer\Run: [WT187C5vPx] C:\ProgramData\inypalyd\ifqpmbcd.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart17.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O4 - Global Startup: QuickSet.lnk = ?
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Envoyer l'&image au périphérique Bluetooth... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin
pjpi160.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin
pjpi160.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix: 
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Adobe Version Cue CS3 {fr_FR}  (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\system32\aestsrv.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satelliteaysat_3dsmax8server.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\STacSV.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

sKe69 · Accepted Answer

Salut,
Comme Le sioux l'avais proposer au départ , on vas fair ce-ci :
Télécharger ComboFix (par sUBs) sur le Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

Démarrer en mode sans echec : 
Comment aller en Mode sans échec 
1) Redémarres ton ordi 
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 

Double cliquer combofix.exe. 

Appuyer sur la touche Y (Yes) pour démarrer le scan 
Attention : n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 

Le rapport sera crée dans: C:\Combofix.txt 

(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreur ...)

Redémarre ton PC ( mode normal )
Postes le rapport combo fix et un nouveau rapport hijackthis pour analyse .

Dr_Jackal · Answer

Bonsoir, 
tu es allé sur ce site???
http://mickael.barroux.free.fr/securite/vundo.php

Regarde la partie "désinfection" ils expliquent comment l'enlever.

sKe69 · Answer

salut,
1-Désactiver le contrôle des comptes utilisateurs ou "UAC" (le réactiver à la fin de la désinfection) :
 
Aller dans démarrer puis panneau de configuration 
Double Cliquer sur l'icône "Comptes d'utilisateurs" 
Cliquer ensuite sur désactiver et valider. 

2-Télécharger Vundofix.exe (par Atribune) sur ton Bureau. 
http://www.atribune.org/ccount/click.php?id=4 

!!Ce déconnecter et fermer toute ces applications le temps de la manipe !!

Double-cliquer sur VundoFix.exe afin de le lancer. 
Cliquer sur le bouton Scan for Vundo. 

Lorsque le scan est complété, cliquer sur le bouton fix Vundo. 

Une invite de commande demandera si l’on souhaite supprimer les fichiers, cliquer sur YES 

Après avoir cliqué "YES", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
Une nouvelle invite de commande annoncera que le PC devra s'éteindre ("shutdown"). Cliquer sur OK , puis laisser le redémarrer. 

Le contenu du rapport est situé dans C:\vundofix.txt : postes ce rapport avec aussi un nouveau rapport Hijackthis pour annalyse .

BloodyAngel · Answer

Hello
une rapide recherche sur le net m'a conduit à ceci : 
http://www.clubic.com/telecharger-fiche67268-symantec-trojan-vundo-removal-tool.html
et ceci :
http://forum.telecharger.01net.com/forum/high-tech/ARCHIVE-L-ORDINATEUR-INDIVIDUEL/Tutoriels/virtumonde-errorsafe-winantivirus-sujet_15837_1.htm

Essaie toujours ça normalement ça devrait t'en débarasser (essaie d'abord le premier des deux)

---

Aides-toi et le ciel t'aidera...

Le sioux · Answer

Bonsoir tout le monde

Message supprimé en vue du nombre d'intervenants sur le même sujet.

Place aux plus réactifs ;)

Bonne fin de soirée.

jacques.gache · Answer

bonsoir utilise sdfix https://www.malekal.com/slenfbot-still-an-other-irc-bot/
et combofix: http://www.commentcamarche.net/faq/sujet 6862 supprimer le trojan vundo virtumonde#3eme methode combofix pour vista désactive l'UAC et pour le mode sans echec utilise la touche F8 au demarrage

sKe69 · Answer

Pour info jitof , précise bien avec qui tu veux suivre un protocole de désinfection, car là il y du monde :p
Et suivres plusieurs personnes sur des postes différents pour un même prb , c'est le meilleur moyen de se planter ...

A toi de choisir   ;)

sKe69 · Answer

ok ....
commence par suprimer ton hijackthis qui est ici : C:\Users\JC\Desktop\scanner.exe  il n'est pas tout à fait bien instalé ...
puis suis exactement la procédure :
1-Désactiver le contrôle des comptes utilisateurs ou "UAC" (le réactiver à la fin de la désinfection) : 

Aller dans démarrer puis panneau de configuration 
Double Cliquer sur l'icône "Comptes d'utilisateurs" 
Cliquer ensuite sur désactiver et valider. 

2-télécharges et instales le logiciel HijackThis : 
 
ftp://ftp.commentcamarche.com/download/HJTInstall.exe

* Important :
Faire un click droit sur le lien ci-dessus et choisir "enregistrer la cible sous ... " et renommer Hijackthis en "thejack" .

Cliker sur thejack.exe pour lancer l'instale . laisses toi guider et instale le à l'endroit par défaut ( C\: programme file \ ) .
A la fin tu doit avoir un raccouci sur ton bureau et aussi un cheminement comme : "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe " .

* Renommer le prg HijackThis : 
dans "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe", clik droit sur ce dernier et choisis "renommé" : tapes monjack et valide .

tuto pour l’utiliser 
regarde ici c'est parfaitement expliqué en images 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 

Déconnectes toi et fermes toute tes applications en cours .

Double clik sur le raccourci du bureau,
Fais un scan monjack (ou HijackThis renommé) et postes le rapport générer pour analyse ...

sKe69 · Answer

Télécharger VirtumundoBegone sur le bureau: 
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe 

Ce déconnecter et fermer toute ces applications le temps de la manipe .

Double cliquer sur VirtumundoBeGone.exe et suivre les instructions. 
Une fois terminé, redémarrer le PC, le rapport VBG.TXT sera crée sur le bureau , postes le. 
(Si un message Ecran bleu "Erreur fatale" apparaît, pas d’inquiétude car c'est normal et attendu). 

puis ensuite, fait un autre scan Hijack et postes le aussi .

jitof · Answer

j'ai voulu te répondre,
maintenant que je fais ce message, toutes les icônes du bureau ont disparues ainsi que la barre des taches et le bouton windows.
je n'ai plus accès à rien d'autre que cette page, impossible de rouvrir le rapport VBG ou même d'accéder au poste de travail. déjà le redémarrage a été difficile. il est resté bloqué sur une page noire avec juste la souris qui se baladait mais n'avait aucune action.
j'ai dû l'éteindre à la sauvage pour redémarer.
j'en suis là.
je ne sais pas si le message va partir ou si je vais pouvoir continuer quoi que ce soit après ça
dans tous les cas merci pour ton aide.
si jamais ça plante vraiment, je retournerait sur cette conversation au boulot demain.
jitof

BloodyAngel · Answer

Pour voir le poste de travail, essaie CTR+ALT+DEL, et quand le gestionnaire de tâches s'ouvre, va dans Fichier->Nouveau processus et lance explorer.exe

Le sioux · Answer

Hello

Si ton Bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter"
Tapes explorer et valides. Cela te fera apparaître ton Bureau

sKe69 · Answer

Si le prb persiste essaye ce-ci : 
une fois ton PC alumé, tapes sur les touches : "contrôle+alt+suppr" 
Choisis gestionnaire des tâches  : vas dans fichier et click sur "nouvelle tâche ( exécuter...)" . 
dans la nouvelle fenêtre qui s'ouvre tape exactement ce-ci : explorer.exe puis OK . 
Laisses toi guider et si il le faut redémarre ensuite ton PC .... 

cela devrai sans doute marcher pour récupéré ton bureau ...

sKe69 · Answer

Salut à tous ;)

jitof · Answer

je suis sous vista, les manips indiquées ne donnent rien
ni ctrl+shift+esc
jitof

Le sioux · Answer

Re

http://www.laboratoire-microsoft.org/tips-26480-gestionnaire-des-taches-vista-shortcut.html

Salut.

sKe69 · Answer

Essaye de télécharger ce qui suis et voir si il aparait su ton bureau :
Télécharge MalewareBit : ftp://ftp.commentcamarche.com/download/mbam-setup.exe

jacques.gache · Answer

bonsoir, as tu accés démarrer sur xp, bref essais une restauration système à une date et heure avant le problème comme expliqué http://www.libellules.ch/restauration_system_vista.php  "regarde le message 5 il y avait une autre méthode"

sKe69 · Answer

je croit que tu n'a pas le choix ... il faut éteindre proprement ton PC :
CTRL+ALT+SUPP ---> click sur le bouton d'arret en bas à gauche de ton écran .
essaye de redémarrer ton PC normalement ...

Et si cela ne marche pas essaye de redémarrer en mode sans échec:
Comment aller en Mode sans échec 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 

et réessaye de faire ce-ci :
tapes sur les touches : "contrôle+alt+suppr" 
Choisis gestionnaire des tâches : vas dans fichier et click sur "nouvelle tâche ( exécuter...)" . 
dans la nouvelle fenêtre qui s'ouvre tape exactement ce-ci : explorer.exe puis OK . 
Laisses toi guider et si il le faut redémarre ensuite ton PC ...

tiens nous au courrant ...

sKe69 · Answer

fait ce qui suis :
Télécharge MalewareBit : ftp://ftp.commentcamarche.com/download/mbam-setup.exe (si il n'est pas déja sur ton bureau )
un tuto sympa (aide) : https://forum.pcastuces.com/sujet.asp?f=31&s=3 

---> instales le et mets le à jour . 

Puis redémarre en mode sans échec : 
Comment aller en Mode sans échec 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 

lance un scan dit "complet" et supprimes tout ce qu'il peut trouver ... ( cela peut-être long)
Un fichier texte s'ouvre à la fin du scan : sauvegardes le sur ton bureau . 
Redémarre ton PC (mode normal ). 
Postes le rapport sauvegardé accompagné d'un nouveau rapport hijack ( fait en mode normal celui-la )

jacques.gache · Answer

perso je vois toujours la même infection qu'au dépard une infection SD et une COMBO

Le sioux · Answer

Re

Jacques, tu parles en ZHP ;)

A savoir que j'avais proposé l'utilisation de ComboFix en 1ere intention 

http://www.commentcamarche.net/forum/affich 6256302 help je suis infecte par tr vundo gen#4

mais que j'ai effacé mon message vu le nombre d'intervenants...

Voili, voila...

jitof · Answer

bonsoir,
j'ai éxécuté combofix, voici le rapport

ComboFix 08-05-01.3 - JC 2008-05-06 21:17:20.1 - NTFSx86 NETWORK
Microsoft® Windows Vista™ Édition Familiale Basique   6.0.6000.0.1252.1.1036.18.3103 [GMT 2:00]
Endroit: C:\Users\JC\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Windows\System32\cKUxwyay.ini
C:\Windows\System32\cKUxwyay.ini2
C:\Windows\system32\dmkdspgm.ini
C:\Windows\system32\lsprst7.dll
C:\Windows\system32\qiavhpyh.ini
C:\Windows\system32\ssprs.dll
C:\Windows\System32\sxrouowj.ini
C:\Windows\system32\yaywxUKc.dll

.
(((((((((((((((((((((((((((((   Fichiers cr‚‚s 2008-04-06 to 2008-05-06  ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier cr‚‚ dans cet espace de temps

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-06 18:45	27,050	----a-w	C:\Users\JC\AppData\Roaming
vModes.dat
2008-05-05 22:29	---------	d-----w	C:\Program Files\Malwarebytes' Anti-Malware
2008-05-05 22:25	---------	d-----w	C:\Users\JC\AppData\Roaming\Malwarebytes
2008-05-05 22:25	---------	d-----w	C:\ProgramData\Malwarebytes
2008-05-05 20:53	---------	d-----w	C:\Program Files\Trend Micro
2008-05-05 07:28	---------	d-----w	C:\ProgramData\Microsoft Help
2008-05-04 17:20	---------	d-----w	C:\ProgramData\inypalyd
2008-05-04 16:57	---------	d-----w	C:\ProgramData\Avira
2008-05-04 16:57	---------	d-----w	C:\Program Files\Avira
2008-05-04 14:52	---------	d-----w	C:\ProgramData\FLEXnet
2008-05-04 12:21	---------	d-----w	C:\ProgramData\Spybot - Search & Destroy
2008-05-04 11:19	---------	d-----w	C:\Program Files\Spybot - Search & Destroy
2008-04-09 18:55	---------	d-----w	C:\Program Files\Windows Mail
2008-04-01 21:27	---------	d-----w	C:\ProgramData\Minnetonka Audio Software
2008-03-28 09:39	---------	d-----w	C:\Users\JC\AppData\Roaming\CyberLink
2008-03-24 21:00	---------	d-----w	C:\Program Files\MSBuild
2008-03-24 21:00	---------	d-----w	C:\Program Files\Microsoft Works
2008-03-24 20:59	---------	d-----w	C:\Program Files\Microsoft.NET
2008-03-24 20:56	---------	d-----w	C:\Program Files\Microsoft Visual Studio 8
2008-03-24 20:37	---------	d--h--w	C:\Program Files\InstallShield Installation Information
2008-03-24 20:33	---------	d-----w	C:\Users\JC\AppData\Roaming\Roxio
2008-03-24 20:06	---------	d-----w	C:\Program Files\Common Files\Adobe
2008-03-24 20:02	---------	d-----w	C:\Program Files\Common Files\Control Panels
2008-03-24 19:59	---------	d-----w	C:\ProgramData\ALM
2008-03-24 19:23	---------	d-----w	C:\Program Files\Common Files\Macrovision Shared
2008-03-24 19:18	---------	d-----w	C:\Users\JC\AppData\Roaming\Autodesk
2008-03-24 19:17	---------	d-----w	C:\Program Files\AutoCAD 2007
2008-03-24 19:13	---------	d-----w	C:\Program Files\Common Files\Autodesk Shared
2008-03-24 19:13	---------	d-----w	C:\Program Files\AnswerWorks 4.0
2008-03-24 19:08	---------	d-----w	C:\ProgramData\Autodesk
2008-03-24 17:59	---------	d-----w	C:\Program Files\Autodesk
2008-03-24 17:51	---------	d-----w	C:\Program Files\DAEMON Tools
2008-03-24 17:48	685,816	----a-w	C:\Windows\system32\drivers\sptd.sys
2008-03-23 13:34	---------	d-----w	C:\Program Files\backburner 2
2008-03-16 15:05	86,632	----a-w	C:\Users\JC\AppData\Roaming\GDIPFONTCACHEV1.DAT
2008-03-14 11:29	---------	d--h--w	C:\ProgramData\CanonBJ
2008-03-14 10:49	---------	d-----w	C:\Users\JC\AppData\Roaming\AdobeUM
2008-03-14 07:52	---------	d-----w	C:\Users\JC\AppData\Roaming\Creative
2008-03-09 11:40	---------	d-----w	C:\Program Files\Real
2008-03-09 11:40	---------	d-----w	C:\Program Files\Common Files\xing shared
2008-03-09 11:40	---------	d-----w	C:\Program Files\Common Files\Real
2008-02-25 20:03	537,600	----a-w	C:\Windows\AppPatch\AcLayers.dll
2008-02-25 20:03	449,536	----a-w	C:\Windows\AppPatch\AcSpecfc.dll
2008-02-25 20:03	2,560	----a-w	C:\Windows\AppPatch\AcRes.dll
2008-02-25 20:03	2,144,256	----a-w	C:\Windows\AppPatch\AcGenral.dll
2008-02-25 20:03	173,056	----a-w	C:\Windows\AppPatch\AcXtrnal.dll
2008-02-21 04:43	52,736	----a-w	C:\Windows\AppPatch\iebrshim.dll
2008-02-20 18:57	2,923,520	----a-w	C:\Windows\explorer.exe
2008-02-20 11:13	174	--sha-w	C:\Program Files\desktop.ini
.

(((((((((((((((((((((((((((((((((   Point de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-08-16 13:24 167368]
"fkypwizj"="C:\Windows\system32\uhurelet.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2008-02-20 20:58 1006264]
"Apoint"="C:\Program Files\DellTPad\Apoint.exe" [2007-09-24 11:27 159744]
"OEM02Mon.exe"="C:\Windows\OEM02Mon.exe" [2007-12-03 07:58 36864]
"SigmatelSysTrayApp"="C:\Program Files\SigmaTel\C-Major Audio\WDM\sttray.exe" [2008-01-02 06:37 405504]
"NvSvc"="C:\Windows\system32
vsvc.dll" [2007-06-25 11:13 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-06-25 11:13 8433664]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-06-25 11:13 81920]
"NVHotkey"="C:\Windows\system32
vHotkey.dll" [2007-06-25 11:13 67584]
"SunJavaUpdateSched"="c:\Program Files\Java\jre1.6.0\bin\jusched.exe" [2008-02-20 13:21 77824]
"DELL Webcam Manager"="C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe" [2007-07-27 18:43 118784]
"ISUSScheduler"="C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" [2006-10-03 13:37 81920]
"RoxWatchTray"="C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2006-11-05 13:22 221184]
"Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-02-20 13:36 1838592]
"dscactivate"="C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe" [2007-11-15 11:24 16384]
"PCMService"="C:\Program Files\Dell\MediaDirect\PCMService.exe" [2007-11-01 17:39 189736]
"ISUSPM Startup"="C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2006-10-03 13:35 221184]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"Adobe Version Cue CS2"="C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" [2005-04-06 17:53 856064]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OBealsched.exe" [2008-03-09 13:40 185896]
"Acrobat Assistant 8.0"="D:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]
"Adobe_ID0EYTHM"="C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 17:40 1884160]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"fc478683"="C:\Windows\system32\ldcyafbu.dll" [ ]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Acc‚l‚rateur de d‚marrage AutoCAD.lnk - C:\Program Files\Common Files\Autodesk Shared\acstart17.exe [2006-03-05 14:43:54 11000]
Adobe Gamma.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 21:16:50 113664]
BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-11-03 19:55:50 703280]
Digital Line Detect.lnk - C:\Program Files\Digital Line Detect\DLG.exe [2008-02-20 13:24:53 50688]
QuickSet.lnk - C:\Windows\Installer\{7F0C4457-8E64-491B-8D7B-991504365D1E}\NewShortcut2_53A01CC614B04512A2E710D39BF83DC4.exe [2008-02-20 13:24:04 45056]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorerun]
"WT187C5vPx"= C:\ProgramData\inypalyd\ifqpmbcd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{0ADB28FB-5078-412E-9E77-F82D01BB0F16}"= C:\Program Files\Dell\MediaDirect\MediaDirect.exe:Dell MediaDirect
"{0C0D727B-CF59-4515-B6C3-8C9D62FA337E}"= C:\Program Files\Dell\MediaDirect\PCMService.exe:CyberLink PowerCinema Resident Program
"{421A3878-3F61-43B4-AEFF-BACD2829EE5F}"= C:\Program Files\Dell\MediaDirect\Kernel\DMP\CLBrowserEngine.exe:Cyberlink Media Server Browser Engine
"{DC79A2C2-7A83-46DF-A72B-06393C201D80}"= C:\Program Files\Dell\MediaDirect\Kernel\DMS\CLMSService.exe:CyberLink Media Server
"{D4A6E865-636E-49A2-93ED-3E553552E102}"= UDP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{3FB745DA-BBEF-44B0-AEB4-E8658D8212E7}"= TCP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{51D60054-7BC5-4C75-B95E-73E2DB2EAF8C}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{7229F2A9-DCC2-458D-89F4-FD73FCE1B0CC}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{A55448D8-8319-410C-B563-C6E551EFF333}"= UDP:C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe:Adobe Version Cue CS2
"{84394DDF-A5B1-4371-A7D0-2BD3EE673FF5}"= TCP:C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe:Adobe Version Cue CS2
"TCP Query User{44CB15CB-1B1F-4C5E-8FA1-A63A60B02617}C:\program files\macromedia\dreamweaver 8\dreamweaver.exe"= UDP:C:\program files\macromedia\dreamweaver 8\dreamweaver.exe:Dreamweaver 8
"UDP Query User{4E3BC582-9AFA-4051-A18D-58B496386A5E}C:\program files\macromedia\dreamweaver 8\dreamweaver.exe"= TCP:C:\program files\macromedia\dreamweaver 8\dreamweaver.exe:Dreamweaver 8
"TCP Query User{48AE515F-7BD2-4EE6-80AE-41C5C242BD39}C:\program files\internet explorer\iexplore.exe"= UDP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{688CD245-3781-4460-B6D7-EE028E928527}C:\program files\internet explorer\iexplore.exe"= TCP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
"TCP Query User{2C9E420B-0631-49DC-BBD3-6CA9A35A15F7}C:\program files\real\realplayer\realplay.exe"= UDP:C:\program filesealealplayerealplay.exe:RealPlayer
"UDP Query User{B29720CA-E3B7-43FF-A8C0-419A0999723B}C:\program files\real\realplayer\realplay.exe"= TCP:C:\program filesealealplayerealplay.exe:RealPlayer
"{154A0487-5E17-4237-A2C9-8F25F3934725}"= UDP:D:\3dsmax7\3dsmax.exe:3ds max 7
"{33771B40-AA68-4514-934C-A6C275CABB34}"= TCP:D:\3dsmax7\3dsmax.exe:3ds max 7
"{D0F29D48-92A2-436F-B25F-E6E015A906E6}"= UDP:C:\Program Files\backburner 2\monitor.exe:backburner 2.3 Moniteur de file d'attente
"{FBCC06B7-5528-49AA-AB87-B11ECD560842}"= TCP:C:\Program Files\backburner 2\monitor.exe:backburner 2.3 Moniteur de file d'attente
"{1D986DD0-DE05-4BB7-8448-F7026BC8F2A7}"= UDP:C:\Program Files\backburner 2\manager.exe:backburner 2.3 Gestionnaire
"{E798771A-4847-44BA-A501-05572B22260E}"= TCP:C:\Program Files\backburner 2\manager.exe:backburner 2.3 Gestionnaire
"{3270C385-BB5F-4EBC-BF73-DC5A799D525B}"= UDP:C:\Program Files\backburner 2\server.exe:backburner 2.3 Serveur
"{5C494280-0CB2-4D0D-AE00-38A6E43A6A93}"= TCP:C:\Program Files\backburner 2\server.exe:backburner 2.3 Serveur
"{08ADFA24-85E9-477B-A695-7872DBFBD0BE}"= UDP:C:\Program Files\Autodesk\backburner\monitor.exe:backburner 2.3 monitor
"{8B02D06A-FBC1-4C47-AAB5-090A2DBD5319}"= TCP:C:\Program Files\Autodesk\backburner\monitor.exe:backburner 2.3 monitor
"{50A94B72-5BC1-4F56-9EC6-A3E5DEF58145}"= UDP:C:\Program Files\Autodesk\backburner\manager.exe:backburner 2.3 manager
"{011931BD-4159-4354-8A0B-1ABF1AA3E509}"= TCP:C:\Program Files\Autodesk\backburner\manager.exe:backburner 2.3 manager
"{B117B889-3B1C-4FC8-AB81-3D78DEF1CE56}"= UDP:C:\Program Files\Autodesk\backburner\server.exe:backburner 2.3 server
"{5B818CBC-26B4-4324-9160-89DCBDA71584}"= TCP:C:\Program Files\Autodesk\backburner\server.exe:backburner 2.3 server
"{E9DF588D-C685-47E7-9978-5CFD97C90C13}"= UDP:3703:Adobe Version Cue CS3 Server
"{FD12C6D8-DE8C-4C59-A353-60F2060B9852}"= UDP:3704:Adobe Version Cue CS3 Server
"{61B59E06-4F60-48E4-98C3-D329D78759F3}"= UDP:50900:Adobe Version Cue CS3 Server
"{17027DBF-32B0-4F03-AFAF-B25C495AF9D0}"= UDP:50901:Adobe Version Cue CS3 Server
"{7C1DF226-2814-4763-8403-0D027FCA3983}"= UDP:C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe:Adobe Version Cue CS3 Server
"{0FC42F6B-77B3-4A22-818A-B66F497A1B9F}"= TCP:C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe:Adobe Version Cue CS3 Server
"{DF3C5AA4-D7FA-450A-8106-188C21ED5876}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"TCP Query User{011791D8-0F83-4E21-A680-746F4898B885}D:\program files\adobe\adobe dreamweaver cs3\dreamweaver.exe"= UDP:D:\program files\adobe\adobe dreamweaver cs3\dreamweaver.exe:Adobe Dreamweaver CS3
"UDP Query User{4C2C4E62-B646-4204-801D-2E7A26131E25}D:\program files\adobe\adobe dreamweaver cs3\dreamweaver.exe"= TCP:D:\program files\adobe\adobe dreamweaver cs3\dreamweaver.exe:Adobe Dreamweaver CS3

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R2 AESTFilters;Andrea ST Filters Service;C:\Windows\system32\aestsrv.exe [2008-01-02 06:37]
R2 XAudio;XAudio;C:\Windows\system32\DRIVERS\xaudio.sys [2006-08-05 02:39]
R3 btwaudio;Périphérique audio Bluetooth;C:\Windows\system32\drivers\btwaudio.sys [2006-11-07 03:37]
R3 btwavdt;Bluetooth AVDT;C:\Windows\system32\drivers\btwavdt.sys [2006-11-07 01:13]
R3 btwrchid;btwrchid;C:\Windows\system32\DRIVERS\btwrchid.sys [2006-11-07 01:13]
R3 OEM02Dev;Creative Camera OEM002 Driver;C:\Windows\system32\DRIVERS\OEM02Dev.sys [2007-12-03 07:58]
R3 OEM02Vfx;Creative Camera OEM002 Video VFX Driver;C:\Windows\system32\DRIVERS\OEM02Vfx.sys [2007-12-03 07:59]
S3 MBAMCatchMe;MBAMCatchMe;C:\Program Files\Malwarebytes' Anti-Malware\catchme.sys [2008-04-07 20:17]
S3 R300;R300;C:\Windows\system32\DRIVERS\atikmdag.sys [2006-11-02 09:36]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork	REG_MULTI_SZ   	PLA DPS BFE mpssvc
bthsvcs	REG_MULTI_SZ   	BthServ

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\shell\AutoRun\command - G:\browsercall.exe PhotoServiceEditionSetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\shell\AutoRun\command - I:\LaunchU3.exe

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-06 21:22:49
Windows 6.0.6000  NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Windows\System32\audiodg.exe
C:\Windows\System32\wlanext.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Autodesk\3dsMax8\mentalray\satelliteaysat_3dsmax8server.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
C:\Windows\System32\stacsv.exe
C:\Windows\System32\drivers\XAudio.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Windows\System32undll32.exe
C:\Program Files\DellTPad\ApntEx.exe
C:\Program Files\DellTPad\hidfind.exe
C:\Windows\System32undll32.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTStackServer.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Windows\System32\wbem\WMIADAP.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-06 21:27:07 - machine was rebooted
ComboFix-quarantined-files.txt  2008-05-06 19:26:22

      Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
      Le texte du message associ‚ au num‚ro 0x2379 est introuvable dans le fichier de messages pour Application.

227	--- E O F ---	2008-05-06 18:51:08


et un nouveau highjackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:30:47, on 06/05/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\DellTPad\Apoint.exe
C:\Windows\OEM02Mon.exe
C:\Program Files\Sigmatel\C-Major Audio\WDM\sttray.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Windows\System32undll32.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Windows\System32undll32.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Dell\MediaDirect\PCMService.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
D:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
c:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Windows\Explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro	he jack\monjack.exe
C:\Windows\system32\DllHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [OEM02Mon.exe] C:\Windows\OEM02Mon.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\sttray.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32
vHotkey.dll,Start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "c:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [DELL Webcam Manager] "C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe" /s
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [dscactivate] "C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "D:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [fc478683] rundll32.exe "C:\Windows\system32\ldcyafbu.dll",b
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [fkypwizj] C:\Windows\system32\uhurelet.exe
O4 - HKLM\..\Policies\Explorer\Run: [WT187C5vPx] C:\ProgramData\inypalyd\ifqpmbcd.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart17.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O4 - Global Startup: QuickSet.lnk = ?
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Envoyer l'&image au périphérique Bluetooth... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin
pjpi160.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin
pjpi160.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix: 
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Adobe Version Cue CS3 {fr_FR}  (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\system32\aestsrv.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satelliteaysat_3dsmax8server.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\STacSV.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Le sioux · Answer

_Bonsoir Jtoff

Afin d'aider Ske69, je t'ai préparé un CFScipt pour nettoyer le reste.

1) Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Vas dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.

Un redémarrage sera nécessaire.

2) ComboFix avec CFScript : 

*  Sélectionne le texte suivant (en gras)  dans son intégralité :

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fkypwizj"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"fc478683"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"WT187C5vPx"=-

File::
C:\Windows\system32\uhurelet.exe
C:\Windows\system32\ldcyafbu.dll
C:\ProgramData\inypalyd\ifqpmbcd.exe

Folder::
C:\ProgramData\inypalyd 

* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde sur ton Bureau ce fichier sous le nom de CFScript.txt 

Déconnecte toi du net et désactive ton antivirus  pour que Combofix puisse s'exécuter normalement

Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton Bureau)

Comme ici  http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif

* Une fenêtre bleue va apparaître: au message qui apparaît  Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

Ne touche à rien tant que le scan n'est pas terminé. 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

/!\Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet./!\

(Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt )

@ suivre

sKe69 · Answer

De retour   :) .... ok pour le script .
 puis postes un nouvel hijackthis avec le rapport combofix pour analyse ...

jitof · Answer

voici le rapport combofix

ComboFix 08-05-01.3 - JC 2008-05-06 21:58:57.2 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Basique   6.0.6000.0.1252.1.1036.18.2412 [GMT 2:00]
Endroit: C:\Users\JC\Desktop\ComboFix.exe
Command switches used :: C:\Users\JC\Desktop\CFScript.txt
 * Création d'un nouveau point de restauration

FILE ::
C:\ProgramData\inypalyd\ifqpmbcd.exe
C:\Windows\system32\ldcyafbu.dll
C:\Windows\system32\uhurelet.exe
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\ProgramData\inypalyd

.
(((((((((((((((((((((((((((((   Fichiers créés 2008-04-06 to 2008-05-06  ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans cet espace de temps

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-06 18:45	27,050	----a-w	C:\Users\JC\AppData\Roaming
vModes.dat
2008-05-05 22:29	---------	d-----w	C:\Program Files\Malwarebytes' Anti-Malware
2008-05-05 22:25	---------	d-----w	C:\Users\JC\AppData\Roaming\Malwarebytes
2008-05-05 22:25	---------	d-----w	C:\ProgramData\Malwarebytes
2008-05-05 20:53	---------	d-----w	C:\Program Files\Trend Micro
2008-05-05 07:28	---------	d-----w	C:\ProgramData\Microsoft Help
2008-05-04 16:57	---------	d-----w	C:\ProgramData\Avira
2008-05-04 16:57	---------	d-----w	C:\Program Files\Avira
2008-05-04 14:52	---------	d-----w	C:\ProgramData\FLEXnet
2008-05-04 12:21	---------	d-----w	C:\ProgramData\Spybot - Search & Destroy
2008-05-04 11:19	---------	d-----w	C:\Program Files\Spybot - Search & Destroy
2008-04-25 09:31	88,128	----a-w	C:\Windows\System32\mgpsdkmd.VIR
2008-04-09 18:55	---------	d-----w	C:\Program Files\Windows Mail
2008-04-01 21:27	---------	d-----w	C:\ProgramData\Minnetonka Audio Software
2008-03-28 09:39	---------	d-----w	C:\Users\JC\AppData\Roaming\CyberLink
2008-03-24 21:00	---------	d-----w	C:\Program Files\MSBuild
2008-03-24 21:00	---------	d-----w	C:\Program Files\Microsoft Works
2008-03-24 20:59	---------	d-----w	C:\Program Files\Microsoft.NET
2008-03-24 20:56	---------	d-----w	C:\Program Files\Microsoft Visual Studio 8
2008-03-24 20:37	---------	d--h--w	C:\Program Files\InstallShield Installation Information
2008-03-24 20:33	---------	d-----w	C:\Users\JC\AppData\Roaming\Roxio
2008-03-24 20:06	---------	d-----w	C:\Program Files\Common Files\Adobe
2008-03-24 20:02	---------	d-----w	C:\Program Files\Common Files\Control Panels
2008-03-24 19:59	---------	d-----w	C:\ProgramData\ALM
2008-03-24 19:23	---------	d-----w	C:\Program Files\Common Files\Macrovision Shared
2008-03-24 19:18	---------	d-----w	C:\Users\JC\AppData\Roaming\Autodesk
2008-03-24 19:17	---------	d-----w	C:\Program Files\AutoCAD 2007
2008-03-24 19:13	---------	d-----w	C:\Program Files\Common Files\Autodesk Shared
2008-03-24 19:13	---------	d-----w	C:\Program Files\AnswerWorks 4.0
2008-03-24 19:08	---------	d-----w	C:\ProgramData\Autodesk
2008-03-24 17:59	---------	d-----w	C:\Program Files\Autodesk
2008-03-24 17:51	---------	d-----w	C:\Program Files\DAEMON Tools
2008-03-24 17:48	685,816	----a-w	C:\Windows\system32\drivers\sptd.sys
2008-03-23 13:34	---------	d-----w	C:\Program Files\backburner 2
2008-03-16 15:05	86,632	----a-w	C:\Users\JC\AppData\Roaming\GDIPFONTCACHEV1.DAT
2008-03-14 11:29	---------	d--h--w	C:\ProgramData\CanonBJ
2008-03-14 10:49	---------	d-----w	C:\Users\JC\AppData\Roaming\AdobeUM
2008-03-14 07:52	---------	d-----w	C:\Users\JC\AppData\Roaming\Creative
2008-03-09 11:40	---------	d-----w	C:\Program Files\Real
2008-03-09 11:40	---------	d-----w	C:\Program Files\Common Files\xing shared
2008-03-09 11:40	---------	d-----w	C:\Program Files\Common Files\Real
2008-02-29 06:51	19,000	----a-w	C:\Windows\System32\kd1394.dll
2008-02-29 06:39	40,960	----a-w	C:\Windows\System32\srclient.dll
2008-02-29 06:39	371,712	----a-w	C:\Windows\System32\srcore.dll
2008-02-29 06:38	313,856	----a-w	C:\Windows\System32strui.exe
2008-02-29 06:38	16,384	----a-w	C:\Windows\System32\srdelayed.exe
2008-02-29 06:35	6,656	----a-w	C:\Windows\System32\kbd106n.dll
2008-02-29 06:34	7,168	----a-w	C:\Windows\System32\f3ahvoas.dll
2008-02-29 04:16	2,027,008	----a-w	C:\Windows\System32\win32k.sys
2008-02-25 20:07	194,560	----a-w	C:\Windows\System32\WebClnt.dll
2008-02-25 20:04	3,504,696	----a-w	C:\Windows\System32
tkrnlpa.exe
2008-02-25 20:04	3,470,392	----a-w	C:\Windows\System32
toskrnl.exe
2008-02-25 20:03	537,600	----a-w	C:\Windows\AppPatch\AcLayers.dll
2008-02-25 20:03	449,536	----a-w	C:\Windows\AppPatch\AcSpecfc.dll
2008-02-25 20:03	4,247,552	----a-w	C:\Windows\System32\GameUXLegacyGDFs.dll
2008-02-25 20:03	24,064	----a-w	C:\Windows\System32
etcfg.exe
2008-02-25 20:03	22,016	----a-w	C:\Windows\System32
etiougc.exe
2008-02-25 20:03	2,560	----a-w	C:\Windows\AppPatch\AcRes.dll
2008-02-25 20:03	2,144,256	----a-w	C:\Windows\AppPatch\AcGenral.dll
2008-02-25 20:03	173,056	----a-w	C:\Windows\AppPatch\AcXtrnal.dll
2008-02-25 20:03	167,424	----a-w	C:\Windows\System32	cpipcfg.dll
2008-02-25 20:03	11,776	----a-w	C:\Windows\System32\sbunattend.exe
2008-02-25 20:03	1,686,528	----a-w	C:\Windows\System32\gameux.dll
2008-02-23 19:27	53,080	----a-w	C:\Windows\System32\wuauclt.exe
2008-02-23 19:27	43,352	----a-w	C:\Windows\System32\wups2.dll
2008-02-23 19:27	1,712,984	----a-w	C:\Windows\System32\wuaueng.dll
2008-02-23 19:27	1,524,224	----a-w	C:\Windows\System32\wucltux.dll
2008-02-23 19:26	80,896	----a-w	C:\Windows\System32\wudriver.dll
2008-02-23 19:26	549,720	----a-w	C:\Windows\System32\wuapi.dll
2008-02-23 19:26	33,624	----a-w	C:\Windows\System32\wups.dll
2008-02-23 19:26	31,232	----a-w	C:\Windows\System32\wuapp.exe
2008-02-23 19:26	163,000	----a-w	C:\Windows\System32\wuwebv.dll
2008-02-21 04:43	826,368	----a-w	C:\Windows\System32\wininet.dll
2008-02-21 04:43	56,320	----a-w	C:\Windows\System32\iesetup.dll
2008-02-21 04:43	52,736	----a-w	C:\Windows\AppPatch\iebrshim.dll
2008-02-21 04:43	296,448	----a-w	C:\Windows\System32\gdi32.dll
2008-02-21 04:43	26,624	----a-w	C:\Windows\System32\ieUnatt.exe
2008-02-20 19:05	87,040	----a-w	C:\Windows\System32\msoert2.dll
2008-02-20 19:05	39,424	----a-w	C:\Windows\System32\ACCTRES.dll
2008-02-20 19:05	229,888	----a-w	C:\Windows\System32\msshsq.dll
2008-02-20 19:05	205,824	----a-w	C:\Windows\System32\msoeacct.dll
2008-02-20 19:05	2,048	----a-w	C:\Windows\System32\msxml6r.dll
2008-02-20 19:05	1,335,296	----a-w	C:\Windows\System32\msxml6.dll
2008-02-20 19:03	8,704	----a-w	C:\Windows\System32\hcrstco.dll
2008-02-20 19:03	8,704	----a-w	C:\Windows\System32\hccoin.dll
2008-02-20 19:03	8,147,968	----a-w	C:\Windows\System32\wmploc.DLL
2008-02-20 19:03	7,680	----a-w	C:\Windows\System32\spwmp.dll
2008-02-20 19:03	4,096	----a-w	C:\Windows\System32\dxmasf.dll
2008-02-20 19:03	374,456	----a-w	C:\Windows\System32\mcupdate_GenuineIntel.dll
2008-02-20 19:03	356,864	----a-w	C:\Windows\System32\MediaMetadataHandler.dll
2008-02-20 19:01	8,192	----a-w	C:\Windows\System32iched32.dll
2008-02-20 18:59	2,048	----a-w	C:\Windows\System32	zres.dll
2008-02-20 18:58	84,480	----a-w	C:\Windows\System32\INETRES.dll
2008-02-20 18:58	737,792	----a-w	C:\Windows\System32\inetcomm.dll
2008-02-20 18:58	49,664	----a-w	C:\Windows\System32\csrsrv.dll
2008-02-20 18:58	376,320	----a-w	C:\Windows\System32\winsrv.dll
2008-02-20 18:58	2,048	----a-w	C:\Windows\System32\msxml3r.dll
2008-02-20 18:58	1,191,936	----a-w	C:\Windows\System32\msxml3.dll
2008-02-20 18:55	72,192	----a-w	C:\Windows\System32\dot3msm.dll
2008-02-20 18:54	98,304	----a-w	C:\Windows\System32\mssitlb.dll
.

(((((((((((((((((((((((((((((   snapshot@2008-05-06_21.25.53.71   )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-05-06 19:21:40	2,048	--sha-w	C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2008-05-06 19:21:40	2,048	--sha-w	C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2008-05-06 19:05:39	262,144	----a-w	C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-06 19:49:13	262,144	----a-w	C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-06 19:22:55	262,144	----a-w	C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-06 19:58:39	262,144	----a-w	C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-06 19:20:39	104,158	----a-w	C:\Windows\System32\perfc009.dat
+ 2008-05-06 19:29:30	104,768	----a-w	C:\Windows\System32\perfc009.dat
- 2008-05-06 19:20:39	117,866	----a-w	C:\Windows\System32\perfc00C.dat
+ 2008-05-06 19:29:30	118,450	----a-w	C:\Windows\System32\perfc00C.dat
- 2008-05-06 19:20:39	612,436	----a-w	C:\Windows\System32\perfh009.dat
+ 2008-05-06 19:29:30	613,046	----a-w	C:\Windows\System32\perfh009.dat
- 2008-05-06 19:20:39	692,602	----a-w	C:\Windows\System32\perfh00C.dat
+ 2008-05-06 19:29:30	693,588	----a-w	C:\Windows\System32\perfh00C.dat
- 2008-05-06 06:22:02	6,230	----a-w	C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3121263663-1775293873-931087993-1000_UserData.bin
+ 2008-05-06 19:24:21	6,528	----a-w	C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3121263663-1775293873-931087993-1000_UserData.bin
- 2008-05-06 18:47:20	67,406	----a-w	C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-05-06 19:24:20	67,728	----a-w	C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
.
(((((((((((((((((((((((((((((((((   Point de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-08-16 13:24 167368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2008-02-20 20:58 1006264]
"Apoint"="C:\Program Files\DellTPad\Apoint.exe" [2007-09-24 11:27 159744]
"OEM02Mon.exe"="C:\Windows\OEM02Mon.exe" [2007-12-03 07:58 36864]
"SigmatelSysTrayApp"="C:\Program Files\SigmaTel\C-Major Audio\WDM\sttray.exe" [2008-01-02 06:37 405504]
"NvSvc"="C:\Windows\system32
vsvc.dll" [2007-06-25 11:13 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-06-25 11:13 8433664]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-06-25 11:13 81920]
"NVHotkey"="C:\Windows\system32
vHotkey.dll" [2007-06-25 11:13 67584]
"SunJavaUpdateSched"="c:\Program Files\Java\jre1.6.0\bin\jusched.exe" [2008-02-20 13:21 77824]
"DELL Webcam Manager"="C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe" [2007-07-27 18:43 118784]
"ISUSScheduler"="C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" [2006-10-03 13:37 81920]
"RoxWatchTray"="C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2006-11-05 13:22 221184]
"Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-02-20 13:36 1838592]
"dscactivate"="C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe" [2007-11-15 11:24 16384]
"PCMService"="C:\Program Files\Dell\MediaDirect\PCMService.exe" [2007-11-01 17:39 189736]
"ISUSPM Startup"="C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2006-10-03 13:35 221184]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"Adobe Version Cue CS2"="C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" [2005-04-06 17:53 856064]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OBealsched.exe" [2008-03-09 13:40 185896]
"Acrobat Assistant 8.0"="D:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]
"Adobe_ID0EYTHM"="C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 17:40 1884160]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Acc‚l‚rateur de d‚marrage AutoCAD.lnk - C:\Program Files\Common Files\Autodesk Shared\acstart17.exe [2006-03-05 14:43:54 11000]
Adobe Gamma.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 21:16:50 113664]
BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-11-03 19:55:50 703280]
Digital Line Detect.lnk - C:\Program Files\Digital Line Detect\DLG.exe [2008-02-20 13:24:53 50688]
QuickSet.lnk - C:\Windows\Installer\{7F0C4457-8E64-491B-8D7B-991504365D1E}\NewShortcut2_53A01CC614B04512A2E710D39BF83DC4.exe [2008-02-20 13:24:04 45056]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{0ADB28FB-5078-412E-9E77-F82D01BB0F16}"= C:\Program Files\Dell\MediaDirect\MediaDirect.exe:Dell MediaDirect
"{0C0D727B-CF59-4515-B6C3-8C9D62FA337E}"= C:\Program Files\Dell\MediaDirect\PCMService.exe:CyberLink PowerCinema Resident Program
"{421A3878-3F61-43B4-AEFF-BACD2829EE5F}"= C:\Program Files\Dell\MediaDirect\Kernel\DMP\CLBrowserEngine.exe:Cyberlink Media Server Browser Engine
"{DC79A2C2-7A83-46DF-A72B-06393C201D80}"= C:\Program Files\Dell\MediaDirect\Kernel\DMS\CLMSService.exe:CyberLink Media Server
"{D4A6E865-636E-49A2-93ED-3E553552E102}"= UDP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{3FB745DA-BBEF-44B0-AEB4-E8658D8212E7}"= TCP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{51D60054-7BC5-4C75-B95E-73E2DB2EAF8C}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{7229F2A9-DCC2-458D-89F4-FD73FCE1B0CC}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{A55448D8-8319-410C-B563-C6E551EFF333}"= UDP:C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe:Adobe Version Cue CS2
"{84394DDF-A5B1-4371-A7D0-2BD3EE673FF5}"= TCP:C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe:Adobe Version Cue CS2
"TCP Query User{44CB15CB-1B1F-4C5E-8FA1-A63A60B02617}C:\program files\macromedia\dreamweaver 8\dreamweaver.exe"= UDP:C:\program files\macromedia\dreamweaver 8\dreamweaver.exe:Dreamweaver 8
"UDP Query User{4E3BC582-9AFA-4051-A18D-58B496386A5E}C:\program files\macromedia\dreamweaver 8\dreamweaver.exe"= TCP:C:\program files\macromedia\dreamweaver 8\dreamweaver.exe:Dreamweaver 8
"TCP Query User{48AE515F-7BD2-4EE6-80AE-41C5C242BD39}C:\program files\internet explorer\iexplore.exe"= UDP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{688CD245-3781-4460-B6D7-EE028E928527}C:\program files\internet explorer\iexplore.exe"= TCP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
"TCP Query User{2C9E420B-0631-49DC-BBD3-6CA9A35A15F7}C:\program files\real\realplayer\realplay.exe"= UDP:C:\program filesealealplayerealplay.exe:RealPlayer
"UDP Query User{B29720CA-E3B7-43FF-A8C0-419A0999723B}C:\program files\real\realplayer\realplay.exe"= TCP:C:\program filesealealplayerealplay.exe:RealPlayer
"{154A0487-5E17-4237-A2C9-8F25F3934725}"= UDP:D:\3dsmax7\3dsmax.exe:3ds max 7
"{33771B40-AA68-4514-934C-A6C275CABB34}"= TCP:D:\3dsmax7\3dsmax.exe:3ds max 7
"{D0F29D48-92A2-436F-B25F-E6E015A906E6}"= UDP:C:\Program Files\backburner 2\monitor.exe:backburner 2.3 Moniteur de file d'attente
"{FBCC06B7-5528-49AA-AB87-B11ECD560842}"= TCP:C:\Program Files\backburner 2\monitor.exe:backburner 2.3 Moniteur de file d'attente
"{1D986DD0-DE05-4BB7-8448-F7026BC8F2A7}"= UDP:C:\Program Files\backburner 2\manager.exe:backburner 2.3 Gestionnaire
"{E798771A-4847-44BA-A501-05572B22260E}"= TCP:C:\Program Files\backburner 2\manager.exe:backburner 2.3 Gestionnaire
"{3270C385-BB5F-4EBC-BF73-DC5A799D525B}"= UDP:C:\Program Files\backburner 2\server.exe:backburner 2.3 Serveur
"{5C494280-0CB2-4D0D-AE00-38A6E43A6A93}"= TCP:C:\Program Files\backburner 2\server.exe:backburner 2.3 Serveur
"{08ADFA24-85E9-477B-A695-7872DBFBD0BE}"= UDP:C:\Program Files\Autodesk\backburner\monitor.exe:backburner 2.3 monitor
"{8B02D06A-FBC1-4C47-AAB5-090A2DBD5319}"= TCP:C:\Program Files\Autodesk\backburner\monitor.exe:backburner 2.3 monitor
"{50A94B72-5BC1-4F56-9EC6-A3E5DEF58145}"= UDP:C:\Program Files\Autodesk\backburner\manager.exe:backburner 2.3 manager
"{011931BD-4159-4354-8A0B-1ABF1AA3E509}"= TCP:C:\Program Files\Autodesk\backburner\manager.exe:backburner 2.3 manager
"{B117B889-3B1C-4FC8-AB81-3D78DEF1CE56}"= UDP:C:\Program Files\Autodesk\backburner\server.exe:backburner 2.3 server
"{5B818CBC-26B4-4324-9160-89DCBDA71584}"= TCP:C:\Program Files\Autodesk\backburner\server.exe:backburner 2.3 server
"{E9DF588D-C685-47E7-9978-5CFD97C90C13}"= UDP:3703:Adobe Version Cue CS3 Server
"{FD12C6D8-DE8C-4C59-A353-60F2060B9852}"= UDP:3704:Adobe Version Cue CS3 Server
"{61B59E06-4F60-48E4-98C3-D329D78759F3}"= UDP:50900:Adobe Version Cue CS3 Server
"{17027DBF-32B0-4F03-AFAF-B25C495AF9D0}"= UDP:50901:Adobe Version Cue CS3 Server
"{7C1DF226-2814-4763-8403-0D027FCA3983}"= UDP:C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe:Adobe Version Cue CS3 Server
"{0FC42F6B-77B3-4A22-818A-B66F497A1B9F}"= TCP:C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe:Adobe Version Cue CS3 Server
"{DF3C5AA4-D7FA-450A-8106-188C21ED5876}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"TCP Query User{011791D8-0F83-4E21-A680-746F4898B885}D:\program files\adobe\adobe dreamweaver cs3\dreamweaver.exe"= UDP:D:\program files\adobe\adobe dreamweaver cs3\dreamweaver.exe:Adobe Dreamweaver CS3
"UDP Query User{4C2C4E62-B646-4204-801D-2E7A26131E25}D:\program files\adobe\adobe dreamweaver cs3\dreamweaver.exe"= TCP:D:\program files\adobe\adobe dreamweaver cs3\dreamweaver.exe:Adobe Dreamweaver CS3

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R2 AESTFilters;Andrea ST Filters Service;C:\Windows\system32\aestsrv.exe [2008-01-02 06:37]
R2 XAudio;XAudio;C:\Windows\system32\DRIVERS\xaudio.sys [2006-08-05 02:39]
R3 btwaudio;Périphérique audio Bluetooth;C:\Windows\system32\drivers\btwaudio.sys [2006-11-07 03:37]
R3 btwavdt;Bluetooth AVDT;C:\Windows\system32\drivers\btwavdt.sys [2006-11-07 01:13]
R3 btwrchid;btwrchid;C:\Windows\system32\DRIVERS\btwrchid.sys [2006-11-07 01:13]
R3 OEM02Dev;Creative Camera OEM002 Driver;C:\Windows\system32\DRIVERS\OEM02Dev.sys [2007-12-03 07:58]
R3 OEM02Vfx;Creative Camera OEM002 Video VFX Driver;C:\Windows\system32\DRIVERS\OEM02Vfx.sys [2007-12-03 07:59]
S3 MBAMCatchMe;MBAMCatchMe;C:\Program Files\Malwarebytes' Anti-Malware\catchme.sys [2008-04-07 20:17]
S3 R300;R300;C:\Windows\system32\DRIVERS\atikmdag.sys [2006-11-02 09:36]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork	REG_MULTI_SZ   	PLA DPS BFE mpssvc
bthsvcs	REG_MULTI_SZ   	BthServ

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\shell\AutoRun\command - G:\browsercall.exe PhotoServiceEditionSetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\shell\AutoRun\command - I:\LaunchU3.exe

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-06 21:59:51
Windows 6.0.6000  NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-05-06 22:00:25
ComboFix-quarantined-files.txt  2008-05-06 20:00:18
ComboFix2.txt  2008-05-06 19:27:08

      Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
      Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.

263	--- E O F ---	2008-05-06 18:51:08


et le rapport highjackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:03:40, on 06/05/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\DellTPad\Apoint.exe
C:\Windows\OEM02Mon.exe
C:\Program Files\Sigmatel\C-Major Audio\WDM\sttray.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Windows\System32undll32.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Windows\System32undll32.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Dell\MediaDirect\PCMService.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
D:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
c:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Windows\system32\conime.exe
C:\Windows\Explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro	he jack\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [OEM02Mon.exe] C:\Windows\OEM02Mon.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\sttray.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32
vHotkey.dll,Start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "c:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [DELL Webcam Manager] "C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe" /s
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [dscactivate] "C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "D:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart17.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O4 - Global Startup: QuickSet.lnk = ?
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Envoyer l'&image au périphérique Bluetooth... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin
pjpi160.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin
pjpi160.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix: 
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Adobe Version Cue CS3 {fr_FR}  (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\system32\aestsrv.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satelliteaysat_3dsmax8server.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\STacSV.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

sKe69 · Answer

très bien ... 
Télécharges : - CCleaner 
https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .lors de l'instalation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" saufe les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ). 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

Utilisation:
vas dans nettoyeur : fait annalyse puis nettoyage 
et vas dans registre : fait chercher les erreurs et réparer ( plusieur fois jusqu'a ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

après cela,donne nous des nouvels de ton PC, il y a-t-il du miieux ?

Le sioux · Answer

Re

Le rapport HijackThis est clean.

ComboFix et le CFScript on l'air d'avoir fait leurs boulots, je regarde le rapport de ComboFix plus en détails, si j'y vois quelque chose j'interviendrai, sinon, bonne continuation a vous 2.

Salut.

sKe69 · Answer

A mon avis tout à l'aire clean ... merci pour ton aide !
On va finalyser je pense   ;)

jacques.gache · Answer

bonjour, si je peux me permettre une remarque si ton pc à retrouvé son état normale et que la désinfection est terminer pense à purger la restauration système pour éviter tout risque de recontamination si tu utilisais cet restauration 
http://www.vista-xp.fr/forum/topic243.html
 @+

jacques.gache · Answer

désolé de mettre imissé

jitof · Answer

VOUS ETES TOUS DES DIEUX !
avant de réagir, j'attendais de finir un nouveau scan avec antivir, et de redémarer plusieurs fois.
Tout est clean, je revis.
vous êtes formidables, j'aurais jamais cru trouver autant d'aide et de disponibilité. c'est à vous réconcilier avec l'informatique tout ça !!!
merci encore
vous pouvez être sûrs que je vais le bichonner mon PC maintenant.

jitof

sKe69 · Answer

très bien ...  =)

Fait ce qui suit pour boucler le tout :
 
1-purges les quarantaines de ton anti-virus, anti-spyware,ect ...

2-télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau. 
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe 
Clique sur Recherche et laisse le scan se terminer. 
Clique sur Suppression pour finaliser. 
tu peux, si tu le souhaites, te servir des Options facultatives (comme vider la poubelle ...)

se petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) . 
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolsclaener2 n'a pas supprimé . 

Puis enfin supprimes Toolscleaner2 ... ( gardes CCleaner et Malwarebyte's : très utiles ... )

3-refait un coup de CCleaner (registre compris )

4--Restauration système 
--->Désactive ta restauration 
Dans démarrer, clik droit sur ordinateur/propriétés/protection du système : décoches la case devant ton disk dur maitre , valides, appliques et OK 
Redémarre ton PC 
--->Réactive ta restauration 
Clik droit sur ordinateur/propriétés/protection du système : coches la case devant ton disk dur maitre , valides, appliques et OK 
Redémarre ton PC 

Dis nous si tout est Ok ...

PS : après cela tu peut réactivé l 'UAC ...

HELP, je suis infecté par TR/Vundo.Gen

33 réponses

Votre réponse

Discussions similaires

Newsletters