Invasion Trojan-PSW.Win32.OnLineGames

Fermé

Alex - 10 mai 2008 à 07:04
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 24 mai 2008 à 20:02

Bonjour à tous,
Après plusieurs journées passées à éplucher les forums et suivre les conseils donné aux gens dans mon cas, j'abdique et je me tourne vers vous.
Je me suis rendu compte il y a plusieurs jours en réinstallant mon antivirus Avast et en installant AVG spyware que mon PC était infecté par un troyen nommé "Trojan-PSW.Win32.OnLineGames" décliné sous différentes versions, (Trojan-PSW.Win32.OnLineGames.abki; Trojan-PSW.Win32.OnLineGames.abrx; Trojan-PSW.Win32.OnLineGames.acas et d'autres), il me semble d'ailleurs qu'il y ai d'autres virus à être venu s'installer depuis (Worm.Win32.AutoRun.dmt par exemple).
Sans entrer dans les détails, j'ai réussi à en supprimer plusieurs à force de scan etc, mais c encore loin d'être réglé.
Avast et AVG n'étant pas suffisant, j'ai fait ce qui est conseillé généralement: j ai essayé d autres antivirus en ligne (Kaspersky, mwavscan.com, etc) qui détectent beaucoup de virus, bien que le nombre varie énormément entre chaque antivirus, par exemple 17 pour Kaspersky et plus de 300 ( ! ! !) pour mwavscan, (le scan étant gratuit mais le "traitement" payant, ces programmes ne m'ont pas permis de mettre les virus en quarantaine). Ce qui est assez étonnant c'est que mon PC n'a pas spécialement de problèmes nouveaux, en tout cas pas de génant, mais étant en période d'examen, et ayant un mémoire à rendre bientôt, j'ai besoin de bosser sur une machine sûre, c'est indispensable (je précise que suis en mode sans échec à titre préventif d’ailleurs, pour éviter que ça s’empire, bien que la version normale de Winsows marche aux dernières nouvelles).
Voilà, je vous colle ci-joint le dernier rapport hijackthis et le scan report de kaspersky.

J'espère qu'il n'est pas trop tard, en tout cas merci d'avance!
DERNIER RAPPORT HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:13:46, on 10/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lemonde.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program Files\Share_Accelerator_MM\tbShar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program Files\Share_Accelerator_MM\tbShar.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: iFinger plugin / Browser helper object - {A114D52B-870C-4F15-8021-B6D7F91A054B} - C:\PROGRA~1\iFinger\plugins\IE.ifp
O3 - Toolbar: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program Files\Share_Accelerator_MM\tbShar.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [BufferZone] "C:\Program Files\BufferZone\CLIENTGUI.EXE" /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SDFix] C:\SDFix\RunThis.bat /second
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKLM\..\RunOnce: [SDFix] C:\SDFix\RunThis.bat /second
O4 - HKLM\..\RunOnce: [mwavscan] "C:\DOCUME~1\ALEXIS~1\LOCALS~1\Temp\mexe.com" /s /AUTORUNBOOT
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: UltimateZip Quick Start.lnk = C:\Program Files\UltimateZip 2007\uzqkst.exe
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: iFinger 2.0.lnk = C:\Program Files\iFinger\iFinger.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: SecureDoc.lnk = C:\Program Files\MSI\SecureDoc\Logon.exe
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\System32\SHDOCVW.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BufferZone Service (BufferZoneSvc) - Unknown owner - C:\Program Files\BufferZone\CLNTSVC.EXE
O23 - Service: BufferZone DCOM Helper (BZDcomLaunch) - Unknown owner - C:\Program Files\BufferZone\BZDCOMLAUNCH.EXE
O23 - Service: BufferZone RPC Helper (BZRpcSs) - Unknown owner - C:\Program Files\BufferZone\BZRPCSS.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

A voir également:

Invasion Trojan-PSW.Win32.OnLineGames
Trojan remover - Télécharger - Antivirus & Antimalwares
Trojan al11 - Forum Virus
Csrss.exe trojan - Forum Virus
Trojan agent ✓ - Forum Virus
Trojan b901 ✓ - Forum Virus

105 réponses

Réponse 81 / 105

alex
15 mai 2008 à 18:36

Ok, je vais faire ça dès ce soir.
donc si j'ai biern saisi Avast et AVG 8 sont deux antivirus, les avoir en même temps serait donc inutile, voir contre productif?
Je vais opter pour une combinaison Avast + spybot + zonealarm je pense.

A+

Alex

Réponse 82 / 105

Dr.antivirus
16 mai 2008 à 14:47

Ouvre ce site, ça marche à merveille!
Site: Dr.Antivirus, qui propose des solutions pour quelques virus, comme AMVO(trojan-PSW.OnlineGames) , Sujin.com.np, etc ...
Voila les adresse :
https://www.118712.fr/sortir.html
ou
https://www.118712.fr/sortir.html

Ouvre : liste des virus récents puis AMVO et ses variantes
ICI tu trouveras les infos qui concernent le virus, et tu télécharge : AMVO Remover(en bas de la page)
Au revoir

Réponse 83 / 105

alex
16 mai 2008 à 20:15

Bonjours à tous,
je réouvre le forum en urgence parceque j'ai un problème que je n'avais pas repéré pendant toutes nos péripéties. Je m'explique, depuis ce-midi, j'ai l'icône d'alerte de sécurité Windows (le fameux petit bouclier rouge en bas à droite de l'écran) qui me dit que la mise à jour automatique ne fonctionne pas. Et effectivement, non seulement la mise à jour automatique ne fonctionne pas, mais je ne peux tout simplement télécharger aucune mise à jour manuellement(il s'agit de l"Erreur 1058 : Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé. "). Je passe sur le fait que j'ai passé l'aprem à plancher sur le problème sans succès (j'ai lu les forums, le service d'aide de microsoft, etc) parce que ce n'est pas vraiment génant. Mais ce problème relativement mineur m'a ammené à essayer de faire une restauration système, et là, horreur! Après tous les points de restaurations faits ces derniers jours, il n'y en avait absolument aucun dans l'utilitaire en question, apparement ils n'ont pas marché. Il n'y avait qu'un point de sauvegarde automatique, fait cet aprem et qui ne marche d'ailleurs pas.
Donc ça m'inquiète pas mal que l'utilitaire de restauration système ne marche pas, vu qu'au moindre problème, je serais dans une belle m....

Merci
et à +

Alex

BOB3
17 mai 2008 à 09:29

Bonjour Alex

Il faut verifier l'etat de ces services:
tu faits demarrer, panneau de configuration, outils d'administration, services:
tu soit prudent dans les manips
tout d'abord fait une sauvegarde de l'etat, en cliquant sur action en haut, puis exporter la liste,
tu lui donnes un nom, et sauvegarde.

apres tu verifies dans le menu deroulant
1--Mise a jour automatique---tu clic 2 fois pour l'ouvrir, sur type de demarrage tu le mets sur automatique,
puis appliquer, puis demarrer, puis ok
2--Service de transfert intelligent en arrière-plan, tu faits pareil
3--Service de restauration système, tu faits pareil
N.B.si jamais il y'a un message d'erreur, tu notes et tu poste

apres tu va verifier dans propriete systeme
restauration du systeme s'il est bien active C: surveillance
et
mises a jour automatique, tu coche avertir en cas de nlles mises a jour etc....
et tu me dit comment ca se passe

a+
BOB3

Réponse 84 / 105

alex
17 mai 2008 à 11:27

Salut Bob,

je reprends un à un chaque points de ton message:

"tout d'abord fait une sauvegarde de l'etat, en cliquant sur action en haut, puis exporter la liste,
tu lui donnes un nom, et sauvegarde." : OK, pas de problème
1--"Mise a jour automatique---tu clic 2 fois pour l'ouvrir, sur type de demarrage tu le mets sur automatique,
puis appliquer, puis demarrer, puis ok" : Quand je clique sur démarrer, j'ai droit au message d'erreur suivant :
Impossible de démarrer le service de mise à jour automatique sur l'ordinateur locall; Erreur 1058 : Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé
2--"Service de transfert intelligent en arrière-plan, tu faits pareil": OK pas de problème
3--"Service de restauration système, tu faits pareil" : OK, pas de problème

"apres tu va verifier dans propriete systeme restauration du systeme s'il est bien active C: surveillance": Oui, il l'est
"mises a jour automatique, tu coche avertir en cas de nlles mises a jour etc.... " voilà, c'est coché.
je précise qu'avant hier soir, j'ai installé spybot, et bittorent pour essayer de télécharger un firewall digne de ce nom.

Voilà,

A+
Alex

BOB3
17 mai 2008 à 11:54

Re bonjour Alex

refait la meme manip pour redemarrer le service mise a jour.
si t'as toujour le message erreur 1058

tu va sur le lien et tu essaye de suivre les instructions.
https://support.microsoft.com/fr-fr/help/896224

refait une sauvegarde avant toutes modifs.
a+
BOB3

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 85 / 105

alex
17 mai 2008 à 19:07

salut bob,

désolé pur le retard, ma connexion a énormément ralentie d'un seul coup, impossible de venir sur le site. J'ai déjà essayé la technique de Microsoft, sans succès, j réessaye au cas ou. Sinon, j'ai refait des tests de restauration système, aparament je peux créer des points, mais impossible de restaurer à un point précédent. Vu que ma connexion fait des siennes (ça arrive parfois quand on s en est trop servi) j ai pas pu chercher sur le net ce que j pouvais faire pour l'instant, j verrais ça dès qu j pourrais sufer) .

bye

alex

Réponse 86 / 105

BOB3
17 mai 2008 à 19:34

Salut Alex

je t'avais demande de reinstaller IE7, ca peut resoudre le probleme.

quand a la restauration du systeme, ce qu'il faut faire:
ouvre ton editeur de registre, tu te pointe sur
HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
TU CLIC SOURIS DROIT SUR---> CurrentControlSet
PUIS EXPORTER
ET TU TAPE SON NOM ---- CurrentControlSet, puis ok
il va le sauvegarder sous "CurrentControlSet.reg"
cette methode est necessaire dans le cas ou la restauration merde.
______________________________________________________
desactive la restauration, puis redemarre en mode sans echec
tu ouvre ton explorateur
tu va dans c:\system volume information
tu clic dessus et tu supprime tout

tu reactive ta restauration
tu crees un nouveau point que tu nommes sansechec170508
tu redemarre en mode normal
tu verifie que restauration est bien activé
tu ferme et tu crees a nouveau un nouveau point de restauration que tu nommes normal170508
normalement c'est bon.

a+
BOB3

Réponse 87 / 105

alex
18 mai 2008 à 18:08

salut bob,

pour IE 7: J'avais désinstallé IE7 avant de télécharger plusieurs mises à jour sur microsoft.update dont IE7, ça m avais l'air d'avoir marché.

Pour la sauvegarde de "Curent control set" c'es fait.

Mais pas de c:\system volume information,

à+

Alex

Réponse 88 / 105

BOB3
18 mai 2008 à 18:27

Salut Alex,

1--si tu as cree un nouveau point de restauration, reboot en mode sans echec,
et verifie si c:\system volume information --- a ete bien cree
tu le touches pas.
2--tu reboot en mode normal, et tu verifie si ton point de rstauration figure dans le calendrier.
3--tu cree un nouveau point date aujourdh'ui, tu ferme, et tu reverifie s'il figure bien dans le calendrier.
4--pou faire un essai: tu reviens dans la restauration et tu choisi le dernier point que t'as cree
et tu lui demande de faire une restauration, ou ca marche, sinon il te donne un message d'erreur que tu notes
et tu en vois.

a+
BOB3

Réponse 89 / 105

alex
19 mai 2008 à 09:24

Salut Bob,
j'ai vérifier: créer un nouveau point de restauration ne crée pas de dossier C:\ systeme volume information.
quand j essaye de restaurer mon ordi à un point précédent (ils figurent bien dans e calendrier), j ai le message suivant: "Restauration incomplète, votre ordinateur ne peut être restauré à dimanche 18... aucun changement n'a été effectué"

voilà... Est ce qu un logiciel comme zonealarm ou spybot pourrait en être responsable.

merci
a+

Alex

Réponse 90 / 105

alex
19 mai 2008 à 10:02

re-bonjour,

d'après ce que j vois sur les forums, les antivrus et compagnie peuvent interférer avec a resto systeme. ce soir j'essairais de couper tout mes trucs (spybot, avast, AVG, Zonealarm, ça commence à faire du monde en fait.) et recréer un point, puis restaurer, j vous tiens au courant.

Alex

Réponse 91 / 105

BOB3
19 mai 2008 à 15:08

Salut Alex

premiere chose a faire, assures toi si les services suivants sont activé.
CAD sur mode auto et s'ils ont demarre,
sinon tu les mets sur auto et tu les demarres.

tu reboot en mode normal pour que ca prenne effet.
s'il ya un message d'erreur, tu le notes et tu postes.

servicesAcquisition d'image Windows (WIA)
Appel de procédure distante (RPC)
Audio Windows
Centre de sécurité
Client DHCP
Client DNS
Connexion secondaire
Connexions réseau
Détection matériel noyau
Emplacement protégé
Gestionnaire de comptes de sécurité
Gestionnaire de connexions d'accès distant
Gestionnaire de disque logique
Infrastructure de gestion Windows
Journal des événements
Lanceur de processus serveur DCOM
NLA (Network Location Awareness)
Notification d'événement système
Plug-and-Play
Service de restauration système
Services de cryptographie
Station de travail
Système d'événements de COM+
Téléphonie
Thèmes
Windows User Mode Driver Framework

a+
BOB3

Réponse 92 / 105

alex
20 mai 2008 à 11:30

Salut bob,

j'ai fait ce que tu m'as dit, voilà les messages d'erreur au démarrage:

RUNDLL: erreur de chargement de C:\Windows\system32\vwyxwayw.dll et C:\Windows\system32\kajpoo.dll, le module est introuvable.

A+

Alex

BOB3
20 mai 2008 à 12:11

Salut Alex

1--est ce que le service de restauration marche.

2--les deux fichiers doivent appartenir a des jeux (wolrd of craft + moghul empire)
est ce que t'as ces jeux installes, sinon il faut desinstaller tout les jeux existant pour mieux cerner le propleme.

3--envois un nouveau rapport Hijackthis pour voir le programme qui fait appel a ces 2 fichiers

a+
BOB3

Réponse 93 / 105

jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
20 mai 2008 à 11:37

slt
pour verifer:

colle un rapport hijackthis

http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

manuel :
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."
_______________

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Réponse 94 / 105

alex
20 mai 2008 à 13:11

Salut jlpjlp,
voici le hijackthis et le combofix que tu m’a demandé. Le combofix n’a pas été de la tarte : j’ai essayé 2 fois en mode normal, bilan : deux « erreure sérieuses windows » sur fond bleu , ça a marché en mode sans échec, mais même erreure apres l’enregistrement du truc. Cette page bleu windows parle des erreurs 0x0000008E, 0X80563ED6OB5947B2C (c’est approximatif), ai déjà eu cette erreur avec des jeux, mais ça parlait de.la CG

Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:17:04, on 20/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Microsoft Office\Office\Winword.exe
C:\hijackthis\eden.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lemonde.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {0476501F-CD96-482D-9B8E-8180A201317D} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {444FC7D1-8F08-4377-B39B-4D75AE0E9F70} - C:\WINDOWS\system32\yayaYoll.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {58D63F8F-EBAA-4FFE-910C-54B6E9C66A08} - (no file)
O2 - BHO: (no name) - {5C24CFD1-673B-4AA5-86EB-1F136FB18896} - (no file)
O2 - BHO: (no name) - {68B80CF0-715F-488F-9D83-5536D49115DE} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: iFinger plugin / Browser helper object - {A114D52B-870C-4F15-8021-B6D7F91A054B} - C:\PROGRA~1\iFinger\plugins\IE.ifp
O2 - BHO: (no name) - {A133FCAA-F20C-4BE6-9DC2-9997340D8119} - C:\WINDOWS\system32\cbXNeEwV.dll (file missing)
O2 - BHO: (no name) - {A78C0531-C748-44C5-B6FF-0AA3405B393E} - C:\WINDOWS\system32\cbXppmmj.dll (file missing)
O2 - BHO: (no name) - {AD221A8D-07C6-498B-97DA-EA4B62967013} - (no file)
O3 - Toolbar: (no name) - {D0943516-5076-4020-A3B5-AEFAF26AB263} - (no file)
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKLM\..\Run: [BMb38c7169] Rundll32.exe "C:\WINDOWS\system32\vwyxwayw.dll",s
O4 - HKLM\..\Run: [b0bf42f5] rundll32.exe "C:\WINDOWS\system32\oookajpo.dll",b
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\System32\SHDOCVW.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: yayaYoll - C:\WINDOWS\SYSTEM32\yayaYoll.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Réponse 95 / 105

jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
20 mai 2008 à 13:42

ok il y a des infections VUNDO dans ton ordi!

__________

Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp

O2 - BHO: (no name) - {0476501F-CD96-482D-9B8E-8180A201317D} - (no file)
O2 - BHO: (no name) - {444FC7D1-8F08-4377-B39B-4D75AE0E9F70} - C:\WINDOWS\system32\yayaYoll.dll

O2 - BHO: (no name) - {58D63F8F-EBAA-4FFE-910C-54B6E9C66A08} - (no file)
O2 - BHO: (no name) - {5C24CFD1-673B-4AA5-86EB-1F136FB18896} - (no file)
O2 - BHO: (no name) - {68B80CF0-715F-488F-9D83-5536D49115DE} - (no file)

O2 - BHO: (no name) - {A133FCAA-F20C-4BE6-9DC2-9997340D8119} - C:\WINDOWS\system32\cbXNeEwV.dll (file missing)
O2 - BHO: (no name) - {A78C0531-C748-44C5-B6FF-0AA3405B393E} - C:\WINDOWS\system32\cbXppmmj.dll (file missing)
O2 - BHO: (no name) - {AD221A8D-07C6-498B-97DA-EA4B62967013} - (no file)
O3 - Toolbar: (no name) - {D0943516-5076-4020-A3B5-AEFAF26AB263} - (no file)

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BMb38c7169] Rundll32.exe "C:\WINDOWS\system32\vwyxwayw.dll",s
O4 - HKLM\..\Run: [b0bf42f5] rundll32.exe "C:\WINDOWS\system32\oookajpo.dll",b

O20 - Winlogon Notify: yayaYoll - C:\WINDOWS\SYSTEM32\yayaYoll.dll

__________________

analyse ce fichier sur virus toal et si infécté tu le rajoute dans la partie files:: dans la suite:
https://www.virustotal.com/gui/

C:\WINDOWS\system32\rqRJYqqr.dll

___________________

pour fusionner:

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

____________________

Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

File::
C:\WINDOWS\system32\cbXNeEwV.dll
C:\WINDOWS\system32\cbXppmmj.dll
C:\WINDOWS\system32\vwyxwayw.dll
C:\WINDOWS\system32\oookajpo.dll
C:\WINDOWS\system32\vwyxwayw.dll
C:\WINDOWS\system32\yayaYoll.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0476501F-CD96-482D-9B8E-8180A201317D}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{444FC7D1-8F08-4377-B39B-4D75AE0E9F70}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{58D63F8F-EBAA-4FFE-910C-54B6E9C66A08}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5C24CFD1-673B-4AA5-86EB-1F136FB18896}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{68B80CF0-715F-488F-9D83-5536D49115DE}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A133FCAA-F20C-4BE6-9DC2-9997340D8119}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A78C0531-C748-44C5-B6FF-0AA3405B393E}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AD221A8D-07C6-498B-97DA-EA4B62967013}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BMb38c7169"=-
"b0bf42f5"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{444FC7D1-8F08-4377-B39B-4D75AE0E9F70}"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayaYoll]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BMb38c7169]

Enregistre ce fichier sous le nom CFscript

Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis et dis tes soucis actuels

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Réponse 96 / 105

alex
20 mai 2008 à 17:31

jlpjlp

ok, voici le rapport de combofix ( en mode sans échec, encore une fois et la même erreur windows au redémarrage, après enregistrement du rapport), et plus bas le tout dernier hijack; Sinon, mes principaux problèmes viennent de la lenteur d'internet (comparativement au PC de ma copine qui utilise la meme connexion par WIFI), et les jeux qui ne marchent pas, ou mal (ce qui vient plutôt de ma carte graphique défaillante et sous alimentée... Le bios peut parfoit être très long, et c'est à peu près tout.
Sinon, je crois que le problème de mise à jour windows est réglé, j'ai réessayé, et maintenant windows ne m'affiche plus de message d erreur pour ça, en revanche, j'ai pas essayé de rerestaurer le systeme.

a+
Alex

ComboFix 08-05-11.1 - Alexis DESNE 2008-05-20 16:54:24.7 - NTFSx86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1006 [GMT 2:00]
Endroit: C:\Documents and Settings\Alexis DESNE\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Alexis DESNE\Bureau\CFscript.txt

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color

FILE ::
C:\WINDOWS\system32\cbXNeEwV.dll
C:\WINDOWS\system32\cbXppmmj.dll
C:\WINDOWS\system32\oookajpo.dll
C:\WINDOWS\system32\rqRJYqqr.dll
C:\WINDOWS\system32\vwyxwayw.dll
C:\WINDOWS\system32\yayaYoll.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\rqRJYqqr.dll
C:\WINDOWS\system32\yayaYoll.dll

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-20 to 2008-05-20 ))))))))))))))))))))))))))))))))))))
.

2009-04-22 21:24 . 2004-03-08 23:00 152,848 --a------ C:\WINDOWS\system32\COMDLG32.OCX
2009-04-22 21:24 . 2009-04-22 21:24 256 --a------ C:\WINDOWS\system32\imail40.rtl
2008-05-20 12:16 . 2008-05-20 16:44 <REP> d-------- C:\hijackthis
2008-05-18 00:13 . 2008-05-18 00:13 <REP> d-------- C:\Program Files\Zone Labs
2008-05-18 00:12 . 2008-05-20 16:39 <REP> d-------- C:\WINDOWS\Internet Logs
2008-05-17 22:50 . 2008-05-17 22:50 <REP> d-------- C:\Program Files\Firaxis Games
2008-05-17 19:19 . 2008-05-17 19:19 <REP> d-------- C:\Program Files\Satsuki Decoder Pack
2008-05-17 12:12 . 2008-05-17 19:16 153 --a------ C:\WINDOWS\wininit.ini
2008-05-17 11:01 . 2008-05-19 11:28 109,816 --a------ C:\WINDOWS\BMb38c7169.xml
2008-05-16 14:35 . 2008-05-18 13:41 <REP> d-------- C:\Documents and Settings\Alexis DESNE\Application Data\BitTorrent
2008-05-16 14:34 . 2008-05-16 14:34 <REP> d-------- C:\Program Files\DNA
2008-05-16 14:34 . 2008-05-16 14:34 <REP> d-------- C:\Program Files\BitTorrent
2008-05-16 14:34 . 2008-05-18 21:42 <REP> d-------- C:\Documents and Settings\Alexis DESNE\Application Data\DNA
2008-05-16 12:39 . 2008-05-16 12:39 <REP> d-------- C:\Program Files\OpenAL
2008-05-16 12:39 . 2006-12-14 20:47 782,336 -ra------ C:\WINDOWS\system32\tmp40.tmp
2008-05-16 12:39 . 2008-05-16 12:39 409,600 --a------ C:\WINDOWS\system32\wrap_oal.dll
2008-05-16 12:39 . 2008-05-16 12:39 114,688 --a------ C:\WINDOWS\system32\OpenAL32.dll
2008-05-16 12:25 . 2008-05-16 12:25 <REP> d-------- C:\Program Files\Bohemia Interactive
2008-05-15 23:53 . 2008-05-15 23:53 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-05-15 23:53 . 2008-05-16 00:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-15 23:39 . 2008-05-15 23:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Last.fm
2008-05-15 08:45 . 2008-05-15 23:39 <REP> d-------- C:\Program Files\Last.fm
2008-05-15 08:31 . 2008-05-15 08:34 <REP> d-------- C:\Program Files\Magic MP3 Tagger
2008-05-14 12:36 . 2008-05-14 12:40 <REP> d-------- C:\Program Files\CDex_150
2008-05-14 12:24 . 2008-05-14 12:24 <REP> d-------- C:\Program Files\Winamp
2008-05-14 12:24 . 2008-05-14 12:30 <REP> d-------- C:\Documents and Settings\Alexis DESNE\Application Data\Winamp
2008-05-14 08:07 . 2008-05-14 08:07 <REP> d-------- C:\Program Files\Trend Micro
2008-05-13 14:40 . 2008-05-14 19:11 <REP> d-------- C:\Program Files\Enigma Software Group
2008-05-13 09:45 . 2008-05-13 09:45 172 --a------ C:\curr_ver.tmp
2008-05-12 22:03 . 2008-05-12 22:04 <REP> d-------- C:\Program Files\Panda Security
2008-05-12 00:26 . 2008-05-20 13:31 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-05-10 12:40 . 2008-05-10 12:40 <REP> d-------- C:\Program Files\CCleaner
2008-05-10 03:29 . 2008-05-10 03:29 0 --a------ C:\23990098.$$$
2008-05-10 00:47 . 2008-05-10 00:47 <REP> d-a------ C:\WINDOWS\zts2.exe
2008-05-10 00:47 . 2008-05-10 00:47 <REP> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-05-10 00:47 . 2008-05-10 00:47 <REP> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-05-10 00:47 . 2008-05-10 00:47 <REP> d-a------ C:\WINDOWS\rundll16.exe
2008-05-10 00:47 . 2008-05-10 00:47 <REP> d-a------ C:\WINDOWS\rundl132.dll
2008-05-10 00:47 . 2008-05-10 00:47 <REP> d-a------ C:\WINDOWS\logo1_.exe
2008-05-10 00:44 . 2008-05-10 09:20 50 --a------ C:\WINDOWS\Lic.xxx
2008-05-10 00:43 . 2004-08-20 01:10 153,088 --a------ C:\WINDOWS\R.COM
2008-05-10 00:43 . 2004-08-20 01:10 143,360 --a------ C:\WINDOWS\system32\T.COM
2008-05-09 23:52 . 2008-05-09 23:53 <REP> d-------- C:\WINDOWS\ERUNT
2008-05-09 08:20 . 2008-05-10 07:45 <REP> d-------- C:\SDFix
2008-05-09 08:11 . 2008-05-09 08:15 <REP> d-------- C:\Downloads
2008-05-09 08:11 . 2008-05-09 08:15 <REP> d-------- C:\Bases
2008-05-07 19:24 . 2008-05-07 19:24 77,192,042 --a------ C:\registrybackup.reg
2008-05-02 13:17 . 2008-05-02 13:17 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-05-02 13:17 . 2008-05-02 13:17 <REP> d-------- C:\Documents and Settings\Alexis DESNE\Application Data\Grisoft
2008-05-02 13:17 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-17 21:02 --------- d-----w C:\Documents and Settings\Alexis DESNE\Application Data\My Games
2008-05-17 20:50 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-12 13:11 --------- d-----w C:\Program Files\MSI
2008-05-12 13:09 --------- d-----w C:\Program Files\Fichiers communs\Real
2008-05-12 12:58 --------- d-----w C:\Program Files\EHMINSTALL
2008-04-18 19:40 --------- d-----w C:\Documents and Settings\Alexis DESNE\Application Data\dvdcss
2008-04-07 14:54 --------- d-----w C:\Program Files\AGEIA Technologies
.

((((((((((((((((((((((((((((( snapshot_2008-05-20_12.46.51.15 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-20 10:37:55 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-20 14:58:28 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-29 06:49:06 456,768 ----a-w C:\WINDOWS\Downloaded Program Files\wlscBase.dll
+ 2008-05-20 14:58:55 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_66c.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{444FC7D1-8F08-4377-B39B-4D75AE0E9F70}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-05-18 21:35 15360]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-08-11 15:43 7630848]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-04-02 21:07 919016]
"MSConfig"="C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.exe" [2004-08-20 01:09 160768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-05-18 21:35 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayaYoll]
yayaYoll.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= L3codecp.acm

[HKLM\~\startupfolder\C:^Documents and Settings^Alexis DESNE^Menu Démarrer^Programmes^Démarrage^OFFICE One 6.5.lnk]
path=C:\Documents and Settings\Alexis DESNE\Menu Démarrer\Programmes\Démarrage\OFFICE One 6.5.lnk
backup=C:\WINDOWS\pss\OFFICE One 6.5.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Alexis DESNE^Menu Démarrer^Programmes^Démarrage^UltimateZip Quick Start.lnk]
path=C:\Documents and Settings\Alexis DESNE\Menu Démarrer\Programmes\Démarrage\UltimateZip Quick Start.lnk
backup=C:\WINDOWS\pss\UltimateZip Quick Start.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage d'Office.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage d'Office.lnk
backup=C:\WINDOWS\pss\Démarrage d'Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hp psc 1000 series.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\hp psc 1000 series.lnk
backup=C:\WINDOWS\pss\hp psc 1000 series.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hpoddt01.exe.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\hpoddt01.exe.lnk
backup=C:\WINDOWS\pss\hpoddt01.exe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^iFinger 2.0.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\iFinger 2.0.lnk
backup=C:\WINDOWS\pss\iFinger 2.0.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^OFFICE One Clock v6.5.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\OFFICE One Clock v6.5.lnk
backup=C:\WINDOWS\pss\OFFICE One Clock v6.5.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^OFFICE One Notes v6.5.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\OFFICE One Notes v6.5.lnk
backup=C:\WINDOWS\pss\OFFICE One Notes v6.5.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^SecureDoc.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\SecureDoc.lnk
backup=C:\WINDOWS\pss\SecureDoc.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck]
--a------ 2006-11-02 17:57 528384 C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
--a------ 2008-05-16 14:34 289088 C:\Program Files\DNA\btdna.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BMb38c7169]
C:\WINDOWS\system32\vwyxwayw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BufferZone]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-08-11 15:43 86016 C:\WINDOWS\System32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OoPDFSettingsv6.exe]
--a------ 2003-07-03 14:19 433152 C:\Program Files\OFFICE One6.5\OFFICE One PDF Manager\OoPDFSettingsv6.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\oouserv6.exe]
--a------ 2003-06-30 07:00 256000 C:\Program Files\OFFICE ONE6.5\program\oouserv6.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCCClient.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\pccguide.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pop3trap.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SW20]
-ra------ 2006-09-07 12:13 208896 C:\WINDOWS\system32\sw20.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SW24]
-ra------ 2006-09-07 12:14 69632 C:\WINDOWS\system32\sw24.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinSys2]
-ra------ 2006-10-03 08:37 217088 C:\WINDOWS\system32\winsys2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\DNA\\btdna.exe"=
"C:\\Program Files\\BitTorrent\\bittorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:Emule TCP entrant
"4672:UDP"= 4672:UDP:emule udp rentrant

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-10-17 21:22]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2006-12-20 16:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eaf08f12-edf3-11db-a8a5-004063c22f0b}]
\Shell\Auto\command - sxs.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sxs.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-05-16 09:42:41 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1170931307.job"
- C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-20 17:00:08
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-20 17:05:22 - machine was rebooted [Alexis DESNE]
ComboFix-quarantined-files.txt 2008-05-20 15:05:19
ComboFix2.txt 2008-05-20 10:47:37
ComboFix3.txt 2008-05-13 08:20:39
ComboFix4.txt 2008-05-07 17:37:42

Pre-Run: 47,123,439,616 octets libres
Post-Run: 47,121,039,360 octets libres

218 --- E O F --- 2008-05-16 07:54:41

HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:13, on 2008-05-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\hijackthis\eden.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lemonde.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {444FC7D1-8F08-4377-B39B-4D75AE0E9F70} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: iFinger plugin / Browser helper object - {A114D52B-870C-4F15-8021-B6D7F91A054B} - C:\PROGRA~1\iFinger\plugins\IE.ifp
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\System32\SHDOCVW.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: yayaYoll - yayaYoll.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Réponse 97 / 105

jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
20 mai 2008 à 17:37

Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: (no name) - {444FC7D1-8F08-4377-B39B-4D75AE0E9F70} - (no file)
O20 - Winlogon Notify: yayaYoll - yayaYoll.dll (file missing)

O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)

____________________________

désactive le tea timer de spybot ! lance SPYOBT puis vas dans MODE mode AVANCE puis OUTIL puis RESIDENT

_________________________

scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

____________________________

colle le rapport d'un scan en ligne
avec un des suivants:

bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

Réponse 98 / 105

alex
20 mai 2008 à 19:35

Ok, voici le rapport de malwarebyte's atimalware, et panda en ligne n'a rien trouvé

alex

Malwarebytes' Anti-Malware 1.12
Version de la base de données: 770

Type de recherche: Examen complet (C:\|)
Eléments examinés: 81356
Temps écoulé: 23 minute(s), 54 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Réponse 99 / 105

jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
20 mai 2008 à 19:48

nettoie ton pc avec cleaner

https://www.malekal.com/tutoriel-ccleaner/

___________
repare windows comme ceci

https://www.pcastuces.com/pratique/windows/xp/default.htm

_________
puis dis moi si encore des soucis

Réponse 100 / 105

alex
21 mai 2008 à 20:50

salut

ok, j n'ai pas pu faire la manip de réparation parceque je ne retrouve pas le cd d'installation, sinon le message dont j avais parlé sur IE est revenu.
A par ça nikel, le net a retrouvé sa vitesse normale, le PC tourne bien, plus de bug, j'ai meme réinstallé et joué à des jeux que j avais abandonné parceque je pensais que c'était la CG qui foirait. Sinon, les 2 poblemes pour lesquels je consultais, à savoir la restauration systeme et la mise à jour automatique de windows son réparés.
Donc à priori tout va pour le mieux ou presque

merci bien

a+

Alex

Discussions similaires

Comment supprimer le virus Trojan

Virus : trojan:win32/wacatac.h!ml

Aide pour un virus

Trojan impossible à supprimer!

C'est quoi "Win32:Trojan-gen {Other}"