Infecté par TROJ PRIVACYSE.A Résolu

Question

Bonjour,
Je suis infecté par le trojan PRYVACISE.A, non-cleanable par secuser.com.
Pouvez-vous m'aider à le supprimer.
Merci d'avance
Nico

g!rly · Answer

salut,

Télécharge HijackThis ici : 

-> http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/Hijenr.gif 

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Post le rapport généré ici stp...

@+

g!rly · Answer

ok

Téléchargez ceci (de gchris) : http://sd-1.archive-host.com/membres/up/1366464061/Ad-Fix.zip
Dézippez-le sur votre bureau (clic droit -> extraire tout).
Vérifiez que vous êtes bien connecté à internet.
Dans le dossier créé, double-cliquez sur le fichier "Ad-Fix.bat" ou "Ad-fix"
Choisissez l'option 1.
Si vous avez un message de votre pare-feu qui vous demande si vous voulez autoriser le fichier URL2FILE.EXE à
se connecter à Internet, Autorisez, c'est nécessaire à ad-fix pour vérifier la version.
Quand c'est finit (cela peut prendre plusieurs minutes), un rapport s'ouvre avec le bloc-notes.
Merci de faire un copier/coller ici du contenu du rapport (Ad-Fix.txt)

@+

g!rly · Answer

j´ai edité le post car bt fix n´est pas telechargeablke pour le moment, adfix va faire l´affaire ;-)
@+

g!rly · Answer

ok

¤Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).  

Lancez de nouveau Ad-fix
Choisissez l'option 2
Le bureau ou les icônes vont disparaître, c'est normal.
Quand c'est terminé, pressez la touche "entrée" pour redémarrer l'ordinateur.

Copiez collez ici, le contenu du nouveau rapport.

avec un nouveau rapport hijack this stp

@+

g!rly · Answer

ah oui quand meme...

passe :

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer
* Clique sur le bouton Scan for Vundo
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

puis

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe     

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Post un nouveau rapport hijack this egalement

Donc post les trois rapports

@+

g!rly · Answer

S<alut nico,

la suite :

Copie le texte ci-dessous :

File::
C:\WINDOWS\system32\wvutsts.dll
C:\WINDOWS\system32\xxyvtsPg.dll
C:\WINDOWS\system32estart.exe
C:\WINDOWS\system32\delnext.exe
C:\WINDOWS\system32\vtutr.dll
C:\WINDOWS\AU_Temp
C:\WINDOWS\AU_Log
C:\WINDOWS\TMUPDATE.DLL
C:\WINDOWS\PATCH.EXE
C:\WINDOWS\UNZIP.DLL
C:\WINDOWS\GetServer.ini
C:\WINDOWS\wininit.ini
C:\WINDOWS\system32
se152.dll
C:\WINDOWS\system32\{f0f53fc9-ac4b-4f1f-032d-609899e5b5ba}.dll
C:\WINDOWS\system32\{f0f53fc9-ac4b-4f1f-032d-609899e5b5ba}.dll-unin­st.exe

Folder::
C:\VundoFix Backups
C:\Program Files\AntiSpywareExpert

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{733716E1-76D2-4003-AC39-845281C0EF85}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4D16D20-C64D-4287-943A-CB31987888B1}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{fd10f60f-45c4-16d3-2799-6440c219b48f}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AntiSpywareExpert"=-

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

Ps : a quoi te sert ce programme ?

C:\Program Files\Maïdo Production\IziWebFiles

@+

Nico · Answer

ComboFix 08-05-26.2 - Will 2008-06-02 21:32:58.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.541 [GMT 2:00]
Endroit: C:\Documents and Settings\Will\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Will\Bureau\CFScript.txt..txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\WINDOWS\AU_Log
C:\WINDOWS\AU_Temp
C:\WINDOWS\GetServer.ini
C:\WINDOWS\PATCH.EXE
C:\WINDOWS\system32\{f0f53fc9-ac4b-4f1f-032d-609899e5b5ba}.dll
C:\WINDOWS\system32\{f0f53fc9-ac4b-4f1f-032d-609899e5b5ba}.dll-uninst.exe
C:\WINDOWS\system32\delnext.exe
C:\WINDOWS\system32\nse152.dll
C:\WINDOWS\system32\restart.exe
C:\WINDOWS\system32\vtutr.dll
C:\WINDOWS\system32\wvutsts.dll
C:\WINDOWS\system32\xxyvtsPg.dll
C:\WINDOWS\TMUPDATE.DLL
C:\WINDOWS\UNZIP.DLL
C:\WINDOWS\wininit.ini
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\VundoFix Backups
C:\VundoFix Backups\bbadd.ini.bad
C:\VundoFix Backups\bbadd.ini2.bad
C:\VundoFix Backups\ddabb.dll.bad
C:\VundoFix Backups\jkklm.dll.bad
C:\VundoFix Backups\sstqp.dll.bad
C:\VundoFix Backups\vtsqq.dll.bad
C:\VundoFix Backups\wvutsts.dll.bad
C:\WINDOWS\BM6f10976c.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\GetServer.ini
C:\WINDOWS\PATCH.EXE
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\{f0f53fc9-ac4b-4f1f-032d-609899e5b5ba}.dll
C:\WINDOWS\system32\delnext.exe
C:\WINDOWS\system32\iehjoykl.dll
C:\WINDOWS\system32\lkyojhei.ini
C:\WINDOWS\system32\nse152.dll
C:\WINDOWS\system32\restart.exe
C:\WINDOWS\system32\sttss.ini
C:\WINDOWS\system32\sttss.ini2
C:\WINDOWS\system32\tiqllasn.dll
C:\WINDOWS\system32\vtutr.dll
C:\WINDOWS\system32\wvutsts.dll
C:\WINDOWS\system32\xxyvtsPg.dll
C:\WINDOWS\TMUPDATE.DLL
C:\WINDOWS\UNZIP.DLL
C:\WINDOWS\wininit.ini

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-02 to 2008-06-02 ))))))))))))))))))))))))))))))))))))
.

2008-06-02 18:24 . 2008-06-02 18:24 <REP> d-------- C:\Documents and Settings\Invité
2008-06-02 18:24 . <REP> C:\Documents and Settings\InvitÚ\Local Settings
2008-06-02 18:24 . <REP> C:\Documents and Settings\InvitÚ\Local Settings
2008-05-30 20:22 . 2008-05-30 20:22 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-05-30 18:27 . 2008-05-30 18:27 <REP> d-------- C:\Program Files\Trend Micro
2008-05-30 11:33 . 2008-05-30 11:33 <REP> d-------- C:\WINDOWS\report
2008-05-30 11:33 . 2008-05-30 11:27 36,152,225 --a------ C:\WINDOWS\LPT$VPN.295
2008-05-30 11:27 . 2008-05-30 11:27 <REP> d-------- C:\WINDOWS\AU_Backup
2008-05-30 11:27 . 2008-05-30 11:27 36,152,225 --a------ C:\WINDOWS\VPTNFILE.295
2008-05-30 11:27 . 2008-05-30 11:27 1,954,681 --a------ C:\WINDOWS\tsc.ptn
2008-05-30 11:27 . 2008-05-30 11:27 1,213,784 --a------ C:\WINDOWS\vsapi32.dll
2008-05-30 11:27 . 2008-05-30 11:27 333,576 --a------ C:\WINDOWS\TSC.exe
2008-05-30 11:27 . 2008-05-30 11:27 91,744 --a------ C:\WINDOWS\BPMNT.dll
2008-05-30 11:27 . 2008-05-30 11:27 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2008-05-30 11:27 . 2008-05-30 16:04 823 --a------ C:\WINDOWS\tsc.ini
2008-05-30 11:25 . 2008-05-30 11:27 <REP> d-------- C:\WINDOWS\AU_Temp
2008-05-30 11:25 . 2008-05-30 11:25 <REP> d-------- C:\WINDOWS\AU_Log
2008-05-27 18:03 . 2008-05-27 18:03 95,833 --a------ C:\WINDOWS\system32\{f0f53fc9-ac4b-4f1f-032d-609899e5b5ba}.dll-uninst.exe
2008-05-24 12:43 . 2008-05-24 12:43 316,112 --a------ C:\WINDOWS\system32\sstts.dll
2008-05-22 17:34 . 2008-05-23 19:36 <REP> d-------- C:\Documents and Settings\Invit‚
2008-05-13 14:44 . 2008-05-13 14:44 316,096 --a------ C:\WINDOWS\system32\vtsqn.dll
2008-05-12 19:11 . 2008-05-12 21:43 <REP> d-------- C:\Documents and Settings\famille\Application Data\Hamachi

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-02 19:29 --------- d-----w C:\Documents and Settings\Will\Application Data\Hamachi
2008-06-02 15:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-05-27 16:20 --------- d-----w C:\Program Files\Google
2008-05-24 12:11 --------- d-----w C:\Program Files\LimeWire
2008-05-20 12:48 --------- d-----w C:\Program Files\TuxPaint
2008-05-19 17:22 --------- d-----w C:\Program Files\InternetProgram
2008-04-22 09:44 --------- d-----w C:\Program Files\Windows Media Components
2008-04-22 09:42 --------- d-----w C:\Program Files\NRJ
2008-04-01 11:09 71,326 -c--a-w C:\WINDOWS\BricoPackUninst.cmd
2008-04-01 11:09 5,415 -c--a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
.

------- Sigcheck -------

2007-06-26 16:36 669696 19058fbdc72f7bae085369c6d0a7d074 C:\WINDOWS\$hf_mig$\KB937143\SP2QFE\wininet.dll
2007-06-27 16:14 824320 7201d19b81883b57d5ffe8ebb5a83e8b C:\WINDOWS\$hf_mig$\KB937143-IE7\SP2QFE\wininet.dll
2007-08-20 11:49 825344 2dd1b0f579c80562edcb8848ff7ea9f6 C:\WINDOWS\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll
2007-10-11 01:22 825344 871ae10d6ae8877e9636ae5017953d52 C:\WINDOWS\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll
2007-12-07 03:42 825344 f4fd487241d3ac291046a22cebd2cf71 C:\WINDOWS\$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll
2004-08-05 14:00 660480 58fe94ef42e074f4cad8bf02e70e6478 C:\WINDOWS\$NtUninstallKB937143_0$\wininet.dll
2004-08-05 14:00 660480 58fe94ef42e074f4cad8bf02e70e6478 C:\WINDOWS\ie7\wininet.dll
2007-08-13 19:54 818688 a4a0fc92358f39538a6494c42ef99fe9 C:\WINDOWS\ie7updates\KB939653-IE7\wininet.dll
2007-08-20 11:59 824832 f6dfceed3a7aa4c9eeb966d3f1adc70a C:\WINDOWS\ie7updates\KB942615-IE7\wininet.dll
2007-10-11 01:49 824832 bc5119c53bdd48dabc628d448a3bdccb C:\WINDOWS\ie7updates\KB944533-IE7\wininet.dll
2007-12-07 04:08 824832 4fc90bece54fac81b0090b94e27bfb6b C:\WINDOWS\SoftwareDistribution\Download\[u]0[/u]7ae2e5edb64dd4f4ba47df3cec87b33\sp2gdr\wininet.dll
2007-12-07 03:42 825344 f4fd487241d3ac291046a22cebd2cf71 C:\WINDOWS\SoftwareDistribution\Download\[u]0[/u]7ae2e5edb64dd4f4ba47df3cec87b33\sp2qfe\wininet.dll
2007-06-27 15:24 823808 2274862267d7445e7010d9af826e89c3 C:\WINDOWS\SoftwareDistribution\Download\7c61b059d2af0f3ba460f8ec129d2f73\SP2GDR\wininet.dll
2007-06-27 16:14 824320 7201d19b81883b57d5ffe8ebb5a83e8b C:\WINDOWS\SoftwareDistribution\Download\7c61b059d2af0f3ba460f8ec129d2f73\SP2QFE\wininet.dll
2008-03-01 14:58 826368 8e027981ddffa690d456fe18b37415a0 C:\WINDOWS\SoftwareDistribution\Download\8d613c2fcdbe6fc37944c01a65abe170\SP2GDR\wininet.dll
2008-03-01 14:34 827392 5a0093f59b505c008ed0cee615563c72 C:\WINDOWS\SoftwareDistribution\Download\8d613c2fcdbe6fc37944c01a65abe170\SP2QFE\wininet.dll
2007-08-13 19:54 809472 f284a6225a3057a1e19985e1d4b47ada C:\WINDOWS\system32\wininet.dll
2007-08-13 19:54 809472 f284a6225a3057a1e19985e1d4b47ada C:\WINDOWS\system32\dllcache\wininet.dll

2004-08-05 14:00 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\explorer.exe
2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 15:22 1037312 d0288319660edcfed07c7e74c4ea38a5 C:\WINDOWS\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\sp2gdr\explorer.exe
2004-08-05 14:00 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((( snapshot@2008-06-02_18.24.13.07 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-02 16:21:12 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-02 19:36:45 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-02 19:36:52 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_1b4.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B8402CF4-DEAB-4859-A37D-9C4D70BEE8E2}]
2008-05-24 12:43 316112 --a------ C:\WINDOWS\system32\sstts.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-23 10:44 68856]
"IziWebFiles"="C:\Program Files\Maïdo Production\IziWebFiles\IziWebFiles.exe" [ ]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 02:07 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtiPTA"="atiptaxx.exe" [2001-09-26 22:39 245760 C:\WINDOWS\system32\atiptaxx.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"avast!"="d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06 79224]
"Adobe Reader Speed Launcher"="D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-10-12 10:33 131072]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-10-12 10:33 163840]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-10-12 10:33 135168]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-27 08:20 16844800 C:\WINDOWS\RTHDCPL.exe]
"SNPSTD2"="C:\WINDOWS\vsnpstd2.exe" [2004-08-30 17:37 286720]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave"= alsnd32.dll
"MIDI"= alsnd32.dll
"aux"= alsnd32.dll
"mixer"= alsnd32.dll
"wave1"= alsnd32.dll
"MIDI1"= alsnd32.dll
"aux1"= alsnd32.dll
"mixer1"= alsnd32.dll
"wave2"= alsnd32.dll
"MIDI2"= alsnd32.dll
"aux2"= alsnd32.dll
"mixer2"= alsnd32.dll
"wave3"= alsnd32.dll
"MIDI3"= alsnd32.dll
"aux3"= alsnd32.dll
"mixer3"= alsnd32.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\sstts.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Windows Media Player\\wmplayer.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Internet Explorer\\iexplore.exe"=
"C:\\Program Files\\Ankama Games\\DofusArenaBeta2\\DofusArena.exe"=
"C:\\WINDOWS\\system32\\java.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=

R3 snpstd2;Trek 310;C:\WINDOWS\system32\DRIVERS\snpstd2.sys [2005-05-23 21:29]
S3 ati2mtaa;ati2mtaa;C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2001-09-26 21:32]
S3 SetupNTGLM7X;SetupNTGLM7X;H:\NTGLM7X.sys []
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 14:00]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-02 21:37:25
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
-> C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon.dll
.
------------------------ Other Running Processes ------------------------
.
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Hamachi\hamachi.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINDOWS\SoftwareDistribution\Download\[u]0[/u]2418795bf9ae0332d2724a0721b3b6a\update\update.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-02 21:40:03 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-02 19:39:57
ComboFix2.txt 2008-06-02 16:24:31

Pre-Run: 5,753,552,896 octets libres
Post-Run: 5,752,471,552 octets libres

225 --- E O F --- 2008-06-02 16:24:07

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:41:46, on 02/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
d:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\vsnpstd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Hamachi\hamachi.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {B8402CF4-DEAB-4859-A37D-9C4D70BEE8E2} - C:\WINDOWS\system32\sstts.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [IziWebFiles] C:\Program Files\Maïdo Production\IziWebFiles\IziWebFiles.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://click.getmirar.com (HKLM)
O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

g!rly · Answer

Nico`

mince j´ai oublié un fichier ;(

Pour quand tu auras le temps :

* Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

n´y touche pas 

redemarre en mode sans echec:

Comment redémarrer en mode sans echec? 

   Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
   Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
   capture d´ecran : http://www.coupdepoucepc.com/images_cdppc4/fichespratiques/windowsxp/modese/modese2.jpg
   Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
   Ps : si F8 ne marche pas utilise la touche F5.

Note : en mode sans echec tu n´auras plus acces au net alors imprime ou copie les instructions ci dessous dans un fichier texte que tu pourras consulter a souhait
une fois en mode sans echec.

Fix.reg

Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres(x)) :

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
REGEDIT4

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B8402CF4-DEAB-4859-A37D-9C4D70BEE8E2}]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Note : Regedit4 est sur la premiere ligne dans le bloc note et il y a une ligne blanche a la fin. 
Puis click sur "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

ca doit ressembler a ca une fois enrregistré :

http://img520.imageshack.us/img520/4251/screenshot005ps2.png

double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :

C:\WINDOWS\system32\sstts.dll

* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

Redemarre normalement et post le rapport de ot_move it ici stp ainsi qu´un nouveau rapport hijack this.

puis tu passeras en suite cet antispyware :

Fais un scan avec cet antispyware :

Telecharge malwarebytes + tutoriel :

-> https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Tu l´instale; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examun complet".

Puis click sur "rechercher".

Laisse le scanner le pc... 

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

Copie et colle le rapport stp.

Donc post un nouveau rapport hijack this ainsi que le rapport de malwarebytes

@ demain`

Nico · Answer

Bonjour
Je vais m'en occuper ce soir.
Pour ce qui est de C:\Program Files\Maïdo Production\IziWebFiles, mon fils ne sais plus ce que c'est.
On peut donc le virer si c'est suspect !
@+
Nico

Nico · Answer

Bonsoir
J'ai un problème, le PC ne veut plus démarrer en mode sans échec.
Après avoir sélectionner le mode sans echec, le PC bloque sur un écran noir avec le curseur clignotant en haut à gauche.
Que puis-je faire ?
Par contre il démarre en mode normal !

g!rly · Answer

salut nico,

alors rajoute le a la liste de suppression de ot_move it (C:\Program Files\Maïdo Production\IziWebFiles)

@+

g!rly · Answer

bon pour le moment on va contibuer la desinfection en utilisant combofix

Copie le texte ci-dessous :

File::
C:\WINDOWS\system32\sstts.dll

Folder::
C:\Program Files\Maïdo Production

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B8402CF4-DEAB-4859-A37D-9C4D70BEE8E2}]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

Passe egalement malwarebytes

@+

Nico · Answer

ComboFix 08-05-26.2 - Will 2008-06-03 19:06:42.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.628 [GMT 2:00]
Endroit: C:\Documents and Settings\Will\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Will\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\WINDOWS\system32\sstts.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\Maïdo Production
C:\WINDOWS\system32\sstts.dll

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-03 to 2008-06-03 ))))))))))))))))))))))))))))))))))))
.

2008-06-02 18:24 . 2008-06-02 18:24 <REP> d-------- C:\Documents and Settings\Invité
2008-06-02 18:24 . <REP> C:\Documents and Settings\InvitÚ\Local Settings
2008-06-02 18:24 . <REP> C:\Documents and Settings\InvitÚ\Local Settings
2008-05-30 20:22 . 2008-05-30 20:22 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-05-30 18:27 . 2008-05-30 18:27 <REP> d-------- C:\Program Files\Trend Micro
2008-05-30 11:33 . 2008-05-30 11:33 <REP> d-------- C:\WINDOWS\report
2008-05-30 11:33 . 2008-05-30 11:27 36,152,225 --a------ C:\WINDOWS\LPT$VPN.295
2008-05-30 11:27 . 2008-05-30 11:27 <REP> d-------- C:\WINDOWS\AU_Backup
2008-05-30 11:27 . 2008-05-30 11:27 36,152,225 --a------ C:\WINDOWS\VPTNFILE.295
2008-05-30 11:27 . 2008-05-30 11:27 1,954,681 --a------ C:\WINDOWS\tsc.ptn
2008-05-30 11:27 . 2008-05-30 11:27 1,213,784 --a------ C:\WINDOWS\vsapi32.dll
2008-05-30 11:27 . 2008-05-30 11:27 333,576 --a------ C:\WINDOWS\TSC.exe
2008-05-30 11:27 . 2008-05-30 11:27 91,744 --a------ C:\WINDOWS\BPMNT.dll
2008-05-30 11:27 . 2008-05-30 11:27 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2008-05-30 11:27 . 2008-05-30 16:04 823 --a------ C:\WINDOWS\tsc.ini
2008-05-30 11:25 . 2008-05-30 11:27 <REP> d-------- C:\WINDOWS\AU_Temp
2008-05-30 11:25 . 2008-05-30 11:25 <REP> d-------- C:\WINDOWS\AU_Log
2008-05-27 18:03 . 2008-05-27 18:03 95,833 --a------ C:\WINDOWS\system32\{f0f53fc9-ac4b-4f1f-032d-609899e5b5ba}.dll-uninst.exe
2008-05-22 17:34 . 2008-05-23 19:36 <REP> d-------- C:\Documents and Settings\Invit‚
2008-05-13 14:44 . 2008-05-13 14:44 316,096 --a------ C:\WINDOWS\system32\vtsqn.dll
2008-05-12 19:11 . 2008-05-12 21:43 <REP> d-------- C:\Documents and Settings\famille\Application Data\Hamachi

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-03 17:11 --------- d-----w C:\Documents and Settings\Will\Application Data\Hamachi
2008-06-03 16:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-05-27 16:20 --------- d-----w C:\Program Files\Google
2008-05-24 12:11 --------- d-----w C:\Program Files\LimeWire
2008-05-20 12:48 --------- d-----w C:\Program Files\TuxPaint
2008-05-19 17:22 --------- d-----w C:\Program Files\InternetProgram
2008-04-22 09:44 --------- d-----w C:\Program Files\Windows Media Components
2008-04-22 09:42 --------- d-----w C:\Program Files\NRJ
2008-04-01 11:09 71,326 -c--a-w C:\WINDOWS\BricoPackUninst.cmd
2008-04-01 11:09 5,415 -c--a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
.

------- Sigcheck -------

2007-06-26 16:36 669696 19058fbdc72f7bae085369c6d0a7d074 C:\WINDOWS\$hf_mig$\KB937143\SP2QFE\wininet.dll
2007-06-27 16:14 824320 7201d19b81883b57d5ffe8ebb5a83e8b C:\WINDOWS\$hf_mig$\KB937143-IE7\SP2QFE\wininet.dll
2007-08-20 11:49 825344 2dd1b0f579c80562edcb8848ff7ea9f6 C:\WINDOWS\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll
2007-10-11 01:22 825344 871ae10d6ae8877e9636ae5017953d52 C:\WINDOWS\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll
2007-12-07 03:42 825344 f4fd487241d3ac291046a22cebd2cf71 C:\WINDOWS\$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll
2004-08-05 14:00 660480 58fe94ef42e074f4cad8bf02e70e6478 C:\WINDOWS\$NtUninstallKB937143_0$\wininet.dll
2004-08-05 14:00 660480 58fe94ef42e074f4cad8bf02e70e6478 C:\WINDOWS\ie7\wininet.dll
2007-08-13 19:54 818688 a4a0fc92358f39538a6494c42ef99fe9 C:\WINDOWS\ie7updates\KB939653-IE7\wininet.dll
2007-08-20 11:59 824832 f6dfceed3a7aa4c9eeb966d3f1adc70a C:\WINDOWS\ie7updates\KB942615-IE7\wininet.dll
2007-10-11 01:49 824832 bc5119c53bdd48dabc628d448a3bdccb C:\WINDOWS\ie7updates\KB944533-IE7\wininet.dll
2007-12-07 04:08 824832 4fc90bece54fac81b0090b94e27bfb6b C:\WINDOWS\SoftwareDistribution\Download\[u]0[/u]7ae2e5edb64dd4f4ba47df3cec87b33\sp2gdr\wininet.dll
2007-12-07 03:42 825344 f4fd487241d3ac291046a22cebd2cf71 C:\WINDOWS\SoftwareDistribution\Download\[u]0[/u]7ae2e5edb64dd4f4ba47df3cec87b33\sp2qfe\wininet.dll
2007-06-27 15:24 823808 2274862267d7445e7010d9af826e89c3 C:\WINDOWS\SoftwareDistribution\Download\7c61b059d2af0f3ba460f8ec129d2f73\SP2GDR\wininet.dll
2007-06-27 16:14 824320 7201d19b81883b57d5ffe8ebb5a83e8b C:\WINDOWS\SoftwareDistribution\Download\7c61b059d2af0f3ba460f8ec129d2f73\SP2QFE\wininet.dll
2008-03-01 14:58 826368 8e027981ddffa690d456fe18b37415a0 C:\WINDOWS\SoftwareDistribution\Download\8d613c2fcdbe6fc37944c01a65abe170\SP2GDR\wininet.dll
2008-03-01 14:34 827392 5a0093f59b505c008ed0cee615563c72 C:\WINDOWS\SoftwareDistribution\Download\8d613c2fcdbe6fc37944c01a65abe170\SP2QFE\wininet.dll
2007-08-13 19:54 809472 f284a6225a3057a1e19985e1d4b47ada C:\WINDOWS\system32\wininet.dll
2007-08-13 19:54 809472 f284a6225a3057a1e19985e1d4b47ada C:\WINDOWS\system32\dllcache\wininet.dll

2004-08-05 14:00 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\explorer.exe
2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 15:22 1037312 d0288319660edcfed07c7e74c4ea38a5 C:\WINDOWS\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\sp2gdr\explorer.exe
2004-08-05 14:00 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((( snapshot@2008-06-02_18.24.13.07 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-02 16:21:12 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-03 17:09:54 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-03 17:10:00 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_1ac.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-23 10:44 68856]
"IziWebFiles"="C:\Program Files\Maïdo Production\IziWebFiles\IziWebFiles.exe" [ ]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 02:07 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtiPTA"="atiptaxx.exe" [2001-09-26 22:39 245760 C:\WINDOWS\system32\atiptaxx.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"avast!"="d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06 79224]
"Adobe Reader Speed Launcher"="D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-10-12 10:33 131072]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-10-12 10:33 163840]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-10-12 10:33 135168]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-27 08:20 16844800 C:\WINDOWS\RTHDCPL.exe]
"SNPSTD2"="C:\WINDOWS\vsnpstd2.exe" [2004-08-30 17:37 286720]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave"= alsnd32.dll
"MIDI"= alsnd32.dll
"aux"= alsnd32.dll
"mixer"= alsnd32.dll
"wave1"= alsnd32.dll
"MIDI1"= alsnd32.dll
"aux1"= alsnd32.dll
"mixer1"= alsnd32.dll
"wave2"= alsnd32.dll
"MIDI2"= alsnd32.dll
"aux2"= alsnd32.dll
"mixer2"= alsnd32.dll
"wave3"= alsnd32.dll
"MIDI3"= alsnd32.dll
"aux3"= alsnd32.dll
"mixer3"= alsnd32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Windows Media Player\\wmplayer.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Internet Explorer\\iexplore.exe"=
"C:\\Program Files\\Ankama Games\\DofusArenaBeta2\\DofusArena.exe"=
"C:\\WINDOWS\\system32\\java.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=

R3 snpstd2;Trek 310;C:\WINDOWS\system32\DRIVERS\snpstd2.sys [2005-05-23 21:29]
S3 ati2mtaa;ati2mtaa;C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2001-09-26 21:32]
S3 SetupNTGLM7X;SetupNTGLM7X;H:\NTGLM7X.sys []
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 14:00]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-03 19:10:17
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Hamachi\hamachi.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-03 19:12:40 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-03 17:12:37
ComboFix2.txt 2008-06-02 19:40:04
ComboFix3.txt 2008-06-02 16:24:31

Pre-Run: 5,659,508,736 octets libres
Post-Run: 5,658,157,056 octets libres

175 --- E O F --- 2008-06-02 19:45:51

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:18:45, on 03/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
d:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\vsnpstd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Hamachi\hamachi.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [IziWebFiles] C:\Program Files\Maïdo Production\IziWebFiles\IziWebFiles.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://click.getmirar.com (HKLM)
O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

g!rly · Answer

ok oui passe malwarebytes ;-)

@+

Nico · Answer

Malwarebytes' Anti-Malware 1.12
Version de la base de données: 794

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Eléments examinés: 123002
Temps écoulé: 30 minute(s), 10 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 14
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 14

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.AntiMalwareGuard) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\dc_ads.ads (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\dc_ads.ads.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mysearchassistant (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\AntiSpywareExpert (Rogue.AntiSpywareExpert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\AdvRemoteDbg (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Mirar (AdWare.Mirar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\PlayMP3 (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PlayMP3 (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fbrowsingadvisor_is1 (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\FBrowserAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\FBrowsingAdvisor\XPCOMEvents.dll (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\regxpcom.exe (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP95\A0012146.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP95\A0012147.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\myss_sb_uninstall.exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\Program Files\FBrowsingAdvisor\IXPCOMEvents.xpt (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\FBrowsingAdvisor\Logo.png (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\FBrowsingAdvisor\main.db (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\FBrowsingAdvisor\unins000.dat (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\FBrowsingAdvisor\unins000.exe (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\{f0f53fc9-ac4b-4f1f-032d-609899e5b5ba}.dll-uninst.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vtsqn.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Will\Bureau\AntiSpywareExpert.lnk (Rogue.AntiSpywareExpert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Will\Application Data\Microsoft\Internet Explorer\Quick Launch\AntiSpywareExpert.lnk (Rogue.AntiSpywareExpert) -> Quarantined and deleted successfully.

g!rly · Answer

ok nico

passe ceci pour voir :

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer
* Clique sur le bouton Scan for Vundo
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt

ett post un nouveau rapport hijack this stp

@+

Nico · Answer

VundoFix V7.0.5

Scan started at 19:42:56 30/05/2008

Listing files found while scanning....

C:\windows\system32\bbadd.ini
C:\windows\system32\bbadd.ini2
C:\windows\system32\ddabb.dll
C:\windows\system32\jkklm.dll
C:\windows\system32\sstqp.dll
C:\windows\system32\vtsqq.dll
C:\WINDOWS\system32\wvutsts.dll

VundoFix V7.0.5

Scan started at 19:50:49 30/05/2008

Listing files found while scanning....

C:\windows\system32\bbadd.ini
C:\windows\system32\bbadd.ini2
C:\windows\system32\ddabb.dll
C:\windows\system32\jkklm.dll
C:\windows\system32\sstqp.dll
C:\windows\system32\vtsqq.dll
C:\WINDOWS\system32\wvutsts.dll

VundoFix V7.0.5

Scan started at 19:56:12 30/05/2008

Listing files found while scanning....

C:\windows\system32\bbadd.ini
C:\windows\system32\bbadd.ini2
C:\windows\system32\ddabb.dll
C:\windows\system32\jkklm.dll
C:\windows\system32\sstqp.dll
C:\windows\system32\vtsqq.dll
C:\WINDOWS\system32\wvutsts.dll

Beginning removal...

 Attempting to delete C:\windows\system32\bbadd.ini
C:\windows\system32\bbadd.ini Has been deleted!

 Attempting to delete C:\windows\system32\bbadd.ini2
C:\windows\system32\bbadd.ini2 Has been deleted!

 Attempting to delete C:\windows\system32\ddabb.dll
C:\windows\system32\ddabb.dll Could not be deleted.

 Attempting to delete C:\windows\system32\jkklm.dll
C:\windows\system32\jkklm.dll Has been deleted!

 Attempting to delete C:\windows\system32\sstqp.dll
C:\windows\system32\sstqp.dll Has been deleted!

 Attempting to delete C:\windows\system32\vtsqq.dll
C:\windows\system32\vtsqq.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\wvutsts.dll
C:\WINDOWS\system32\wvutsts.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Performing Repairs to the registry.
Done!

VundoFix V7.0.5

Scan started at 21:07:39 03/06/2008

Listing files found while scanning....

No infected files were found.


Beginning removal...

Beginning removal...


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:18:57, on 03/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
d:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\vsnpstd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Hamachi\hamachi.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [IziWebFiles] C:\Program Files\Maïdo Production\IziWebFiles\IziWebFiles.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://click.getmirar.com (HKLM)
O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

g!rly · Answer

re,

moi qui croyais que combofix avait bien bossé, quenini

supprime ce fichier : C:\WINDOWS\system32\wvutsts.dll

si tu n´arrive pas, on le supprimera avec combofix

puis

Télécharge Zeb-Restore http://telechargement.zebulon.fr/zeb-restore.html enregistre ce fichier sur le bureau.

-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.
-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe
- Coche la case devant :

Sites de confiance et sensibles

- Ne coche aucune autre case
-Clique sur Restaurer
-Redémarre ton PC

puis repasse combofix et post son rapport stp avec egalement unnouveau rapport hijack this...

@+

Nico · Answer

OK , je le ferai demain, mon fils est couché.
Bonne soirée
Nico

g!rly · Answer

ok

@ demain`

bonne soirée egalement ;-)

Nico · Answer

ComboFix 08-05-26.2 - Will 2008-06-04 18:15:33.4 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.625 [GMT 2:00] Endroit: C:\Documents and Settings\Will\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\Will\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE :: C:\WINDOWS\system32\sstts.dll . ((((((((((((((((((((((((((((( Fichiers créés 2008-05-04 to 2008-06-04 )))))))))))))))))))))))))))))))))))) . 2008-06-04 17:58 . 2008-06-04 17:58 d-------- C:\WINDOWS\LastGood 2008-06-03 21:07 . 2008-06-03 21:07 d-------- C:\VundoFix Backups 2008-06-03 19:22 . 2008-06-03 19:22 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-06-03 19:22 . 2008-06-03 19:22 d-------- C:\Documents and Settings\Will\Application Data\Malwarebytes 2008-06-03 19:22 . 2008-06-03 19:22 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-06-03 19:22 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-06-03 19:22 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-06-02 18:24 . 2008-06-02 18:24 d-------- C:\Documents and Settings\InvitÚ 2008-05-30 20:22 . 2008-05-30 20:22 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe 2008-05-30 18:27 . 2008-05-30 18:27 d-------- C:\Program Files\Trend Micro 2008-05-30 11:33 . 2008-05-30 11:33 d-------- C:\WINDOWS\report 2008-05-30 11:33 . 2008-05-30 11:27 36,152,225 --a------ C:\WINDOWS\LPT$VPN.295 2008-05-30 11:27 . 2008-05-30 11:27 d-------- C:\WINDOWS\AU_Backup 2008-05-30 11:27 . 2008-05-30 11:27 36,152,225 --a------ C:\WINDOWS\VPTNFILE.295 2008-05-30 11:27 . 2008-05-30 11:27 1,954,681 --a------ C:\WINDOWS\tsc.ptn 2008-05-30 11:27 . 2008-05-30 11:27 1,213,784 --a------ C:\WINDOWS\vsapi32.dll 2008-05-30 11:27 . 2008-05-30 11:27 333,576 --a------ C:\WINDOWS\TSC.exe 2008-05-30 11:27 . 2008-05-30 11:27 91,744 --a------ C:\WINDOWS\BPMNT.dll 2008-05-30 11:27 . 2008-05-30 11:27 71,749 --a------ C:\WINDOWS\hcextoutput.dll 2008-05-30 11:27 . 2008-05-30 16:04 823 --a------ C:\WINDOWS\tsc.ini 2008-05-30 11:25 . 2008-05-30 11:27 d-------- C:\WINDOWS\AU_Temp 2008-05-30 11:25 . 2008-05-30 11:25 d-------- C:\WINDOWS\AU_Log 2008-05-22 17:34 . 2007-10-04 20:37 d--h----- C:\Documents and Settings\Invité\Voisinage réseau 2008-05-22 17:34 . 2007-10-04 20:37 d--h----- C:\Documents and Settings\Invité\Voisinage réseau 2008-05-22 17:34 . 2007-10-04 20:37 d--h----- C:\Documents and Settings\Invité\Voisinage d'impression 2008-05-22 17:34 . 2007-10-04 20:37 d--h----- C:\Documents and Settings\Invité\Voisinage d'impression 2008-05-22 17:34 . 2008-02-23 03:43 d--h----- C:\Documents and Settings\Invité\Modèles 2008-05-22 17:34 . 2008-02-23 03:43 d--h----- C:\Documents and Settings\Invité\Modèles 2008-05-22 17:34 . 2008-05-22 17:34 d---s---- C:\Documents and Settings\Invité\Mes documents 2008-05-22 17:34 . 2008-05-22 17:34 d---s---- C:\Documents and Settings\Invité\Mes documents 2008-05-22 17:34 . 2007-10-04 20:37 dr------- C:\Documents and Settings\Invité\Menu Démarrer 2008-05-22 17:34 . 2007-10-04 20:37 dr------- C:\Documents and Settings\Invité\Menu Démarrer 2008-05-22 17:34 . 2008-05-22 17:34 d---s---- C:\Documents and Settings\Invité\Favoris 2008-05-22 17:34 . 2008-05-22 17:34 d---s---- C:\Documents and Settings\Invité\Favoris 2008-05-22 17:34 . 2007-10-04 20:37 d-------- C:\Documents and Settings\Invité\Bureau 2008-05-22 17:34 . 2007-10-04 20:37 d-------- C:\Documents and Settings\Invité\Bureau 2008-05-22 17:34 . 2008-05-23 19:36 d-------- C:\Documents and Settings\Invité 2008-05-12 19:11 . 2008-05-12 21:43 d-------- C:\Documents and Settings\famille\Application Data\Hamachi . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-04 16:16 --------- d-----w C:\Documents and Settings\Will\Application Data\Hamachi 2008-06-03 16:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater 2008-05-27 16:20 --------- d-----w C:\Program Files\Google 2008-05-24 12:11 --------- d-----w C:\Program Files\LimeWire 2008-05-20 12:48 --------- d-----w C:\Program Files\TuxPaint 2008-05-19 17:22 --------- d-----w C:\Program Files\InternetProgram 2008-04-22 09:44 --------- d-----w C:\Program Files\Windows Media Components 2008-04-22 09:42 --------- d-----w C:\Program Files\NRJ 2008-04-01 11:09 71,326 -c--a-w C:\WINDOWS\BricoPackUninst.cmd 2008-04-01 11:09 5,415 -c--a-w C:\WINDOWS\BricoPackFoldersDelete.cmd 2008-03-24 17:55 84,729 ----a-w C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe . ------- Sigcheck ------- 2007-06-26 16:36 669696 19058fbdc72f7bae085369c6d0a7d074 C:\WINDOWS\$hf_mig$\KB937143\SP2QFE\wininet.dll 2007-06-27 16:14 824320 7201d19b81883b57d5ffe8ebb5a83e8b C:\WINDOWS\$hf_mig$\KB937143-IE7\SP2QFE\wininet.dll 2007-08-20 11:49 825344 2dd1b0f579c80562edcb8848ff7ea9f6 C:\WINDOWS\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll 2007-10-11 01:22 825344 871ae10d6ae8877e9636ae5017953d52 C:\WINDOWS\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll 2007-12-07 03:42 825344 f4fd487241d3ac291046a22cebd2cf71 C:\WINDOWS\$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll 2004-08-05 14:00 660480 58fe94ef42e074f4cad8bf02e70e6478 C:\WINDOWS\$NtUninstallKB937143_0$\wininet.dll 2004-08-05 14:00 660480 58fe94ef42e074f4cad8bf02e70e6478 C:\WINDOWS\ie7\wininet.dll 2007-08-13 19:54 818688 a4a0fc92358f39538a6494c42ef99fe9 C:\WINDOWS\ie7updates\KB939653-IE7\wininet.dll 2007-08-20 11:59 824832 f6dfceed3a7aa4c9eeb966d3f1adc70a C:\WINDOWS\ie7updates\KB942615-IE7\wininet.dll 2007-10-11 01:49 824832 bc5119c53bdd48dabc628d448a3bdccb C:\WINDOWS\ie7updates\KB944533-IE7\wininet.dll 2007-12-07 04:08 824832 4fc90bece54fac81b0090b94e27bfb6b C:\WINDOWS\SoftwareDistribution\Download\[u]0[/u]7ae2e5edb64dd4f4ba47df3cec87b33\sp2gdr\wininet.dll 2007-12-07 03:42 825344 f4fd487241d3ac291046a22cebd2cf71 C:\WINDOWS\SoftwareDistribution\Download\[u]0[/u]7ae2e5edb64dd4f4ba47df3cec87b33\sp2qfe\wininet.dll 2007-06-27 15:24 823808 2274862267d7445e7010d9af826e89c3 C:\WINDOWS\SoftwareDistribution\Download\7c61b059d2af0f3ba460f8ec129d2f73\SP2GDR\wininet.dll 2007-06-27 16:14 824320 7201d19b81883b57d5ffe8ebb5a83e8b C:\WINDOWS\SoftwareDistribution\Download\7c61b059d2af0f3ba460f8ec129d2f73\SP2QFE\wininet.dll 2008-03-01 14:58 826368 8e027981ddffa690d456fe18b37415a0 C:\WINDOWS\SoftwareDistribution\Download\8d613c2fcdbe6fc37944c01a65abe170\SP2GDR\wininet.dll 2008-03-01 14:34 827392 5a0093f59b505c008ed0cee615563c72 C:\WINDOWS\SoftwareDistribution\Download\8d613c2fcdbe6fc37944c01a65abe170\SP2QFE\wininet.dll 2007-08-13 19:54 809472 f284a6225a3057a1e19985e1d4b47ada C:\WINDOWS\system32\wininet.dll 2007-08-13 19:54 809472 f284a6225a3057a1e19985e1d4b47ada C:\WINDOWS\system32\dllcache\wininet.dll 2004-08-05 14:00 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\explorer.exe 2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe 2007-06-13 15:22 1037312 d0288319660edcfed07c7e74c4ea38a5 C:\WINDOWS\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\sp2gdr\explorer.exe 2004-08-05 14:00 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\system32\dllcache\explorer.exe . ((((((((((((((((((((((((((((( snapshot@2008-06-02_18.24.13.07 ))))))))))))))))))))))))))))))))))))))))) . - 2008-06-02 16:21:12 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-06-04 15:57:11 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-06-04 15:57:18 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_1ac.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-23 10:44 68856] "IziWebFiles"="C:\Program Files\Maïdo Production\IziWebFiles\IziWebFiles.exe" [ ] "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 02:07 1667584] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AtiPTA"="atiptaxx.exe" [2001-09-26 22:39 245760 C:\WINDOWS\system32\atiptaxx.exe] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] "avast!"="d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06 79224] "Adobe Reader Speed Launcher"="D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048] "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-10-12 10:33 131072] "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-10-12 10:33 163840] "Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-10-12 10:33 135168] "RTHDCPL"="RTHDCPL.EXE" [2007-09-27 08:20 16844800 C:\WINDOWS\RTHDCPL.exe] "SNPSTD2"="C:\WINDOWS\vsnpstd2.exe" [2004-08-30 17:37 286720] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360] C:\Documents and Settings\Will\Menu D‚marrer\Programmes\D‚marrage\ hamachi.lnk - C:\Program Files\Hamachi\hamachi.exe [2002-01-13 02:13:49 624416] RocketDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-19 00:05:02 630784] TransBar.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-06-01 21:41:18 65536] UberIcon.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-05-21 09:43:08 180224] Y'z Shadow.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-05-21 09:43:14 155648] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Outil de mise … jour Google.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2002-01-07 21:22:37 125624] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "wave"= alsnd32.dll "MIDI"= alsnd32.dll "aux"= alsnd32.dll "mixer"= alsnd32.dll "wave1"= alsnd32.dll "MIDI1"= alsnd32.dll "aux1"= alsnd32.dll "mixer1"= alsnd32.dll "wave2"= alsnd32.dll "MIDI2"= alsnd32.dll "aux2"= alsnd32.dll "mixer2"= alsnd32.dll "wave3"= alsnd32.dll "MIDI3"= alsnd32.dll "aux3"= alsnd32.dll "mixer3"= alsnd32.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\eMule\emule.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Windows Media Player\wmplayer.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= "C:\Program Files\Internet Explorer\iexplore.exe"= "C:\Program Files\Ankama Games\DofusArenaBeta2\DofusArena.exe"= "C:\WINDOWS\system32\java.exe"= "C:\Program Files\Messenger\msmsgs.exe"= R3 snpstd2;Trek 310;C:\WINDOWS\system32\DRIVERS\snpstd2.sys [2005-05-23 21:29] S3 ati2mtaa;ati2mtaa;C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2001-09-26 21:32] S3 SetupNTGLM7X;SetupNTGLM7X;H:\NTGLM7X.sys [] S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58] S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 14:00] *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-04 18:16:43 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . --------------------- DLLs a chargé sous des processus courants --------------------- PROCESS: C:\WINDOWS\explorer.exe -> C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll -> C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon.dll . Temps d'accomplissement: 2008-06-04 18:17:22 ComboFix-quarantined-files.txt 2008-06-04 16:17:17 ComboFix2.txt 2008-06-03 17:12:41 ComboFix3.txt 2008-06-02 19:40:04 ComboFix4.txt 2008-06-02 16:24:31 Pre-Run: 5,576,912,896 octets libres Post-Run: 5,565,956,096 octets libres 185 --- E O F --- 2008-06-04 16:10:58 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:20:11, on 04/06/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe d:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe d:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\vsnpstd2.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Google\Google Updater\GoogleUpdater.exe C:\Program Files\Hamachi\hamachi.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [IziWebFiles] C:\Program Files\Maïdo Production\IziWebFiles\IziWebFiles.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM) O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/... O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

g!rly · Answer

Salut nico, 

Tu as supprimé : C:\WINDOWS\system32\wvutsts.dll ?

supprime aussi : C:\Program Files\Maïdo Production

a l´aide de hijack this coche et fix :

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM) 
O4 - HKCU\..\Run: [IziWebFiles] C:\Program Files\Maïdo Production\IziWebFiles\IziWebFiles.exe

puis

regarde ceci concernant avast :

antivir vs avast :

-> http://forum.malekal.com/ftopic3528.php

alors je te conseille de le desinstaller et d´installer antivir a la place

Telecharge et instales l'antivirus Antivir Personal Edition Classic :

->https://www.malekal.com/avira-free-security-antivirus-gratuit/

https://www.avira.com/en/prime

http://mickael.barroux.free.fr/securite/antivir.php 
http://speedweb1.free.fr/frames2.php?page=tuto5
<- tutoriel configuration du scanner...

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes : 
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

Je te dis tous ca car j´aimerais que tu performes un scan entier de ta machine a l´aide d´antivir avec les reglages stipulés ci dessus et que tu post le rapport généré ici stp

Ps : passe le scan en mode sans echec si tiu le peu; post le rapport une fois passé.

@+

Nico · Answer

Bonjour
Je n'ai pas pu supprimer C:\WINDOWS\system32\wvutsts.dll et C:\Program Files\Maïdo Production car il n'existent plus.
En tout cas je ne les ai pas trouvé !
Voici le log de antivir.



AntiVir PersonalEdition Classic
Report file date: jeudi 5 juin 2008  13:25

Scanning for 835736 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         Will
Computer name:    YONYON

Version information:
BUILD.DAT    : 270           15603 Bytes  19/09/2007 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  23/08/2007 12:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  16/08/2007 11:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes  14/08/2007 14:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes  21/08/2007 11:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18/07/2007 13:27:15
ANTIVIR1.VDF : 7.0.0.0     1640448 Bytes  13/09/2007 13:26:55
ANTIVIR2.VDF : 7.0.0.1        2048 Bytes  13/09/2007 13:27:04
ANTIVIR3.VDF : 7.0.0.2        2048 Bytes  13/09/2007 13:27:13
AVEWIN32.DLL : 7.6.0.15    2806272 Bytes  17/09/2007 16:43:56
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26/02/2007 09:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes  18/07/2007 06:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes  16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15     360488 Bytes  03/08/2007 07:46:00
AVREG.DLL    : 7.0.1.6       30760 Bytes  18/07/2007 06:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  28/08/2007 11:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18/07/2007 06:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  08/03/2007 10:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07/08/2007 11:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  21/08/2007 11:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  23/07/2007 08:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: G:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high

Start of the scan: jeudi 5 juin 2008  13:25

Starting search for hidden objects.
The driver could not be initialized.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
11 processes with 11 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
      [NOTE]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!
Boot sector 'D:\'
      [NOTE]      No virus was found!
Boot sector 'E:\'
      [NOTE]      No virus was found!
Boot sector 'F:\'
      [NOTE]      No virus was found!
Boot sector 'G:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '39' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
      [WARNING]   The file could not be opened!
C:\QooBox\Quarantine\C\WINDOWS\system32\version69ie7fix.dll.vir
      [DETECTION] Is the Trojan horse TR/Agent.BRU
      [INFO]      The file was moved to '48b9d6fa.qua'!
Begin scan in 'D:\'
Begin scan in 'E:\'
Begin scan in 'F:\'
Begin scan in 'G:\'


End of the scan: jeudi 5 juin 2008  14:37
Used time:  1:11:49 min

The scan has been done completely.

   6353 Scanning directories
 232692 Files were scanned
      1 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      1 files were moved to quarantine
      0 files were renamed
      1 Files cannot be scanned
 232691 Files not concerned
    692 Archives were scanned
      1 Warnings
      0 Notes

g!rly · Answer

salut nico,

meme comme ca tu ne les trouve pas :

C:\WINDOWS\system32\wvutsts.dll et C:\Program Files\Maïdo Production

Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «Ok» pour valider les changements.

Et appliquer ! 

sinon le scan d´antivir est positif comme tu as pu le constater...

comment ca va de ton coté ?

@+

Nico · Answer

Salut

"meme comme ca tu ne les trouve pas : 
C:\WINDOWS\system32\wvutsts.dll et C:\Program Files\Maïdo Production "

J'avais déja affiché les fichiers cachés etc.... et rien.
Je viens de refaire le tour ainsi qu'une recherche avec windows, et toujours rien !

"sinon le scan d´antivir est positif comme tu as pu le constater..."

oui, je viens de relancer le scan, y'en a plein, je les mets en quarantaine.

"comment ca va de ton coté ?"

Moi ou le PC ?
Parce que c'est pareil pour les deux !!!
VIRUS !!!!!!   Gros rhume (ou ruhme, je ne sais plus !)

Voici le log du dernier scan de antivir.
Que propose tu ?
Déja, mille merci pour ton aide.



AntiVir PersonalEdition Classic
Report file date: jeudi 5 juin 2008  18:26

Scanning for 835736 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         SYSTEM
Computer name:    YONYON

Version information:
BUILD.DAT    : 270           15603 Bytes  19/09/2007 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  23/08/2007 12:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  16/08/2007 11:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes  14/08/2007 14:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes  21/08/2007 11:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18/07/2007 13:27:15
ANTIVIR1.VDF : 7.0.0.0     1640448 Bytes  13/09/2007 13:26:55
ANTIVIR2.VDF : 7.0.0.1        2048 Bytes  13/09/2007 13:27:04
ANTIVIR3.VDF : 7.0.0.2        2048 Bytes  13/09/2007 13:27:13
AVEWIN32.DLL : 7.6.0.15    2806272 Bytes  17/09/2007 16:43:56
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26/02/2007 09:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes  18/07/2007 06:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes  16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15     360488 Bytes  03/08/2007 07:46:00
AVREG.DLL    : 7.0.1.6       30760 Bytes  18/07/2007 06:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  28/08/2007 11:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18/07/2007 06:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  08/03/2007 10:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07/08/2007 11:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  21/08/2007 11:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  23/07/2007 08:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: G:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high

Start of the scan: jeudi 5 juin 2008  18:26

Starting search for hidden objects.
'40633' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'MDM.EXE' - '1' Module(s) have been scanned
Scan process 'GoogleUpdaterService.exe' - '1' Module(s) have been scanned
Scan process 'WLanCfgG.exe' - '1' Module(s) have been scanned
Scan process 'WLService.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'logonui.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
22 processes with 22 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
      [NOTE]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!
Boot sector 'D:\'
      [NOTE]      No virus was found!
Boot sector 'E:\'
      [NOTE]      No virus was found!
Boot sector 'F:\'
      [NOTE]      No virus was found!
Boot sector 'G:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '24' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\hiberfil.sys
      [WARNING]   The file could not be opened!
C:\pagefile.sys
      [WARNING]   The file could not be opened!
C:\System Volume Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP103\A0012619.dll
      [DETECTION] Is the Trojan horse TR/Trash.Gen
      [INFO]      The file was moved to '48782115.qua'!
C:\System Volume Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP103\A0012620.exe
      [DETECTION] Is the Trojan horse TR/Drop.Softomat.AN
      [INFO]      The file was moved to '48782118.qua'!
C:\System Volume Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP103\A0012621.exe
      [DETECTION] Is the Trojan horse TR/Trash.Gen
      [INFO]      The file was moved to '4878211a.qua'!
C:\System Volume Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP103\A0012622.exe
      [DETECTION] Is the Trojan horse TR/Trash.Gen
      [INFO]      The file was moved to '4878211d.qua'!
C:\System Volume Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP103\A0012623.exe
      [DETECTION] Is the Trojan horse TR/Trash.Gen
      [INFO]      The file was moved to '48782120.qua'!
C:\System Volume Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP103\A0012624.dll
      [DETECTION] Is the Trojan horse TR/Trash.Gen
      [INFO]      The file was moved to '48782122.qua'!
C:\System Volume Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP98\A0012287.dll
      [DETECTION] Is the Trojan horse TR/Agent.BRU
      [INFO]      The file was moved to '4878213c.qua'!
Begin scan in 'D:\'
Begin scan in 'E:\'
Begin scan in 'F:\'
Begin scan in 'G:\'


End of the scan: jeudi 5 juin 2008  19:37
Used time:  1:11:03 min

The scan has been done completely.

   6488 Scanning directories
 235269 Files were scanned
      7 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      7 files were moved to quarantine
      0 files were renamed
      2 Files cannot be scanned
 235262 Files not concerned
    692 Archives were scanned
      2 Warnings
      0 Notes
  40633 Objects were scanned with rootkit scan
      0 Hidden objects were found

g!rly · Answer

nico,

desolé pour ton rhume...

pour le pc c´est rien, on repare comme ca :

Désactive ta restauration système:
pour cela :
Click droit sur poste de travail, dans l´arborescence sur propriétés; 
dans la nouvelle fenettre click sur l´onglet restauration système;
coche la case désactiver la restauration systèm et applique.
puis redemarre le pc et click droit sur poste de travail, dans l´arborescence sur propriétés; 
dans la nouvelle fenettre click sur l´onglet restauration systèm
décoche la case désactiver la restauration systèm et applique. 

> c´est la restauration system qui est touché...

@+

Nico · Answer

Ok je le ferai demain.
Ensuite je re-scan avec antivir ?
Bonne soirée
Nico

g!rly · Answer

ok, en meme temps cela prends 5 minutes ;-)
pas la peine de scanner, mais si tu veux le faire pour te rassurer et bien fais le....
post un dernier rapport hijack this  pour que je te donne les dernieres directives...
@ demain
bonne soirée ;-)

Nico · Answer

Salut
Voici le rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:30:25, on 06/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\vsnpstd2.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Hamachi\hamachi.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

g!rly · Answer

salut

ok 

j´aime pas bien les lignes 015

on va refaire ceci :

coche et fix :

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM) 

et

Télécharge Zeb-Restore http://telechargement.zebulon.fr/zeb-restore.html enregistre ce fichier sur le bureau.

-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.
-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe
- Coche la case devant : 

Réinitialiser Fichier Hosts
Préfixes et Protocoles Internet
Sites de confiance et sensibles

- Ne coche aucune autre case
-Clique sur Restaurer
-Redémarre ton PC 

repost un nouveau rapport hijack this stp

@+

Nico · Answer

Voici le rapport 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:14:17, on 06/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\vsnpstd2.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Hamachi\hamachi.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

g!rly · Answer

bonjour nico,

Peux tu me dire comment se comporte ton pc ?

Avant d´installer quoi que ce soit...

@+

Nico · Answer

Salut
Le PC se comporte plutôt bien, démarrage assez rapide, mais fermeture un peu longue.
Pour le reste, tout semble normal.
@+
Nico

g!rly · Answer

ok

pourquoi ne pas surfer avec firefox? = plus sur,  tout en gardant ie 7.0 pour les mises a jour windows car impossible a effectuer sous firefox

http://www.mozilla-europe.org/fr/

plugins :ad block plus no script ect...

https://www.hugedomains.com/domain_profile.cfm?d=geckozone&e=org

repost un nouveau hijack this apres l´installation; enfin si tu le desir ?! sinon dis moi si tu veux rester sous ie

dans ce cas pas la peine de reposter de nouveau hijack this

@+

Nico · Answer

Merci pour ton aide.
Pour Firefox je verrai, j'ai déja essayé, c'est pas mal.
Mais là il s'agit du PC de mon fils alors je verrai avec lui.
Sur ce, je m'en vais faire un barbecue chez des amis :-)
Encore merci, et, au fait existe-il un ou des tutoriaux pour apprendre à choisir et utiliser les différents programmes de désinfection, ça m'interresserais d'apprendre et pourquoi pas d'apporter mon aide à d'autres.
@+
Nico

g!rly · Answer

ok tres bien nico

oui demande lui pour firefox

apres on installera un par feu et d´autres logiciels pour une meilleure securité

pour comprendre la desinfection il faut pour cela savoir analyser un rapport hijack this...

voici un tutorial :

https://www.bleepingcomputer.com/tutorials/comment-utiliser-hijackthis/

une fois les infections localisés il faut les detruire > pour cela il faut choisir les bons outil/fix

si tu veux je repondrais a tes questions/interrogations sur le sujet ;-)

bon barbecue ;-)

moi aussi je vais sortir, il fait beau !

@+

Nico · Answer

Salut
Me revoilà.
J'ai installé FIREFOX mais le site "https://www.hugedomains.com/domain_profile.cfm?d=geckozone&e=org" ne répond pas.
Je poste quand même un rapport.
Antivir m'a signalé un virux tout à l'heure, je l'ai mis en quarantaine !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:42:24, on 04/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\vsnpstd2.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Hamachi\hamachi.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

g!rly · Answer

Salut Nico,

peux tu me dire ce qu´antivir t´as signalé ?

@+

Nico · Answer

oui il s'agit du fichier c:\windows\system32
swF.dll
TR/Downloader.Gen

g!rly · Answer

re,

ok pas cool...

il serait bien de faire un scan en ligne pour voir...

Fais un scan en ligne Kaspersky avec Internet Explorer :
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
-> Click sur Démarrer Online-Scanner
-> Click maintenant sur J'accepte.
-> Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
-> Patiente pendant l'installation des Mises à jour.
-> Choisis par la suite l'analyse du Poste de travail.
-> Sauvegarde puis colle le rapport généré en fin d'analyse.

c´est long mais

@+

Nico · Answer

OK je le fais demain
Bonne soirée

g!rly · Answer

ok

bonne soirée ;-)

@+

Takamori · Answer

Bonjour girly et Nico, j'avais le même problème que toi Nico et j'ai réussi à résoudre le truc avec Trojan Remover dispo ici :

https://www.cnetfrance.fr/telecharger/trojan-remover-11008989s.htm

Vous avez 30 jours d'essai gratuit, pensez cependant pensez à faire les mises à jour (cliquez sur l'onglet "udpate").

J'vous ait lu quelques jours en espérant que vous trouviez la solution (pasque j'ai galéré aussi) donc j'fais profiter maintenant.

Tout marche impec pour l'instant (ça fait que 10 minutes que c'est bon).

Voilà @ + biz

Nico · Answer

Salut
Voici le rapport ainsi que les virus mis en quarantaine par antivir pendant l'analyse

ANTIVIR
Exported events:

06/06/2008 22:41 [Updater] Update successfully completed
      Update performed successfully from http://dl7.avgate.net
      No new files available.

06/06/2008 22:41 [Scheduler] Job started
      The job "Immediate Update"
      was started successfully.

06/06/2008 22:40 [Updater] Update successfully completed
      Update performed successfully from Avira AntiVir Personal – Free Antivirus via 
      http://dl5.avgate.net
      The update was done on 06/06/2008 22:40 successful.

06/06/2008 22:40 [Guard] Service started
      Service started.
      Version of service:	8.0.1.15
      Version of Engine:	8.1.0.51
      Version of VDF:	7.0.4.118

06/06/2008 22:40 [Scheduler] Service started
      The service was started.
       Version of service 8.0.0.12

06/06/2008 22:40 [Guard] Service stopped
      Service stopped.

06/06/2008 22:40 [Scheduler] Service stopped
      The service was stopped.

06/06/2008 22:40 [Updater] Product update available
      There are new important program files available.
      Please select "Start product update" from the configuration panel
      to download and install these files.

06/06/2008 22:40 [Scheduler] Job started
      The job "Immediate Update"
      was started successfully.

06/06/2008 22:39 [Guard] Service started
      Service started.
      Version of service:	8.0.1.15
      Version of Engine:	8.1.0.28
      Version of VDF:	7.0.3.68

06/06/2008 22:39 [Scheduler] Service started
      The service was started.
       Version of service 8.0.0.12

05/06/2008 19:47 [Guard] Malware found
      Virus or unwanted program 'TR/Lowzones.SG [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP98\A0012307.exe.
      Action performed: Move file to quarantine

05/06/2008 19:47 [Guard] Malware found
      Virus or unwanted program 'TR/Monder.GZ [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP98\A0012306.dll.
      Action performed: Move file to quarantine

05/06/2008 19:47 [Guard] Malware found
      Virus or unwanted program 'TR/Lowzones.SG [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP98\A0012305.exe.
      Action performed: Move file to quarantine

05/06/2008 19:47 [Guard] Malware found
      Virus or unwanted program 'TR/Monder.LA [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP98\A0012304.dll.
      Action performed: Move file to quarantine

05/06/2008 19:47 [Guard] Malware found
      Virus or unwanted program 'TR/Monder.KD [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP98\A0012302.dll.
      Action performed: Move file to quarantine

05/06/2008 19:47 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP98\A0012301.dll.
      Action performed: Move file to quarantine

05/06/2008 19:47 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP98\A0012300.dll.
      Action performed: Move file to quarantine

05/06/2008 19:47 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP98\A0012299.dll.
      Action performed: Move file to quarantine

05/06/2008 19:47 [Guard] Malware found
      Virus or unwanted program 'TR/Monder.KD [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP98\A0012298.dll.
      Action performed: Move file to quarantine

05/06/2008 19:47 [Guard] Malware found
      Virus or unwanted program 'TR/Lowzones.SG [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP98\A0012297.exe.
      Action performed: Move file to quarantine

05/06/2008 19:47 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP98\A0012296.dll.
      Action performed: Move file to quarantine

05/06/2008 19:47 [Guard] Malware found
      Virus or unwanted program 'TR/Monder.KD [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP98\A0012295.dll.
      Action performed: Move file to quarantine

05/06/2008 19:47 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP98\A0012294.dll.
      Action performed: Move file to quarantine

05/06/2008 19:47 [Guard] Malware found
      Virus or unwanted program 'TR/Lowzones.SG [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP98\A0012293.exe.
      Action performed: Move file to quarantine

05/06/2008 19:47 [Guard] Malware found
      Virus or unwanted program 'TR/Lowzones.SG [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP98\A0012292.exe.
      Action performed: Move file to quarantine

05/06/2008 19:47 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.EMP [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP98\A0012291.dll.
      Action performed: Move file to quarantine

05/06/2008 19:47 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP97\A0012251.dll.
      Action performed: Move file to quarantine

05/06/2008 19:47 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP96\A0012213.dll.
      Action performed: Move file to quarantine

05/06/2008 19:46 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP96\A0012212.dll.
      Action performed: Move file to quarantine

05/06/2008 19:46 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP96\A0012211.dll.
      Action performed: Move file to quarantine

05/06/2008 19:46 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP96\A0012188.dll.
      Action performed: Move file to quarantine

05/06/2008 19:46 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP95\A0012150.dll.
      Action performed: Move file to quarantine

05/06/2008 19:46 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP95\A0012149.dll.
      Action performed: Move file to quarantine

05/06/2008 19:46 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP95\A0012148.dll.
      Action performed: Move file to quarantine

05/06/2008 19:46 [Guard] Malware found
      Virus or unwanted program 'TR/Monder.DO [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP95\A0011815.dll.
      Action performed: Move file to quarantine

05/06/2008 19:46 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP94\A0011804.dll.
      Action performed: Move file to quarantine

05/06/2008 19:46 [Guard] Malware found
      Virus or unwanted program 'TR/Monder.IJ [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP93\A0011775.dll.
      Action performed: Move file to quarantine

05/06/2008 19:46 [Guard] Malware found
      Virus or unwanted program 'TR/Monder.FB [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP93\A0011728.dll.
      Action performed: Move file to quarantine

05/06/2008 19:18 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP91\A0011655.dll.
      Action performed: Move file to quarantine

05/06/2008 19:18 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP91\A0011654.dll.
      Action performed: Move file to quarantine

05/06/2008 19:18 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP91\A0010654.dll.
      Action performed: Move file to quarantine

05/06/2008 19:18 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP74\A0010253.dll.
      Action performed: Move file to quarantine

05/06/2008 19:17 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP103\A0012556.dll.
      Action performed: Move file to quarantine

05/06/2008 19:17 [Guard] Malware found
      Virus or unwanted program 'TR/Monder.LA [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP101\A0012431.dll.
      Action performed: Move file to quarantine

05/06/2008 19:17 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.ecg.4 [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP101\A0012426.dll.
      Action performed: Move file to quarantine

05/06/2008 19:17 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP101\A0012425.dll.
      Action performed: Move file to quarantine

05/06/2008 19:17 [Guard] Malware found
      Virus or unwanted program 'TR/BHO.cmd [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP101\A0012421.dll.
      Action performed: Move file to quarantine

05/06/2008 19:02 [Guard] Malware found
      Virus or unwanted program 'TR/BHO.cmd [trojan]'
      detected in file 
      'C:\QooBox\Quarantine\C\WINDOWS\system32\{f0f53fc9-ac4b-4f1f-032d-609899e5b5ba}.
      dll.vir.
      Action performed: Move file to quarantine

05/06/2008 19:02 [Guard] Malware found
      Virus or unwanted program 'TR/Lowzones.SG [trojan]'
      detected in file 'C:\QooBox\Quarantine\C\WINDOWS\system32\xolqyprs.exe.vir.
      Action performed: Move file to quarantine

05/06/2008 19:02 [Guard] Malware found
      Virus or unwanted program 'TR/Monder.GZ [trojan]'
      detected in file 'C:\QooBox\Quarantine\C\WINDOWS\system32\wremfgow.dll.vir.
      Action performed: Move file to quarantine

05/06/2008 19:02 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\QooBox\Quarantine\C\WINDOWS\system32\vtutr.dll.vir.
      Action performed: Move file to quarantine

05/06/2008 19:02 [Guard] Malware found
      Virus or unwanted program 'TR/Lowzones.SG [trojan]'
      detected in file 'C:\QooBox\Quarantine\C\WINDOWS\system32\utryidru.exe.vir.
      Action performed: Move file to quarantine

05/06/2008 19:02 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\QooBox\Quarantine\C\WINDOWS\system32\sstts.dll.vir.
      Action performed: Move file to quarantine

05/06/2008 19:02 [Guard] Malware found
      Virus or unwanted program 'TR/Monder.LA [trojan]'
      detected in file 'C:\QooBox\Quarantine\C\WINDOWS\system32\sfypocwg.dll.vir.
      Action performed: Move file to quarantine

05/06/2008 19:02 [Guard] Malware found
      Virus or unwanted program 'TR/Monder.KD [trojan]'
      detected in file 'C:\QooBox\Quarantine\C\WINDOWS\system32
mvrnmtt.dll.vir.
      Action performed: Move file to quarantine

05/06/2008 19:02 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\QooBox\Quarantine\C\WINDOWS\system32\mvsruwwf.dll.vir.
      Action performed: Move file to quarantine

05/06/2008 19:02 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\QooBox\Quarantine\C\WINDOWS\system32\lnbdsfwt.dll.vir.
      Action performed: Move file to quarantine

05/06/2008 19:02 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\QooBox\Quarantine\C\WINDOWS\system32\lkkatssk.dll.vir.
      Action performed: Move file to quarantine

05/06/2008 19:02 [Guard] Malware found
      Virus or unwanted program 'TR/Monder.KD [trojan]'
      detected in file 'C:\QooBox\Quarantine\C\WINDOWS\system32\ljsbnuqf.dll.vir.
      Action performed: Move file to quarantine

05/06/2008 19:02 [Guard] Malware found
      Virus or unwanted program 'TR/Lowzones.SG [trojan]'
      detected in file 'C:\QooBox\Quarantine\C\WINDOWS\system32\lbmaqcwt.exe.vir.
      Action performed: Move file to quarantine

05/06/2008 19:02 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\QooBox\Quarantine\C\WINDOWS\system32\joqqyown.dll.vir.
      Action performed: Move file to quarantine

05/06/2008 19:02 [Guard] Malware found
      Virus or unwanted program 'TR/Monder.KD [trojan]'
      detected in file 'C:\QooBox\Quarantine\C\WINDOWS\system32\inoyalcm.dll.vir.
      Action performed: Move file to quarantine

05/06/2008 19:01 [Guard] Malware found
      Virus or unwanted program 'TR/Monder.LA [trojan]'
      detected in file 'C:\QooBox\Quarantine\C\WINDOWS\system32\iehjoykl.dll.vir.
      Action performed: Move file to quarantine

05/06/2008 19:01 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\QooBox\Quarantine\C\WINDOWS\system32\fqhevaim.dll.vir.
      Action performed: Move file to quarantine

05/06/2008 19:01 [Guard] Malware found
      Virus or unwanted program 'TR/Lowzones.SG [trojan]'
      detected in file 'C:\QooBox\Quarantine\C\WINDOWS\system32\eteuinhd.exe.vir.
      Action performed: Move file to quarantine

05/06/2008 19:01 [Guard] Malware found
      Virus or unwanted program 'TR/Lowzones.SG [trojan]'
      detected in file 'C:\QooBox\Quarantine\C\WINDOWS\system32\eghyorde.exe.vir.
      Action performed: Move file to quarantine

05/06/2008 19:01 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.EMP [trojan]'
      detected in file 'C:\QooBox\Quarantine\C\WINDOWS\system32\akffudti.dll.vir.
      Action performed: Move file to quarantine

05/06/2008 19:01 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\QooBox\Quarantine\C\VundoFix Backups\ddabb.dll.bad.vir.
      Action performed: Move file to quarantine

05/06/2008 17:47 [Guard] Service started
      Service started.
      Version of service:	8.0.1.18
      Version of Engine:	8.1.0.51
      Version of VDF:	7.0.4.143

05/06/2008 17:47 [Scheduler] Service started
      The service was started.
       Version of service 8.0.0.12

04/06/2008 20:19 [Guard] Service stopped
      Service stopped.

04/06/2008 20:19 [Scheduler] Service stopped
      The service was stopped.

04/06/2008 18:37 [Updater] Update successfully completed
      Update performed successfully from Avira AntiVir Personal – Free Antivirus via 
      http://dl7.avgate.net
      The update was done on 04/06/2008 18:37 successful.

04/06/2008 18:37 [Guard] Service started
      Service started.
      Version of service:	8.0.1.18
      Version of Engine:	8.1.0.51
      Version of VDF:	7.0.4.143

04/06/2008 18:37 [Guard] Service stopped
      Service stopped.

04/06/2008 18:35 [Guard] Malware found
      Virus or unwanted program 'TR/Downloader.Gen [trojan]'
      detected in file 'C:\WINDOWS\system32
swF.dll.
      Action performed: Move file to quarantine

04/06/2008 18:35 [Guard] Malware found
      Virus or unwanted program 'TR/Downloader.Gen [trojan]'
      detected in file 'C:\WINDOWS\system32
swF.dll.
      Action performed: Move file to quarantine

04/06/2008 18:31 [Scheduler] Job started
      The job "Immediate Update"
      was started successfully.

04/06/2008 18:20 [Guard] Service started
      Service started.
      Version of service:	8.0.1.15
      Version of Engine:	8.1.0.51
      Version of VDF:	7.0.4.118

04/06/2008 18:20 [Scheduler] Service started
      The service was started.
       Version of service 8.0.0.12

01/06/2008 20:54 [Guard] Service stopped
      Service stopped.

01/06/2008 20:54 [Scheduler] Service stopped
      The service was stopped.


KASPERSKY
-------------------------------------------------------------------------------
 KASPERSKY ON-LINE SCANNER REPORT
 Thursday, June 05, 2008 8:23:44 PM
 Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
 Kaspersky On-line Scanner version : 5.0.83.0
 Dernière mise à jour de la base antivirus Kaspersky :  5/06/2008
 Enregistrements dans la base antivirus Kaspersky : 739067
-------------------------------------------------------------------------------

Paramètres d'analyse:
	Analyser avec la base antivirus suivante: standard
	Analyser les archives: vrai
	Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
	A:\
	C:\
	D:\
	E:\
	F:\
	G:\
	H:\

Statistiques de l'analyse:
	Total d'objets analysés: 86226
	Nombre de virus trouvés: 2
	Nombre d'objets infectés: 8 / 0
	Nombre d'objets suspects: 0
	Durée de l'analyse: 01:50:42

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\cert8.db	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\GoogleToolbarData\googlesafebrowsing.db	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\history.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\key3.db	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\parent.lock	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\search.sqlite	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\urlclassifier2.sqlite	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Local Settings\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\Cache\_CACHE_001_	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Local Settings\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\Cache\_CACHE_002_	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Local Settings\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\Cache\_CACHE_003_	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Local Settings\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\Cache\_CACHE_MAP_	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Local Settings\Temp\aupd.exe/stream/data0003	Infecté : Trojan.Win32.BHO.czh	ignoré
C:\Documents and Settings\Will\Local Settings\Temp\aupd.exe/stream	Infecté : Trojan.Win32.BHO.czh	ignoré
C:\Documents and Settings\Will\Local Settings\Temp\aupd.exe	NSIS: infecté - 2	ignoré
C:\Documents and Settings\Will\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\QooBox\Quarantine\C\WINDOWS\system32
tmbwwbv.dll.vir	Infecté : Trojan.Win32.Monder.gen	ignoré
C:\QooBox\Quarantine\C\WINDOWS\system32	iqllasn.dll.vir	Infecté : Trojan.Win32.Monder.gen	ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP101\A0012432.dll	Infecté : Trojan.Win32.Monder.gen	ignoré
C:\System Volume Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP119\change.log	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP94\A0011803.dll	Infecté : Trojan.Win32.Monder.gen	ignoré
C:\System Volume Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP98\A0012303.dll	Infecté : Trojan.Win32.Monder.gen	ignoré
C:\WINDOWS\Debug\PASSWD.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\SchedLgU.Txt	L'objet est verrouillé	ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{CCAC8D6E-4BB7-44B0-8796-0F11AF3964FD}.bin	L'objet est verrouillé	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Sti_Trace.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2	mp.edb	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\Internet.evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\h323log.txt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\wiadebug.log	L'objet est verrouillé	ignoré
C:\WINDOWS\wiaservc.log	L'objet est verrouillé	ignoré
C:\WINDOWS\WindowsUpdate.log	L'objet est verrouillé	ignoré
D:\Fichiers Internet temporaires\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat	L'objet est verrouillé	ignoré
D:\Fichiers Internet temporaires\Content.IE5\index.dat	L'objet est verrouillé	ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
E:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
F:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
G:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré

Analyse terminée.

Takamori · Answer

T'as pas lu mon message juste au dessus Nico j'crois ^^

g!rly · Answer

ok nico...

takamori, oui on a bien vu ton message; mais pourquoi tu crois que l´on en est rendu au post numero 50, tu crois que c´est pour le fun ?

Nico; 

vide tes fichiers temporaires avec ceci :

->Clean Up 40:

http://pageperso.aol.fr/balltrap34/CleanUp40.exe

->aide en image:(merci a Balltrap34)

http://perso.orange.fr/rginformatique/section%20virus/democleanup.htm

click sur option et décoche la case devant : delete prefect files

vide le manuellement :

:: Le contenu du dossier prefetch ::

* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

* Ne pas oublier de vider la corbeille !

Pour vider le contenu du fichier prefetch il faut afficher les fichiers et dossiers cachés :

Affiche tous les fichiers et dossiers :

Pour cela :

Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «Ok» pour valider les changements.

Et appliquer ! 

puis

si toujours present, on va voir :

* Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :

C:\Documents and Settings\Will\Local Settings\Temp\aupd.exe

* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

@+

Takamori · Answer

Ah c'est pour le fun ok

Non mais suffit sûrement de mettre à jour le logiciel et d'le virer, au pire si ça marche pas ça prend 3 minutes quoi.

Après j'dis ça pour aider, si j'me fais remballé comme un chien pour ça tu peux allé ... enfin j'voudrai pas être malpoli

J'ai rien contre les reflexions, mais avec un peu d'classe ça l'fait mieux.

g!rly · Answer

Takamori,

Vraiment mon message t´etant destiné ne comportait a mon avis, enfin je le sais car c´est moi qui l´ai ecrit; aucun atrait de mechanceté; c´est pas mon style...

Certe j´aurais pu y mettre plus de classe comme tu dis; désolé si j´ai pu te froisser; c´etait pas le but...

J´espere que ces quelques phrases auront reparées mon manque de tact...

Nico · Answer

Salut
Voici le log

File/Folder C:\Documents and Settings\Will\Local Settings\Temp\aupd.exe not found.
 
OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 06062008_170213

@+
Nico

Nico · Answer

J'ai refais un scan avec kaspersky

-------------------------------------------------------------------------------
 KASPERSKY ON-LINE SCANNER REPORT
 Friday, June 06, 2008 8:13:57 PM
 Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
 Kaspersky On-line Scanner version : 5.0.83.0
 Dernière mise à jour de la base antivirus Kaspersky :  6/06/2008
 Enregistrements dans la base antivirus Kaspersky : 741994
-------------------------------------------------------------------------------

Paramètres d'analyse:
	Analyser avec la base antivirus suivante: standard
	Analyser les archives: vrai
	Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
	A:\
	C:\
	D:\
	E:\
	F:\
	G:\
	H:\

Statistiques de l'analyse:
	Total d'objets analysés: 82305
	Nombre de virus trouvés: 1
	Nombre d'objets infectés: 2 / 0
	Nombre d'objets suspects: 0
	Durée de l'analyse: 00:46:00

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\cert8.db	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\formhistory.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\GoogleToolbarData\googlesafebrowsing.db	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\history.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\key3.db	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\parent.lock	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\search.sqlite	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\urlclassifier2.sqlite	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Local Settings\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\Cache\_CACHE_001_	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Local Settings\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\Cache\_CACHE_002_	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Local Settings\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\Cache\_CACHE_003_	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Local Settings\Application Data\Mozilla\Firefox\Profiles\x9ea3yf5.default\Cache\_CACHE_MAP_	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\Local Settings\Historique\History.IE5\MSHist012008060620080607\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\Will
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\QooBox\Quarantine\C\WINDOWS\system32
tmbwwbv.dll.vir	Infecté : Trojan.Win32.Monder.gen	ignoré
C:\QooBox\Quarantine\C\WINDOWS\system32	iqllasn.dll.vir	Infecté : Trojan.Win32.Monder.gen	ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP121\change.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Debug\PASSWD.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\SchedLgU.Txt	L'objet est verrouillé	ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{82EB23D5-401C-4D0A-8A10-BA139856077D}.bin	L'objet est verrouillé	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Sti_Trace.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2\edbtmp.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2	mp.edb	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\Internet.evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\h323log.txt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\wiadebug.log	L'objet est verrouillé	ignoré
C:\WINDOWS\wiaservc.log	L'objet est verrouillé	ignoré
C:\WINDOWS\WindowsUpdate.log	L'objet est verrouillé	ignoré
D:\Fichiers Internet temporaires\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat	L'objet est verrouillé	ignoré
D:\Fichiers Internet temporaires\Content.IE5\index.dat	L'objet est verrouillé	ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
D:\System Volume Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP121\change.log	L'objet est verrouillé	ignoré
E:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
E:\System Volume Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP121\change.log	L'objet est verrouillé	ignoré
F:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
F:\System Volume Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP121\change.log	L'objet est verrouillé	ignoré
G:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
G:\System Volume Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP121\change.log	L'objet est verrouillé	ignoré

Analyse terminée.

g!rly · Answer

Salut nico,

tu as bien du courrage de faire tous ces scans !

kaspersky detecte juste un fichier se trouvant dans la quarantaine de combofix...

comment va ton pc ?

post un nouveau rapport hijack this s´il te please.

@+

Nico · Answer

Je viens d'éteindre le PC , mon fils a de l'école demain, alors au lit de bonne heure !
Je lposterai  le rapport demain matin.
Bonne soirée
Nico

g!rly · Answer

Ok Nico
Bonne soirée egalement ;-)
@+

Nico · Answer

Bonjour
Voici le rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:24:45, on 07/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\vsnpstd2.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

g!rly · Answer

Bonjour Nico,

a l´aide de hijack this coche et fix :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') 
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab 

comment fixer :

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

mets une page d´accueille de ton choix a internet explorer

puis

regarde ce tutorial pour mettre ta console java a jour :
 
https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/

instal

Comodo 3 pro :

http://www.commentcamarche.net/telecharger/telecharger 34055041 comodo firewall pro

tuto : https://www.malekal.com/tutorial-comodo-firewall/

puis :

anti spyware :

spywareblaster :

http://www.brightfort.com/spywareblaster.html

c´est un resident, il suffit de le mettre a jour de temps en temps car la version gratuite ne le fait pas toute seul , une fois installé et mis a jour tu mets toutes les protections sur "enable"

tuto : https://www.malekal.com/tutorial-spywareblaster/

et

spyware gard :

https://www.zebulon.fr/dossiers/securite/47-spywareguard.html

puis

pourquoi ne pas surfer avec firefox? = plus sur,  tout en gardant ie 7.0 pour les mises a jour windows car impossible a effectuer sous firefox

http://www.mozilla-europe.org/fr/

plugins : ad block plus, no script ect...

https://www.hugedomains.com/domain_profile.cfm?d=geckozone&e=org

@+

Nico · Answer

Re
Ca y est j'ai tout installé.
J'espère que cette fois le PC est blindé.
Pour Firefox quelles sont les extensions indispensables ? (s'il y en a)
@+
Nico

g!rly · Answer

ok nico

ca devrait aller en effet pour le blindage ;-)

pour les extenssions indispenssable :

ad block plus
no script 
si tu veux egalement flash block

apres il y a de tout, a toi de voir...

pour supprimer les outils/fix utilisés :

Télécharge ToolsCleaner sur ton bureau.
--> http://www.commentcamarche.net/telecharger/telechargement 34055291 toolsclean(...)
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 

voila

@+

Nico · Answer

Voila le rapport
@+

-->- Recherche: 

C:\Vundofix backups: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Will\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Will\Bureau\OtMoveIt2.exe: trouvé !
C:\Documents and Settings\Will\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Will\Bureau\vundoFix.exe: trouvé !
C:\Documents and Settings\Will\Bureau\HijackThis.exe: trouvé !
C:\Documents and Settings\Will\Bureau\HJTInstall.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\QooBox\Quarantine\C\Vundofix backups: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Will\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Will\Bureau\OtMoveIt2.exe: supprimé !
C:\Documents and Settings\Will\Bureau\ComboFix.exe: supprimé !
C:\Documents and Settings\Will\Bureau\vundoFix.exe: supprimé !
C:\Documents and Settings\Will\Bureau\HijackThis.exe: supprimé !
C:\Documents and Settings\Will\Bureau\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Vundofix backups: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !

g!rly · Answer

Bon Nico

On reste comme ca, tu reviens me dire si jamais ca repart en coccinelle...

Bon week end; clin d´oeil a ton fils ;-)

Cheers`

Nico · Answer

Merci beaucoup pour ton aide !
Je vais étudier le tuto sur hijackthis et te demanderai des conseils si je bloque.
Très bon week end à toi.
Nico

g!rly · Answer

Tres bien Nico`
La porte est ouverte ;-)
Tchi Tcha`

g!rly · Answer

Salut Franck04,

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

A bientôt ''

Infecté par TROJ PRIVACYSE.A

62 réponses

Votre réponse

Discussions similaires

Newsletters