virus cafards qui mangent mon écran !!!Résolu/Fermé

Question

Bonjour,
voila depuis hier j'ai des cafards qui mangent mon écran quand j'allume mon PC ou quand je ne m'en occupe pas!!! j'aimerais savoir si c'est dangeureux et comment faire pour m'en débarasser !!!
merci de m'aider au plus vite !!!

cgui33 · Answer

Salut 
C'est quoi ces cafards ?

Clique sur ce lien 
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis. 

Enregistre HJTInstall.exe sur ton bureau. 
Double-clique sur HJTInstall.exe pour lancer le programme 
Installe le programme sur c:\ et lance le 
Choisis l'option "Do a system scan and save a log file" 
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note 
Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport 
Colle le rapport 
A+

cgui33 · Answer

Re

Norton, Avast, Antivir ... t'en as pas d'autres ?
En fait tu en as 2 de trop (car risque de conflit)  et en plus ça doit ramer à mort !
Désinstalles Norton et Avast dans un premier temps !
A+

cgui33 · Answer

Re
Lorsque tu auras fini de désinstaller tes 2 antivirus 
Désinstalles Hijack ... et ré installes le dans C:\ (comme demandé plus haut) (à la racine de ton disque C)
Ensuite renomme HijackThis.exe en cafard.exe (par exemple)
Refais un log avec cafard.exe et postes le 
A+
Info : il manque certaines lignes dans ton log (02 et 20) c'est pour ça qu'il faut le renommer. certains virus détecte Hijack.

cgui33 · Answer

Re
Pour désinstaller Norton, vas voir ici
A+

cgui33 · Answer

tu l'arrêtes ... tout simplement (s'il est dans la barre des tâches)
Ou alors :
clic droit sur la barre des tâches 
gestionnaires des tâches
Onglet processus
Sélectionnes Hijack
Ensuite ... un petit clic sur 'terminer le processus

S'il n'y est pas et que tu ne peux toujours pas le désinstaller, passe en mode sans échec et désinstalles le.

A+

cgui33 · Answer

Re
Tu n'as pas dû comprendre ce que je t'ai demandé ...

Dans ton rapport, je vois :
                 
                C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

Ce que je veux, c'est  :
                C:\HijackThis\HijackThis.exe

Désinstalles le une nouvelle fois (désolé !)

Lors de l'installation lorsqu'il te propose de l'installer dans : C:\Program Files\Trend Micro\
Modifie pour : C:\ et valides

A+

cgui33 · Answer

Re

Lorsque tu installes Hijack en lançant HJTInstall  (je viens de le refaire)
Il te propose de l'installer dans C:\Program Files\Trend Micro\HijackThis\

Supprimes tout et tapes C:\Hijack  et valides
Il va te créer le dossier Hijack, copier Hijack.exe et même le lancer !
Quitte Hijack
Dans l'explorateur, renommes le fichier Hijack en cafard (ou Hijack.exe en cafard.exe si tu vois les extensions)
Fais ensuite un double clic sur cafard.exe 
et postes le rapport ........................

A+

gwen1711 · Answer

youhou j'ai réussi !!!
voila : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:51:04, on 31/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Controle Parental\bin\optproxy.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe
C:\Program Files\Lexmark 2400 Series\lxcrmon.exe
C:\Program Files\Lexmark 3100 Series\lxbrbmon.exe
C:\Program Files\Lexmark 2400 Series\ezprint.exe
C:\PROGRA~1\CONTRO~1\bin\optgui.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\AXPFixer\AXPFixer.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\lxcrcoms.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Hijack\cafards.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {61E894C3-C1DA-477A-A5CB-BC0A298103AF} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {832CE990-DC8A-4D22-AC65-FFC5062FD702} - C:\WINDOWS\system32\pmnoMfgf.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {C1B9D7F9-6B21-44B2-BE34-DDB11C5C75D9} - C:\WINDOWS\system32\xxyvsSMC.dll
O2 - BHO: (no name) - {ECF9A3E7-5ACF-48E4-B4D4-0EA7C16EE685} - C:\WINDOWS\system32\ljJYOgeb.dll (file missing)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [lxcrmon.exe] "C:\Program Files\Lexmark 2400 Series\lxcrmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2400 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [LXCRCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [OPTENET_GUI] C:\PROGRA~1\CONTRO~1\bin\optgui.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [DelayLoad] C:\DOCUME~1\GWENDO~1\LOCALS~1\Temp\msprint.exe
O4 - HKLM\..\Run: [AXPFixer] C:\Program Files\AXPFixer\AXPFixer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [9ca9c8c0] rundll32.exe "C:\WINDOWS\system32\mcxgdjjv.dll",b
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0.1.14/cfweb_activex.camfrogweb.com-advanced-2.0.1.14_instmodule.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697517} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_aac.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://jeuxentelechargement.orange.fr/online2/astropop/popcaploader_v6.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - Winlogon Notify: xxyvsSMC - C:\WINDOWS\SYSTEM32\xxyvsSMC.dll
O21 - SSODL: vregfwlx - {B7AF0998-FA61-4928-90E3-714310848D47} - C:\WINDOWS\vregfwlx.dll (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: lxcr_device -   - C:\WINDOWS\system32\lxcrcoms.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: Orange Contrôle Parental (OPTENET_FILTER) - Orange - C:\Program Files\Controle Parental\bin\optproxy.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

cgui33 · Answer

Re
YES ... c'est bon !
Et en plus ça valait le coup !
Infection quand tu nous tiens ...

Télécharge combofix sur ton Bureau 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
IMPORTANT 

désactive ton antivirus, durant l'utilisation de ComboFix . Merci. Tu réactives ensuite 

puis 
Double clique combofix.exe. 
Tape sur la touche Y (Yes) pour démarrer le scan. 
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse 
NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

A+
Je te prépare autre chose pour la suite

gwen1711 · Answer

re
j'ai eu un gros probléme là !!!
g fé tourné le truk et après je n'avais plus de clavier
j'ai paniqué 
j'ai restauré du coup mais le pb c'est que jai plus d'antivirus
j'suis perdu

cgui33 · Answer

Re
Est ce que tu as le rapport au moins ?
Si oui poste le
sinon relance combofix et patiente jusqu'à la fin sans rien faire d'autre.

Ensuite tu pourras réinstaller Antivir
https://www.malekal.com/avira-free-security-antivirus-gratuit/							
Tutoriel configuration du scanner...							
http://mickael.barroux.free.fr/securite/antivir.php							

A+

gwen1711 · Answer

re
bin non j'ai plus le rapport snif
j'ai peur que ça recommence aussi sans clavier je ne pouvais plus faire grand chose
pi j'en ai besoin de mon pc en ce moment en plus c tjrs comme ca ........snif
je rééssayeris aprés mangé
j'espére que ca va aller hein ..... :s

cgui33 · Answer

Re
ça veut dire que tu as arrêté avant la fin ?
Parce qu'il se trouve dans c:\combofix.txt sinon !
Relance le si tu ne l'as pas. ( et attends la fin)
(ça peut être long lorsqu'il génère le rapport ... je viens de faire le test)
Redémarre seulement ton PC si tu n'as plus de clavier !

A+

gwen1711 · Answer

re alors voila j'ai recommencé et j'ai eu le même probléme que tout à l'heure du coup j'ai encore restauré parce qu'il n'y a que comme ça que je récupére mon clavier, je peux redémarer tant que je veux ça change rien !!! pourtant tout était fini j'avais le rapport ..... mais j'ai réussi à garder le rapport c'est le principal non ? le voila : nComboFix 08-05-29.1 - gwendoline 2008-05-31 21:13:56.1 - NTFSx86 Endroit: C:\Documents and Settings\gwendoline\Bureau\ComboFix.exe * Création d'un nouveau point de restauration . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\atfxqogp.dll C:\WINDOWS\cookies.ini C:\WINDOWS\system32\drivers\kbd.sys C:\WINDOWS\system32\fgfMonmp.ini C:\WINDOWS\system32\fgfMonmp.ini2 C:\WINDOWS\system32\lhqbbner.ini C:\WINDOWS\system32\pcdshrig.ini C:\WINDOWS\system32\pmnoMfgf.dll C:\WINDOWS\system32 enbbqhl.dll C:\WINDOWS\system32 iafulnt.dll C:\WINDOWS\system32 jthluvy.ini C:\WINDOWS\system32 nlufair.ini C:\WINDOWS\system32\uofyuxhv.ini C:\WINDOWS\system32\xtyilxpl.ini C:\WINDOWS\system32\xxyvsSMC.dll . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_kbd ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-28 to 2008-05-31 )))))))))))))))))))))))))))))))))))) . 2008-05-30 22:17 . 2008-05-31 18:52 d-------- C:\Hijack 2008-05-30 10:39 . 2008-05-30 21:19 d-------- C:\Program Files\Trend Micro 2008-05-29 15:37 . 2008-05-29 16:10 5,070 --a------ C:\WINDOWS\system32 mp.reg 2008-05-29 09:11 . 2008-05-28 21:10 160,256 --a------ C:\WINDOWS\system32\27.tmp 2008-05-28 22:00 . 2008-05-31 20:46 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-05-28 21:10 . 2008-05-28 21:10 d-------- C:\Documents and Settings\gwendoline\Application Data\AXPFixer 2008-05-28 20:53 . 2008-05-28 20:53 d-------- C:\Program Files\AXPFixer 2008-05-28 20:26 . 2008-05-28 11:46 229,376 --------- C:\WINDOWS rz2D.tmp 2008-05-28 20:26 . 2008-05-28 11:46 196,608 --------- C:\WINDOWS rz2E.tmp 2008-05-28 20:25 . 2008-05-28 17:57 323,328 --------- C:\WINDOWS\system32 rz2A.tmp 2008-05-28 20:25 . 2008-05-28 17:58 95,744 --------- C:\WINDOWS\system32 rz2B.tmp 2008-05-28 17:57 . 2008-05-28 20:42 1,500 --ahs---- C:\WINDOWS\system32\begOYJjl.ini 2008-05-28 17:51 . 2008-05-29 15:55 269,334 --a------ C:\WINDOWS\system32\ctfmonb.bmp 2008-05-28 17:51 . 2008-05-29 15:56 160,256 --a------ C:\WINDOWS\system32\blackster.scr 2008-05-28 17:51 . 2008-05-28 11:46 94,208 --a------ C:\WINDOWS\eesg.exe 2008-05-16 14:08 . 2005-01-14 09:32 53,248 --a------ C:\WINDOWS\system32\PAStiSvc.exe 2008-05-16 14:06 . 2008-05-16 14:06 d-------- C:\Program Files\Trust 2008-05-16 14:06 . 2008-05-16 14:06 d-------- C:\Program Files\Fichiers communs\PCCamera 2008-05-15 19:01 . 2008-05-15 19:18 304,160 --a------ C:\PA207.DAT 2008-05-15 18:49 . 2008-05-15 18:49 d-------- C:\Program Files\Fichiers communs\ArcSoft 2008-05-15 18:49 . 2005-04-27 16:36 245,408 -ra------ C:\WINDOWS\system32\unicows.dll 2008-05-15 18:49 . 2005-02-23 14:58 11,776 --a------ C:\WINDOWS\system32\drivers\afc.sys 2008-05-15 18:48 . 2008-05-15 18:48 d-------- C:\Program Files\ArcSoft 2008-05-15 18:36 . 2008-05-15 18:36 d-------- C:\download 2008-05-15 18:31 . 2008-05-15 18:31 d-------- C:\WINDOWS\PixArt 2008-05-14 18:50 . 2008-05-14 18:50 d-------- C:\WINDOWS\Philips 2008-05-14 17:13 . 2008-05-14 18:56 304,160 --a------ C:\SPC220NC.DAT 2008-05-14 16:58 . 2008-05-15 19:33 d-------- C:\Documents and Settings\gwendoline\Application Data\ArcSoft 2008-05-14 16:41 . 1995-08-01 04:44 212,480 --a------ C:\WINDOWS\PCDLIB32.DLL 2008-05-14 16:40 . 2007-01-04 17:34 119,808 --a------ C:\WINDOWS\system32\SPC220NC.AX 2008-05-14 16:40 . 2006-12-07 17:01 518 --a------ C:\WINDOWS\system32\SPC220NC.INI 2008-04-29 18:41 . 2008-04-29 18:41 d-------- C:\Documents and Settings\gwendoline\AbiSuite 2008-04-29 18:40 . 2008-04-29 18:41 d-------- C:\Program Files\AbiSuite2 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-31 17:38 --------- d-----w C:\Program Files\anti virus 2008-05-28 19:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-05-28 19:21 --------- d-----w C:\Program Files\Spybot - Search & Destroy 2008-05-26 16:37 --------- d-----w C:\Program Files\Windows Live Safety Center 2008-05-18 18:07 --------- d-----w C:\Program Files\lx_cats 2008-05-16 12:06 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-05-10 15:07 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2008-05-10 15:05 --------- d-----w C:\Documents and Settings\gwendoline\Application Data\AdobeUM 2008-04-13 10:54 --------- d-----w C:\Documents and Settings\gwendoline\Application Data\Screenshot Sender 2008-03-30 19:21 --------- d-----w C:\Program Files\MSN Messenger 2008-03-30 19:21 --------- d-----w C:\Program Files\Messenger Plus! Live 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 621,344 ------w C:\WINDOWS\system32\dllcache\mswstr10.dll 2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-25 04:51 194,144 ------w C:\WINDOWS\system32\dllcache\msjint40.dll 2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-20 08:09 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys 2008-03-01 16:28 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll 2008-02-29 08:57 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe 2008-02-29 08:56 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 06:51 282,624 ------w C:\WINDOWS\system32\dllcache\gdi32.dll 2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll 2008-02-20 05:35 45,568 ------w C:\WINDOWS\system32\dllcache\dnsrslvr.dll 2008-02-20 05:35 148,992 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll 2008-02-15 05:44 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll 2006-05-14 09:31 476 ----a-w C:\Program Files\Raccourci vers Symantec.lnk . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C1B9D7F9-6B21-44B2-BE34-DDB11C5C75D9}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ECF9A3E7-5ACF-48E4-B4D4-0EA7C16EE685}] C:\WINDOWS\system32\ljJYOgeb.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F845B9AF-2C90-4EB1-A931-20172413014E}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208] "msnmsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15:00 15360] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 15:00 208952] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 15:00 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 15:00 455168] "SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 13:12 102492] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 13:11 692316] "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-12 22:00 344064] "SoundMan"="SOUNDMAN.EXE" [2005-01-20 21:04 77824 C:\WINDOWS\SOUNDMAN.EXE] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] "PCMService"="c:\Apps\Powercinema\PCMService.exe" [2005-04-29 10:07 127118] "LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-12-14 19:19 221184] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2006-01-22 11:22 180269] "Lexmark 3100 Series"="C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe" [2003-09-04 04:39 106496] "BigDog303"="C:\WINDOWS\VM303_STI.exe" [ ] "lxcrmon.exe"="C:\Program Files\Lexmark 2400 Series\lxcrmon.exe" [2006-01-22 19:45 286720] "EzPrint"="C:\Program Files\Lexmark 2400 Series\ezprint.exe" [2006-02-07 07:10 98304] "FaxCenterServer"="C:\Program Files\Lexmark Fax Solutions\fm3032.exe" [2006-02-02 10:11 290816] "LXCRCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll" [2005-12-01 20:38 65536] "OPTENET_GUI"="C:\PROGRA~1\CONTRO~1\bin\optgui.exe" [2006-12-20 11:14 404536] "Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 17:17 159744] "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [ ] "Monitor"="C:\WINDOWS\PixArt\PAC207\Monitor.exe" [2006-11-03 11:01 319488] "AXPFixer"="C:\Program Files\AXPFixer\AXPFixer.exe" [2008-05-19 20:03 1564672] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.X264"= x264vfw.dll "VIDC.HFYU"= huffyuv.dll "vidc.i263"= i263_32.drv "vidc.yv12"= yv12vfw.dll "msacm.l3fhg"= mp3fhg.acm "msacm.imc"= imc32.acm [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%ProgramFiles%\AOL 9.0\aol.exe"= "%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\logo_ubi.exe"= "%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\pandora.exe"= "%windir%\system32\sessmgr.exe"= "C:\APPS\Inventime\my.exe"= "C:\Program Files\AOL 9.0\waol.exe"= "C:\WINDOWS\system32\LEXPPS.EXE"= "C:\Program Files\Real\RealPlayer\realplay.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe"= R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16] R2 OPTENET_FILTER;Orange Contrôle Parental;C:\Program Files\Controle Parental\bin\optproxy.exe [2006-12-21 20:15] R3 PAC207;Trust WB-1200p Mini Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-02-24 12:29] R3 ULI5261;ULi Based Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN.SYS [2004-12-31 16:24] S3 CIR;Hid Device;C:\WINDOWS\system32\DRIVERS\CIR.sys [2005-05-20 10:01] S3 SE2Fbus;Sony Ericsson Device 047 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\SE2Fbus.sys [2006-11-10 10:55] S3 SE2Fmdfl;Sony Ericsson Device 047 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\SE2Fmdfl.sys [2006-11-10 10:55] S3 SE2Fmdm;Sony Ericsson Device 047 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\SE2Fmdm.sys [2006-11-10 10:55] S3 SE2Fmgmt;Sony Ericsson Device 047 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\SE2Fmgmt.sys [2006-11-10 10:55] S3 se2Fnd5;Sony Ericsson Device 047 USB Ethernet Emulation SEMC47 (NDIS);C:\WINDOWS\system32\DRIVERS\se2Fnd5.sys [2006-11-10 10:55] S3 SE2Fobex;Sony Ericsson Device 047 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\SE2Fobex.sys [2006-11-10 10:55] S3 se2Funic;Sony Ericsson Device 047 USB Ethernet Emulation SEMC47 (WDM);C:\WINDOWS\system32\DRIVERS\se2Funic.sys [2006-11-10 10:55] S3 SPC220NC;Philips SPC220NC Webcam;C:\WINDOWS\system32\DRIVERS\SPC220NC.SYS [] S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58] S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-31 21:29:52 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet003\Services\MySqlInventime] "ImagePath"="c:\mysql\bin\mysqld-max-nt MySqlInventime" . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ati2evxx.exe C:\Program Files\anti virus\aswUpdSv.exe C:\Program Files\anti virus\ashServ.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe C:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\APPS\HIDSERVICE\HidService.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\PAStiSvc.exe C:\APPS\Powercinema\Kernel\TV\CLSched.exe C:\Program Files\Lexmark 3100 Series\lxbrbmon.exe C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe C:\Program Files\anti virus\ashMaiSv.exe C:\WINDOWS\system32\lxcrcoms.exe C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe . ************************************************************************** . Temps d'accomplissement: 2008-05-31 21:42:54 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-31 19:42:46 ComboFix2.txt 2008-05-31 16:18:30 Pre-Run: 60,361,945,088 octets libres Post-Run: 60,388,196,352 octets libres 218 --- E O F --- 2008-05-14 19:54:32

cgui33 · Answer

Re
Y'a un peu de boulot ... mais ce soir je ne peux pas ( ou alors très tard)
Mais demain matin je m'occupe de ton cas !
Alors bonne soirée et à demain
A+

gwen1711 · Answer

oki de toutes façons je vais bientôt aller dormir
merci encore de t'occuper de moi !!!!
a demain bonne soirée

cgui33 · Answer

Re

Bon on va commencer (on va essayer de se passer de combofix ...) :

Télécharge VundoFix.exe (par Atribune) sur ton Bureau. 
Double-clique VundoFix.exe afin de le lancer. 

Clique sur le bouton Scan for Vundo. 
Lorsque le scan est complété, clique sur le bouton Remove Vundo. 
Une invite te demandera si tu veux supprimer les fichiers, clique YES 
Ensuite, le bureau disparaîtra un moment lors de la suppression des fichiers. 
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK 
Démarre ton PC à nouveau. 
Copie/colle le rapport (c:\vundofix.txt) dans ta réponse 

-------------------------------------------------------------------------------------------------

Télécharge et installe Malwarebyte's Anti-Malware 

A la fin de l'installation, veille à ce que l'option "Mettre à jour Malwarebytes Anti-Malware" soit cochée.
clique sur "Terminer" 

Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur le bureau. 
Au premier lancement, une fenêtre t'annonce que la version est gratuite >>> clique sur ok 
Laisse les Mises à jour se télécharger 
*** Referme le programme *** 

Redémarre en "Mode sans échec"
Il faut laisser aller le PC à son rythme, pour que s'installe le bureau; après quoi, tu réutilises ta souris. 
Quand tu as le curseur qui clignote, tu peux avoir un temps d'ouverture du mode sans échec qui va jusqu'à 15 minutes. Il faut donc être patient. 
Choisir sa session habituelle, (pas le compte "Administrateur" ou une autre). 

Lance Malwarebyte's Anti-Malware 
Onglet "Recherche" >>> coche « Exécuter un examen complet » >>> « Rechercher » 
Sélectionne ton disque dur >>> clic sur « Lancer l'examen » 

A la fin du scan >>> clique sur « Afficher les résultats » >>> « Enregistrer le Rapport » 
Suppression des éléments détectés >>>> clique sur « Supprimer la sélection » 
S'il t'est demandé de redémarrer >>> clique sur "Yes" 
Un rapport de scan s'ouvre, poste le rapport. 

-------------------------------------------------------------------------------------------------

Télécharge SmitFraudFix avec tuto

Double clique sur smitfraudfix. puis sélectionne 1 et appuie sur entrée afin de créer le rapport des infections présentes.
Une fois le rapport effectué, redémarre en "Mode sans échec"

Relance smitfraudfix mais sélectionne l'option 2 et appuie sur entrée pour commencer la désinfection.
Lorsque le programme demande si tu veux nettoyer le registre mets oui en tapant O et entrée (colle le rapport) 


-------------------------------------------------------------------------------------------------

Télécharge Ccleaner (avec tuto)
Lors de son installation décoche la case devant : Ajouter la Barre d'Outils Yahoo! CCleaner
Lance une analyse et ensuite un nettoyage
Fais de même avec le registre
(Laisse les options par défaut)

-------------------------------------------------------------------------------------------------

Refais un log Hijack (cafard) et poste le rapport

-------------------------------------------------------------------------------------------------

On va s'arrêter là pour l'instant ...

A+
PS : Si possible ne restaure pas ton PC après ça ... il faudrait tout recommencer !

cgui33 · Answer

Re
Je ne sais pas ou tu en es dans la désinfection suite à mon dernier post.
Juste une info :
J'ai trouvé pourquoi tu n'as plus de clavier après le scan combofix
En fait c'est lui qui te supprime le fichier :

C:\WINDOWS\system32\drivers\kbd.sys

Apparemment ce serait un Key logger (tout ce que tu tapes est enregistré !!!)

Je te conseille donc d'aller ici pour vérifier le fichier 
et faire une mise à jour le cas échéant.

Lorsque tu auras terminé la désinfection du post précédent, je te conseille de créer un nouveau point de restauration. (pour mémoriser tout ce qui a été fait jusqu'à présent)
Pour cela :
Démarrer, Programmes, Accessoires, Outils système, Restauration du système, Créer un nouveau point de restauration.
Tu peux le nommer 'Restauration après désinfection 1' et valider.

Si par hasard tu n'as plus de clavier :
Appuie sur la touche Windows et U et démarre le clavier visuel (ça peut être pratique)

A+

gwen1711 · Answer

re
je n'ai pas encore commencé la désinfection, par contre je viens d'aller voir pour mon histoire de clavier, ça m'a dit que 15 erreurs avaient été réparées mais qu'il en restait enfin j'ai pas tout bien compris.
si jamais j'ai plus de clavier les touches windows et U ça marchera pas non plus!!! il n'y a pas un autre moyen ??
je vais commencer la désinfection en espérant ne pavoir de problémes.
a+++

PS : est ce que tu pourrais m'expliquer un peu ce qu'il se passe parce que là j'suis un peu perdu ....

gwen1711 · Answer

re
je viens de me lancer dans vundofix, j'ai cliké sur scan for vundo et un peu après il m'a dit "done searching for files. No infected files were found"
Du coup j'ai pas pu faire remove vundo ...........

Je fais quoi je passe à la suite ???
j'attends ta réponse

cgui33 · Answer

OK
tu fais la suite comme indiqué !
A+

cgui33 · Answer

Re
Concernant le clavier visuel, je t'ai dit une connerie tout à l'heure :
Appuie sur la touche Windows et U et démarre le clavier visuel (ça peut être pratique) 
Comment peux tu appuyer sur Windows U sans clavier !!!
Démarrer --> programmes --> Accessoires --> Gestionnaire d'utilitaires
Et là tu peux le lancer !

A+

gwen1711 · Answer

re
j'ai encore un probléme (désolé j'suis vraiment nulle)
quand je veux démarer en mode sans échecs ça me marque :
hard disk
CD-ROM/DVD
floppy disk
LAN boot
je doi prendre quoi ???

gwen1711 · Answer

re
voila j'ai fais tourner malwarebytes'..... (en mode sans echecs j'ai réussis)

Malwarebytes' Anti-Malware 1.14
Version de la base de données: 811

16:43:02 01/06/2008
mbam-log-6-1-2008 (16-42-25).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 97513
Temps écoulé: 2 hour(s), 4 minute(s), 6 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 22
Valeur(s) du Registre infectée(s): 8
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 13
Fichier(s) infecté(s): 40

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\pmnoMfgf.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\xxyvsSMC.dll (Trojan.Vundo) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{169de9b4-4b3b-43c5-bc15-26ce2905f149} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{169de9b4-4b3b-43c5-bc15-26ce2905f149} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{3c635e4b-ad24-4560-8219-86c85cfbf389} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AXPFixer (Rogue.AdvancedXPFixer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\AXPFixer (Rogue.AdvancedXPFixer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c1b9d7f9-6b21-44b2-be34-ddb11c5c75d9} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c1b9d7f9-6b21-44b2-be34-ddb11c5c75d9} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyvssmc (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AXPFixer (Rogue.AdvancedXPFixer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\9ca9c8c0 (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{4e7bd74f-2b8d-469e-a0e8-ed6ab685fa7d} (Adware.2020Search) -> No action taken.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run\DelayLoad (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\OriginalWallpaper (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\ConvertedWallpaper (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{c1b9d7f9-6b21-44b2-be34-ddb11c5c75d9} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\vregfwlx (Trojan.FakeAlert) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\pmnomfgf  -> No action taken.

Dossier(s) infecté(s):
C:\Program Files\AXPFixer (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\gwendoline\Application Data\AXPFixer (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\gwendoline\Application Data\AXPFixer\AXPFixer (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\gwendoline\Application Data\AXPFixer\AXPFixer\Quarantine (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\gwendoline\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\gwendoline\Application Data\AXPFixer\AXPFixer\Quarantine\BrowserObjects (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\gwendoline\Application Data\AXPFixer\AXPFixer\Quarantine\Packages (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\gwendoline\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\HKCU (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\gwendoline\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\HKLM (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\gwendoline\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\StartMenuAllUsers (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\gwendoline\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\StartMenuCurrentUser (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\gwendoline\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\HKCU\RunOnce (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\gwendoline\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\HKLM\RunOnce (Rogue.AdvancedXPFixer) -> No action taken.

Fichier(s) infecté(s):
C:\WINDOWS\system32\pmnoMfgf.dll (Trojan.Vundo) -> No action taken.
C:\Program Files\AXPFixer\AXPFixer.exe (Rogue.AdvancedXPFixer) -> No action taken.
C:\WINDOWS\system32\renbbqhl.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\mcxgdjjv.dll.vir (Trojan.Vundo) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\pmnoMfgf.dll.vir (Trojan.Vundo) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\renbbqhl.dll.vir (Trojan.Vundo) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\riafulnt.dll.vir (Trojan.Vundo) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\yvulhtjt.dll.vir (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP648\A0045537.scr (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP648\A0046538.scr (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP649\A0046547.scr (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP649\A0046549.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP649\A0046562.scr (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP652\A0047185.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP652\A0047186.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP652\A0047187.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP652\A0047189.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP655\A0047462.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP655\A0047463.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP657\A0048040.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP657\A0048041.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP657\A0048042.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\27.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\blackster.scr (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ctfmonb.bmp (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\riafulnt.dll (Trojan.Vundo) -> No action taken.
C:\Program Files\AXPFixer\AXPFixer.exe.local (Rogue.AdvancedXPFixer) -> No action taken.
C:\Program Files\AXPFixer\AXPFixerSkin.dll (Rogue.AdvancedXPFixer) -> No action taken.
C:\Program Files\AXPFixer\database.dat (Rogue.AdvancedXPFixer) -> No action taken.
C:\Program Files\AXPFixer\license.txt (Rogue.AdvancedXPFixer) -> No action taken.
C:\Program Files\AXPFixer\MFC71.dll (Rogue.AdvancedXPFixer) -> No action taken.
C:\Program Files\AXPFixer\MFC71ENU.DLL (Rogue.AdvancedXPFixer) -> No action taken.
C:\Program Files\AXPFixer\msvcp71.dll (Rogue.AdvancedXPFixer) -> No action taken.
C:\Program Files\AXPFixer\msvcr71.dll (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\All Users\Bureau\AXPFixer.lnk (Rogue.AdvancedXPFixer) -> No action taken.
C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\xxyvsSMC.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\atfxqogp.dll (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\gwendoline\Application Data\Microsoft\Internet Explorer\Quick Launch\AXPFixer.lnk (Rogue.AdvancedXPFixer) -> No action taken.

gwen1711 · Answer

re
voila le rapport de smitfraudfix :

SmitFraudFix v2.323

Rapport fait à 17:42:22,35, 01/06/2008
Executé à partir de C:\Documents and Settings\gwendoline\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{560DCC3E-ADDB-4CC1-AFD0-84056D414202}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{560DCC3E-ADDB-4CC1-AFD0-84056D414202}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{560DCC3E-ADDB-4CC1-AFD0-84056D414202}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

gwen1711 · Answer

re
voila le dernier rapport de hijack
c'est bon j'ai tout fini ce qui était dit

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:23:32, on 01/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\anti virus\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\anti virus\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe
C:\PROGRA~1\ANTIVI~1\ashDisp.exe
C:\Program Files\Lexmark 2400 Series\lxcrmon.exe
C:\Program Files\Lexmark 2400 Series\ezprint.exe
C:\Program Files\Lexmark 3100 Series\lxbrbmon.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\PROGRA~1\CONTRO~1\bin\optgui.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\Controle Parental\bin\optproxy.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\anti virus\ashMaiSv.exe
C:\Program Files\anti virus\ashWebSv.exe
C:\WINDOWS\system32\lxcrcoms.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Hijack\cafard.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4A3D0B4D-3829-4D0A-9EEF-745E69EE9DA8} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A8F83FF4-6D84-4B26-8FAE-BDF7462E2CAF} - C:\WINDOWS\system32\pmnoMfgf.dll
O2 - BHO: (no name) - {C1B9D7F9-6B21-44B2-BE34-DDB11C5C75D9} - C:\WINDOWS\system32\xxyvsSMC.dll
O2 - BHO: (no name) - {ECF9A3E7-5ACF-48E4-B4D4-0EA7C16EE685} - C:\WINDOWS\system32\ljJYOgeb.dll (file missing)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTIVI~1\ashDisp.exe
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [lxcrmon.exe] "C:\Program Files\Lexmark 2400 Series\lxcrmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2400 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [LXCRCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [OPTENET_GUI] C:\PROGRA~1\CONTRO~1\bin\optgui.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0.1.14/cfweb_activex.camfrogweb.com-advanced-2.0.1.14_instmodule.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697517} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_aac.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - Winlogon Notify: xxyvsSMC - C:\WINDOWS\SYSTEM32\xxyvsSMC.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\anti virus\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\anti virus\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\anti virus\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\anti virus\ashWebSv.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: lxcr_device -   - C:\WINDOWS\system32\lxcrcoms.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: Orange Contrôle Parental (OPTENET_FILTER) - Orange - C:\Program Files\Controle Parental\bin\optproxy.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

cgui33 · Answer

Re

Est ce que tu as mis ton driver de clavier à jour ?
Si oui, fais un test combofix pour voir s'il supprime toujours ce fichier (KBD.SYS)
Tu peux poster le rapport si tu veux (1 de plus ou de moins ...)
Ce serait mieux pour virer un maximum de fichiers, répertoires et autres clés de registre !

Je vais commencer à te préparer quelque chose, tu devrais l'avoir dans 1 peu plus d'une heure (j'ai pas encore mangé)

A+
Si tu peux me répondre rapidement concernant le clavier ... merci

gwen1711 · Answer

re
désolé de répondre que maintenant
pour le clavier je sais pas trop si ça a fait quelque chose
c'était bien registrybooster qu'il falait prendre ?
a+++

cgui33 · Answer

Re
Avant de te poster la manip à effectuer avec combofix :
As tu réessayer combofix et est ce que le clavier fonctionne après ?

Par précaution :
Sélectionnes le texte en gras ci dessous et copies le  (Ctrl C)

Copy C:\WINDOWS\system32\drivers\kbd.Sav C:\WINDOWS\system32\drivers\kbd.Sys

Ouvres le bloc-notes et fais Ctrl V

Sauvegarde le fichier sur ton bureau sous le nom de RestaureKBD.BAT (sans l'extension .txt )

Ensuite :

Sélectionnes le texte en gras ci dessous et copies le  (Ctrl C)  Fais le car ce n'est pas le même !!!

Copy C:\WINDOWS\system32\drivers\kbd.Sys C:\WINDOWS\system32\drivers\kbd.Sav

Fais : Démarrer --> Exécuter 
Supprime le texte qui pourrait s'y trouver et fais Ctrl V puis valides

Si tu n'as plus de clavier (après suppression de KBD.sys tu n'auras plus qu'à cliquer sur RestaureKBD qui se trouve sur ton bureau pour retrouver le fameux fichier !

Réponds moi avant que je ne te poste mon nouveau message
Merci 
A+

cgui33 · Answer

Re

Alors avant de se servir de combofix :
Relance Malwarebyte's en mode sans échec et supprime toutes les infections trouvées !
Voir le tuto ici si tu as des soucis 
A demain

gwen1711 · Answer

bonjour,
j'ai déja fé tourné malwarebytes en mode sans echecs hier ! il faut que je le refasse ???
pour combofix j'ai réessayé et il m'a encore supprimé mon clavier et j'ai pas réussi à récupérer le fichier! je crois qu'il faudrait que tu me réexplique ...
sinon aprés que combofix a tourné je retrouve les mises a jour automatiques de windows que je n'arrive plus à mettre en route depuis quelques jours
il faudrait que j'arrive a récupérer mon clavier aprés combofix en fait .....
a+++

gwen1711 · Answer

re
j'suis allée voir le lien 
en fait c exactement ce que j'ai fait hier qu'il faut que je refasse ??? mais pourquoi encore ???
maintenant des fois mon bureau disparait 
et j'ai beaucoup de mal a venir sur la page du forum !!!
c'est normal ???
a+++

cgui33 · Answer

Re
Pour ton clavier :
Touches Windows + Pause
Onglet matériel  --> BP Gestionnaire de périphériques
clic sur le + à gauche de claviers
(Tu devrais voir apparaitre Clavier standard ...)
Fais un clic droit dessus et sélectionne mise à jour du pilote
A la question : Autorisez vous Windows à se connecter ...
Sélectionne : Oui cette fois seulement et clique sur suivant
Sur l'écran suivant clique aussi sur suivant (par défaut : Installation auto)
Patiente jusqu'à la fin !
Tu peux ensuite lancer combofix pour voir si ton clavier est toujours opérationnel.

A+

cgui33 · Answer

Re
Donc après avoir afficher les résultats tu as cliqué sur Supprimer la sélection (toutes les cases cochées) ???

Si oui fais le post précédent pour vérifier que ton clavier fonctionne après combofix
Et ensuite on verra ...
A+

gwen1711 · Answer

re
je viens d'essayer pour le clavier ça marche pas! enfin ça me dit qu'il trouve pas de meilleur logitiel que le mien !! snif

cgui33 · Answer

Re

Bon ... on essaiera de régler ça plus tard !

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau. 

Ensuite ;
Copie le texte ci-dessous en gras (même la dernière ligne vide du bas), et colle le dans le bloc notes

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ECF9A3E7-5ACF-48E4-B4D4-0EA7C16EE685}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AXPFixer"=-
[-HKEY_CLASSES_ROOT\CLSID\{169de9b4-4b3b-43c5-bc15-26ce2905f149}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{169de9b4-4b3b-43c5-bc15-26ce2905f149}]
[-HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca}
[-HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe}]
[-HKEY_CLASSES_ROOT\Typelib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1}]
[-HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2]
[-HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a}]
[-HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1]
[-HKEY_CLASSES_ROOT\CLSID\{3c635e4b-ad24-4560-8219-86c85cfbf389}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AXPFixer]
[-HKEY_LOCAL_MACHINE\SOFTWARE\AXPFixer]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws]
[-HKEY_CURRENT_USER\Software\Microsoft\affri]
[-HKEY_CURRENT_USER\Software\Microsoftdfa]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri]
[-HKEY_CLASSES_ROOT\CLSID\{c1b9d7f9-6b21-44b2-be34-ddb11c5c75d9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c1b9d7f9-6b21-44b2-be34-ddb11c5c75d9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyvssmc]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AXPFixer]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\9ca9c8c0]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{4e7bd74f-2b8d-469e-a0e8-ed6ab685fa7d}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersionun\DelayLoad]
[-HKEY_CURRENT_USER\Control Panel\Desktop\OriginalWallpaper]
[-HKEY_CURRENT_USER\Control Panel\Desktop\ConvertedWallpaper]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{c­1b9d7f9-6b21-44b2-be34-ddb11c5c75d9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\v­regfwlx]
                 


Sauvegarde le fichier sous le nom de Gwen.reg  (sur le bureau)

Redémarre en mode sans échec 
Double clic dur Gwen.reg et réponds OUI

Double-clique sur OTMoveIt.exe pour le lancer. 
Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!! 
Copie le texte ci-dessous, et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved. 

C:\WINDOWS\system32	mp.reg
C:\WINDOWS\system32\27.tmp
C:\WINDOWS	rz2D.tmp
C:\WINDOWS	rz2E.tmp
C:\WINDOWS\system32	rz2A.tmp
C:\WINDOWS\system32	rz2B.tmp
C:\WINDOWS\system32\begOYJjl.ini
C:\WINDOWS\system32\ctfmonb.bmp
C:\WINDOWS\system32\blackster.scr
C:\WINDOWS\eesg.exe
C:\WINDOWS\system32\pmnoMfgf.dll
C:\WINDOWS\system32\xxyvsSMC.dll
C:\WINDOWS\system32enbbqhl.dll
C:\WINDOWS\Downloaded Program Files\popcaploader.dll
C:\WINDOWS\system32iafulnt.dll
C:\Documents and Settings\All Users\Bureau\AXPFixer.lnk
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\xxyvsSMC.dll
C:\WINDOWS\atfxqogp.dll
C:\Documents and Settings\gwendoline\Application Data\Microsoft\Internet Explorer\Quick Launch\AXPFixer.lnk
C:\Documents and Settings\gwendoline\Application Data\AXPFixer
C:\Program Files\AXPFixer

Clique sur MoveIt! pour lancer la suppression. 
Si OTMoveIt propose de redémarrer ton PC, accepte. 
Lorsqu' un résultat apparaît dans le cadre Results, clique sur Exit. 
Dans ta future réponse, envoie le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles. 
Le nom du rapport est la date de sa création. 

A+ (bonne chance ...)

cgui33 · Answer

Re

Alors tu as commencé ?

Ensuite
Va sur ce site 
https://www.virustotal.com/gui/ 
Clique sur Parcourir et cherche ce fichier. 
 
C:\WINDOWS\System32\drivers\kbd.sys   
 
Ensuite clique sur Send . 
Si tu as le message "STATUS: QUEUED", patiente. 
 
Colle le rapport ici.

gwen1711 · Answer

bonjour,
je viens de faire aller OTmoveIT
voila le raport : 

C:\WINDOWS\system32	mp.reg moved successfully.
File/Folder C:\WINDOWS\system32\27.tmp not found.
C:\WINDOWS	rz2D.tmp moved successfully.
C:\WINDOWS	rz2E.tmp moved successfully.
C:\WINDOWS\system32	rz2A.tmp moved successfully.
C:\WINDOWS\system32	rz2B.tmp moved successfully.
C:\WINDOWS\system32\begOYJjl.ini moved successfully.
File/Folder C:\WINDOWS\system32\ctfmonb.bmp not found.
File/Folder C:\WINDOWS\system32\blackster.scr not found.
C:\WINDOWS\eesg.exe moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\pmnoMfgf.dll
C:\WINDOWS\system32\pmnoMfgf.dll NOT unregistered.
C:\WINDOWS\system32\pmnoMfgf.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\xxyvsSMC.dll
C:\WINDOWS\system32\xxyvsSMC.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\xxyvsSMC.dll scheduled to be moved on reboot.
File/Folder C:\WINDOWS\system32enbbqhl.dll not found.
File/Folder C:\WINDOWS\Downloaded Program Files\popcaploader.dll not found.
File/Folder C:\WINDOWS\system32iafulnt.dll not found.
File/Folder C:\Documents and Settings\All Users\Bureau\AXPFixer.lnk not found.
C:\WINDOWS\cookies.ini moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\xxyvsSMC.dll
C:\WINDOWS\system32\xxyvsSMC.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\xxyvsSMC.dll scheduled to be moved on reboot.
File/Folder C:\WINDOWS\atfxqogp.dll not found.
File/Folder C:\Documents and Settings\gwendoline\Application Data\Microsoft\Internet Explorer\Quick Launch\AXPFixer.lnk not found.
File/Folder C:\Documents and Settings\gwendoline\Application Data\AXPFixer not found.
File/Folder C:\Program Files\AXPFixer not found.
 
OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 06032008_141739

Files moved on Reboot...
DllUnregisterServer procedure not found in C:\WINDOWS\system32\xxyvsSMC.dll
C:\WINDOWS\system32\xxyvsSMC.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\xxyvsSMC.dll scheduled to be moved on reboot.

gwen1711 · Answer

re
et voila le rapport du site internet 

Fichier kbd.sys reçu le 2008.06.03 15:03:30 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 0/31 (0%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
 Email:  
  

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.5.30.1 2008.06.03 - 
AntiVir 7.8.0.26 2008.06.03 - 
Authentium 5.1.0.4 2008.06.02 - 
Avast 4.8.1195.0 2008.06.03 - 
AVG 7.5.0.516 2008.06.03 - 
BitDefender 7.2 2008.06.03 - 
CAT-QuickHeal 9.50 2008.06.02 - 
ClamAV 0.92.1 2008.06.03 - 
DrWeb 4.44.0.09170 2008.06.03 - 
eSafe 7.0.15.0 2008.06.02 - 
eTrust-Vet 31.4.5845 2008.06.03 - 
Ewido 4.0 2008.06.03 - 
F-Prot 4.4.4.56 2008.06.02 - 
F-Secure 6.70.13260.0 2008.06.03 - 
Fortinet 3.14.0.0 2008.06.03 - 
GData 2.0.7306.1023 2008.06.03 - 
Ikarus T3.1.1.26.0 2008.06.03 - 
Kaspersky 7.0.0.125 2008.06.03 - 
McAfee 5308 2008.06.02 - 
Microsoft 1.3604 2008.06.03 - 
NOD32v2 3154 2008.06.03 - 
Norman 5.80.02 2008.06.02 - 
Panda 9.0.0.4 2008.06.02 - 
Prevx1 V2 2008.06.03 - 
Rising 20.47.12.00 2008.06.03 - 
Sophos 4.29.0 2008.06.03 - 
Sunbelt 3.0.1143.1 2008.06.03 - 
Symantec 10 2008.06.03 - 
TheHacker 6.2.92.332 2008.06.03 - 
VirusBuster 4.3.26:9 2008.06.02 - 
Webwasher-Gateway 6.6.2 2008.06.03 - 
Information additionnelle 
File size: 21504 bytes 
MD5...: 7a5369573ba4db90d23c2ee722ce0b6c 
SHA1..: 129ac9555459d28ac5162eb79894989ba9f6a48a 
SHA256: 0f6601de37332e3a444b602b613fe5a72027b5a3d55dcb5a08d0afb55dbcb393 
SHA512: efb8a99202283ffc836d9e45ea0c8879deb1f5d2931958d476b6d03dfda837c7
5626ce2f3401f97d32ecbc835821e45f77df234bfe05cd954537f984927201ba 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x170a4
timedatestamp.....: 0x428d3dde (Fri May 20 01:31:10 2005)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1068 0x1200 6.19 82f6a2575d4f6b5c88acd65931c3f3f5
.rdata 0x3000 0xbdd 0xc00 3.55 8f1f576257ff9c8bf38681544de253a8
.data 0x4000 0x223 0x200 2.31 f7b7d597bbc027c21eafec4512c763d8
PAGE 0x5000 0x1f11 0x2000 6.31 e76fc85db1a24740812d9236677afa69
INIT 0x7000 0x6ce 0x800 4.98 5d369e8db29247a940b22326dc2c512c
.rsrc 0x8000 0x3a0 0x400 3.05 8cc8dd374cb4c54dd63ea029da4ba411
.reloc 0x9000 0x374 0x400 4.74 dee23247fb4a46aedd7da77478ade81c

( 2 imports ) 
> ntoskrnl.exe: IoAcquireCancelSpinLock, KeWaitForSingleObject, IoDetachDevice, IoDeleteDevice, ExAllocatePoolWithTag, IoAttachDeviceToDeviceStack, KeInitializeEvent, IoCreateDevice, KeSetEvent, IofCallDriver, ExFreePoolWithTag, ObfReferenceObject, IoReleaseCancelSpinLock, RtlCopyUnicodeString, IoWMIRegistrationControl, RtlInitUnicodeString, ObfDereferenceObject, IoBuildSynchronousFsdRequest, IoGetAttachedDeviceReference, PoCallDriver, PoStartNextPowerIrp, PoSetPowerState, KeTickCount, IofCompleteRequest, PsCreateSystemThread, KeClearEvent, MmGetSystemRoutineAddress, wcslen, ZwClose, ZwSetSecurityObject, ObOpenObjectByPointer, IoDeviceObjectType, RtlGetDaclSecurityDescriptor, RtlGetSaclSecurityDescriptor, RtlGetGroupSecurityDescriptor, RtlGetOwnerSecurityDescriptor, _snwprintf, RtlLengthSecurityDescriptor, SeCaptureSecurityDescriptor, SeExports, IoIsWdmVersionAvailable, _wcsnicmp, RtlAddAccessAllowedAce, RtlLengthSid, wcschr, RtlAbsoluteToSelfRelativeSD, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, ZwOpenKey, ZwCreateKey, ZwQueryValueKey, ZwSetValueKey, RtlFreeUnicodeString, RtlAnsiCharToUnicodeChar
> WMILIB.SYS: WmiSystemControl

( 0 exports )

cgui33 · Answer

Re

Ton fichier KBD.SYS a l'air OK !
As tu exécuté lancé Gwen.reg ?

Si oui :

Télécharge SDFix sur ton bureau 
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. 
Redémarre ton ordinateur en mode sans échec 
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.cmd pour lancer le script. 
Appuie sur Y pour commencer le processus de nettoyage. 
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
Appuie sur une touche pour redémarrer le PC. 
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.

Et postes aussi un nouveau log Hijack 
Merci
A+

gwen1711 · Answer

re
bin voila j'ai encore un fois plus eu de clavier !!! snif
je fais quoi maintenant ???
a+++

cgui33 · Answer

Re
Cela s'est-il passé après l'exécution de gwen.reg ?
Après SdFix ?

Cela veut-il dire que tu as été obligé de restaurer ?
Si oui :
Refais la manip avec OTMoveIT SEULEMENT !

Et ensuite refais un point de restauration (on aura au moins gagné les suppressions de fichiers !)
Démarrer > Tous les programmes > Accessoires > Outils Système > Restauration du système
Sélectionne 'Créer un point de restauration'
Nommes le 'Restauration_après_otmoveit'  et valides !
Comme ça la prochaine fois tu pourras restaurer avec celui-ci

A+
J'attends ta réponse : dis moi ce que tu as fais (dans l'ordre)
On va y arriver ...

gwen1711 · Answer

re
alors en fait j'ai fait ce que tu m'a dit pour le truk Gwen....
aprés j'ai fait tourné OTmoveIT
je t'ai tout envoyé
ensuite quand j'ai vu ce que tu me demandais de faire avec SDfix, j'me suis douté que ça allait foirer alors du coup j'ai créé un point de restauration avant de le faire 
et enfin quand j'ai vu que je n'avais plus de clavier j'ai restauré au point que jvais créé juste avant !
voila voila

gwen1711 · Answer

bonjour
je n'ai plus le rapport de Sdfix
voila celui de hijack :

PS : tu crois qu'on vas'en sortir un jour ?? 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:36:16, on 04/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\anti virus\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\anti virus\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe
C:\PROGRA~1\ANTIVI~1\ashDisp.exe
C:\Program Files\Lexmark 2400 Series\lxcrmon.exe
C:\Program Files\Lexmark 2400 Series\ezprint.exe
C:\Program Files\Lexmark 3100 Series\lxbrbmon.exe
C:\PROGRA~1\CONTRO~1\bin\optgui.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Controle Parental\bin\optproxy.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\anti virus\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\anti virus\ashWebSv.exe
C:\WINDOWS\system32\lxcrcoms.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32undll32.exe
C:\Hijack\cafard.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {06E1C110-E577-4E93-81FD-234E9EE47E2E} - C:\WINDOWS\system32\xxyyXroN.dll
O2 - BHO: (no name) - {0EE579EA-1350-4B21-AEAA-F46E72F1AE10} - C:\WINDOWS\system32\iifEXNff.dll
O2 - BHO: (no name) - {4A3D0B4D-3829-4D0A-9EEF-745E69EE9DA8} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A8F83FF4-6D84-4B26-8FAE-BDF7462E2CAF} - C:\WINDOWS\system32\pmnoMfgf.dll (file missing)
O2 - BHO: (no name) - {C1B9D7F9-6B21-44B2-BE34-DDB11C5C75D9} - C:\WINDOWS\system32\xxyvsSMC.dll
O2 - BHO: (no name) - {C6FA51C2-2015-473D-9983-9638B1D68549} - C:\WINDOWS\system32\geBqPIXR.dll
O2 - BHO: (no name) - {ECF9A3E7-5ACF-48E4-B4D4-0EA7C16EE685} - C:\WINDOWS\system32\ljJYOgeb.dll (file missing)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTIVI~1\ashDisp.exe
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [lxcrmon.exe] "C:\Program Files\Lexmark 2400 Series\lxcrmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2400 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [LXCRCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [OPTENET_GUI] C:\PROGRA~1\CONTRO~1\bin\optgui.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [9ca9c8c0] rundll32.exe "C:\WINDOWS\system32
hxfqbut.dll",b
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0.1.14/cfweb_activex.camfrogweb.com-advanced-2.0.1.14_instmodule.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697517} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_aac.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - Winlogon Notify: xxyvsSMC - C:\WINDOWS\SYSTEM32\xxyvsSMC.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\anti virus\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\anti virus\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\anti virus\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\anti virus\ashWebSv.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: lxcr_device -   - C:\WINDOWS\system32\lxcrcoms.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: Orange Contrôle Parental (OPTENET_FILTER) - Orange - C:\Program Files\Controle Parental\bin\optproxy.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

cgui33 · Answer

Re

Avec HijackThis : 
Do a system scan only 
Coche ces lignes :

O2 - BHO: (no name) - {06E1C110-E577-4E93-81FD-234E9EE47E2E} - C:\WINDOWS\system32\xxyyXroN.dll
O2 - BHO: (no name) - {0EE579EA-1350-4B21-AEAA-F46E72F1AE10} - C:\WINDOWS\system32\iifEXNff.dll
O2 - BHO: (no name) - {4A3D0B4D-3829-4D0A-9EEF-745E69EE9DA8} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {A8F83FF4-6D84-4B26-8FAE-BDF7462E2CAF} - C:\WINDOWS\system32\pmnoMfgf.dll (file missing)
O2 - BHO: (no name) - {C1B9D7F9-6B21-44B2-BE34-DDB11C5C75D9} - C:\WINDOWS\system32\xxyvsSMC.dll
O2 - BHO: (no name) - {C6FA51C2-2015-473D-9983-9638B1D68549} - C:\WINDOWS\system32\geBqPIXR.dll
O2 - BHO: (no name) - {ECF9A3E7-5ACF-48E4-B4D4-0EA7C16EE685} - C:\WINDOWS\system32\ljJYOgeb.dll (file missing)
O4 - HKLM\..\Run: [9ca9c8c0] rundll32.exe "C:\WINDOWS\system32
hxfqbut.dll",b
O20 - Winlogon Notify: xxyvsSMC - C:\WINDOWS\SYSTEM32\xxyvsSMC.dll

Arrête toutes les autres applications en cours et :
Fix checked 


Ensuite :
Double-clique sur OTMoveIt.exe pour le lancer.
Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!
Copie le texte ci-dessous, et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\xxyyXroN.dll
C:\WINDOWS\system32\iifEXNff.dll
C:\WINDOWS\system32\xxyvsSMC.dll
C:\WINDOWS\system32\geBqPIXR.dll
C:\WINDOWS\system32
hxfqbut.dll


Clique sur MoveIt! pour lancer la suppression.
Si OTMoveIt propose de redémarrer ton PC, accepte.
Lorsqu' un résultat apparaît dans le cadre Results, clique sur Exit.
Dans ta future réponse, envoie le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles.
Le nom du rapport est la date de sa création. 

A+
Mais oui ... tu vas t'en sortir  !

cgui33 · Answer

Re
J'aurai bien aimé recevoir le fichier Report.txt (rapport SdFix)
Si tu as le temps --> Fais une recherche sur tout le disque.
Merci
A+

gwen1711 · Answer

re
j'ai retrouvé le compte rendu de sdfix, enfin je crois que c'est ça : 


[b]SDFix: Version 1.187 [/b]
Run by gwendoline on 03/06/2008 at 19:39

Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\GWENDO~1\Bureau\sdfix\SDFix

[b]Checking Services [/b]:

[b]Name [/b]: 
kbd

[b]Path [/b]:
system32\DRIVERS\kbd.sys 

kbd - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\WINDOWS\system32\xxyvsSMC.dll - Deleted
C:\WINDOWS\system32\drivers\kbd.sys  - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-03 19:53:34
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

C:\WINDOWS\FaxSetup.log 6183 bytes
C:\WINDOWS\comsetup.log 2061 bytes
C:\WINDOWS\iis6.log 1092 bytes
C:\WINDOWS\imsins.log 1355 bytes

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 4


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%ProgramFiles%\AOL 9.0\aol.exe"="%ProgramFiles%\AOL 9.0\aol.exe:*:Enabled:AOL"
"%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\logo_ubi.exe"="%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\logo_ubi.exe:*:Enabled:SPLINTER CELL PANDORA"
"%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\pandora.exe"="%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\pandora.exe:*:Enabled:PANDORA"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\APPS\Inventime\my.exe"="C:\APPS\Inventime\my.exe:*:Enabled:INVENTIME"
"C:\Program Files\AOL 9.0\waol.exe"="C:\Program Files\AOL 9.0\waol.exe:*:Enabled:AOL 9.0"
"C:\WINDOWS\system32\LEXPPS.EXE"="C:\WINDOWS\system32\LEXPPS.EXE:*:Enabled:LEXPPS.EXE"
"C:\Program Files\Real\RealPlayer\realplay.exe"="C:\Program Files\Real\RealPlayer\realplay.exe:*:Enabled:RealPlayer"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe"="C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe:*:Enabled:Assistance … distance - Windows Messenger et voix"
"C:\Documents and Settings\gwendoline\Local Settings\Temp\WZSE0.TMP\symnrt.exe"="C:\Documents and Settings\gwendoline\Local Settings\Temp\WZSE0.TMP\symnrt.exe:*:Enabled:Symantec Removal Utility"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\AOL 9.0\waol.exe"="C:\Program Files\AOL 9.0\waol.exe:*:Enabled:AOL 9.0"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\DOCUME~1\GWENDO~1\Bureau\sdfix\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Sun 22 Jan 2006           215 A.SHR --- "C:\BOOT.BAK"
Tue 31 May 2005        54,384 A..H. --- "C:\Program Files\AOL 9.0\aolphx.exe"
Tue 31 May 2005       156,784 A..H. --- "C:\Program Files\AOL 9.0\aoltray.exe"
Tue 31 May 2005        31,344 A..H. --- "C:\Program Files\AOL 9.0\RBM.exe"
Mon 28 Jan 2008     1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008     5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008     2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Sun  4 May 2008         4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 25 Jan 2007             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Wed  7 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\24af2a69c06a4de03e35dc89d706475f\BIT1.tmp"
Fri  7 Dec 2007             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\326d1a08fc685e3efad9e9a5b059ebfb\BIT27.tmp"
Fri  7 Dec 2007             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7333946973f87a4fdf879a85eeae256b\BIT29.tmp"
Tue 31 May 2005       106,496 A..H. --- "C:\Program Files\Fichiers communs\aolshare\shell\fr\shellext.dll"

[b]Finished![/b]

gwen1711 · Answer

je viens de faire le post 58
pour mon PC ca a l'air d'aller...
voila : 

DllUnregisterServer procedure not found in C:\WINDOWS\system32\xxyyXroN.dll
C:\WINDOWS\system32\xxyyXroN.dll NOT unregistered.
C:\WINDOWS\system32\xxyyXroN.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\iifEXNff.dll
C:\WINDOWS\system32\iifEXNff.dll NOT unregistered.
C:\WINDOWS\system32\iifEXNff.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\xxyvsSMC.dll
C:\WINDOWS\system32\xxyvsSMC.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\xxyvsSMC.dll scheduled to be moved on reboot.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\geBqPIXR.dll
C:\WINDOWS\system32\geBqPIXR.dll NOT unregistered.
C:\WINDOWS\system32\geBqPIXR.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32
hxfqbut.dll
C:\WINDOWS\system32
hxfqbut.dll NOT unregistered.
C:\WINDOWS\system32
hxfqbut.dll moved successfully.
 
OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 06042008_213317

Files moved on Reboot...
DllUnregisterServer procedure not found in C:\WINDOWS\system32\xxyvsSMC.dll
C:\WINDOWS\system32\xxyvsSMC.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\xxyvsSMC.dll scheduled to be moved on reboot.

gwen1711 · Answer

et voila le dernier scan de hijack
désolé de te donner du boulo.... c'est vraiment simpa de m'aider !!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:57:17, on 04/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\anti virus\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\anti virus\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Controle Parental\bin\optproxy.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ANTIVI~1\ashDisp.exe
C:\Program Files\Lexmark 2400 Series\lxcrmon.exe
C:\Program Files\Lexmark 2400 Series\ezprint.exe
C:\PROGRA~1\CONTRO~1\bin\optgui.exe
C:\Program Files\anti virus\ashMaiSv.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\anti virus\ashWebSv.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\lxcrcoms.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Hijack\cafard.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {01BADA7F-14B7-4952-B03E-A0D47606B87F} - C:\WINDOWS\system32\iifEXNff.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A77F52B1-0F3F-4C76-8E53-8D47F947D1E6} - C:\WINDOWS\system32
nnljkHw.dll
O2 - BHO: (no name) - {C1B9D7F9-6B21-44B2-BE34-DDB11C5C75D9} - C:\WINDOWS\system32\xxyvsSMC.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTIVI~1\ashDisp.exe
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [lxcrmon.exe] "C:\Program Files\Lexmark 2400 Series\lxcrmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2400 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [LXCRCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [OPTENET_GUI] C:\PROGRA~1\CONTRO~1\bin\optgui.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [9ca9c8c0] rundll32.exe "C:\WINDOWS\system32\dwpcrahs.dll",b
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - http://activex.camfrogweb.com/advanced/2.0.1.14/cfweb_activex.camfrogweb.com-advanced-2.0.1.14_instmodule.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697517} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_aac.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - Winlogon Notify: xxyvsSMC - C:\WINDOWS\SYSTEM32\xxyvsSMC.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\anti virus\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\anti virus\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\anti virus\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\anti virus\ashWebSv.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxcr_device -   - C:\WINDOWS\system32\lxcrcoms.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: Orange Contrôle Parental (OPTENET_FILTER) - Orange - C:\Program Files\Controle Parental\bin\optproxy.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

cgui33 · Answer

Re

Avast est encore là !!! désinstalles le (tu as déjà antivir)

Peux tu recommencer en mode sans échec :

Avec HijackThis : 
Do a system scan only 
Coche ces lignes :

O2 - BHO: (no name) - {01BADA7F-14B7-4952-B03E-A0D47606B87F} - C:\WINDOWS\system32\iifEXNff.dll (file missing)
O2 - BHO: (no name) - {A77F52B1-0F3F-4C76-8E53-8D47F947D1E6} - C:\WINDOWS\system32
nnljkHw.dll
O2 - BHO: (no name) - {C1B9D7F9-6B21-44B2-BE34-DDB11C5C75D9} - C:\WINDOWS\system32\xxyvsSMC.dll
O4 - HKLM\..\Run: [9ca9c8c0] rundll32.exe "C:\WINDOWS\system32\dwpcrahs.dll",b
O20 - Winlogon Notify: xxyvsSMC - C:\WINDOWS\SYSTEM32\xxyvsSMC.dll

Arrête toutes les autres applications en cours et :
Fix checked 

Ensuite (toujours en mode sans échec ... sans redémarrer )

Double-clique sur OTMoveIt.exe pour le lancer. 
Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!! 
Copie le texte ci-dessous, et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved. 

C:\WINDOWS\system32
nnljkHw.dll
C:\WINDOWS\system32\xxyvsSMC.dll
C:\WINDOWS\system32\dwpcrahs.dll

Clique sur MoveIt! pour lancer la suppression. 
Si OTMoveIt propose de redémarrer ton PC, accepte. 
Lorsqu' un résultat apparaît dans le cadre Results, clique sur Exit. 
Dans ta future réponse, envoie le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles. 
Le nom du rapport est la date de sa création. 

Avec un log Hijack 
Merci
A+

gwen1711 · Answer

bonjour
voila j'ai recommencé en mode sans echecs 

File/Folder C:\WINDOWS\system32
nnljkHw.dll not found.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\xxyvsSMC.dll
C:\WINDOWS\system32\xxyvsSMC.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\xxyvsSMC.dll scheduled to be moved on reboot.
File/Folder C:\WINDOWS\system32\dwpcrahs.dll not found.
 
OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 06052008_190551

Files moved on Reboot...
DllUnregisterServer procedure not found in C:\WINDOWS\system32\xxyvsSMC.dll
C:\WINDOWS\system32\xxyvsSMC.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\xxyvsSMC.dll scheduled to be moved on reboot.


et le log hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:30:19, on 05/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\anti virus\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\anti virus\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS
otepad.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Controle Parental\bin\optproxy.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ANTIVI~1\ashDisp.exe
C:\Program Files\Lexmark 2400 Series\lxcrmon.exe
C:\Program Files\Lexmark 2400 Series\ezprint.exe
C:\PROGRA~1\CONTRO~1\bin\optgui.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\Program Files\anti virus\ashMaiSv.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\anti virus\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\lxcrcoms.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Hijack\cafard.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {01BADA7F-14B7-4952-B03E-A0D47606B87F} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A77F52B1-0F3F-4C76-8E53-8D47F947D1E6} - (no file)
O2 - BHO: (no name) - {B8403BEC-BD95-4EE1-BADC-186E86C10805} - C:\WINDOWS\system32\fccaYqRI.dll
O2 - BHO: (no name) - {C1B9D7F9-6B21-44B2-BE34-DDB11C5C75D9} - C:\WINDOWS\system32\xxyvsSMC.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTIVI~1\ashDisp.exe
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [lxcrmon.exe] "C:\Program Files\Lexmark 2400 Series\lxcrmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2400 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [LXCRCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [OPTENET_GUI] C:\PROGRA~1\CONTRO~1\bin\optgui.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [9ca9c8c0] rundll32.exe "C:\WINDOWS\system32\sjqicclm.dll",b
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - http://activex.camfrogweb.com/advanced/2.0.1.14/cfweb_activex.camfrogweb.com-advanced-2.0.1.14_instmodule.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697517} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_aac.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - Winlogon Notify: xxyvsSMC - C:\WINDOWS\SYSTEM32\xxyvsSMC.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\anti virus\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\anti virus\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\anti virus\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\anti virus\ashWebSv.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxcr_device -   - C:\WINDOWS\system32\lxcrcoms.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: Orange Contrôle Parental (OPTENET_FILTER) - Orange - C:\Program Files\Controle Parental\bin\optproxy.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

cgui33 · Answer

Re
Bon toujours infectée !!!

VirtumundoBegone
Télécharge VirtumundoBegone sur le bureau: 

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions. 
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse 

A+
(y'en a au moins une qui devrait disparaitre)

cgui33 · Answer

A dimanche soir
Bon WE

gwen1711 · Answer

bonjour
voila le rapport :


[06/06/2008, 10:46:25] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\gwendoline\Bureau\VirtumundoBeGone.exe" )
[06/06/2008, 10:46:59] - Detected System Information:
[06/06/2008, 10:46:59] -  Windows Version: 5.1.2600, Service Pack 2
[06/06/2008, 10:46:59] -  Current Username: gwendoline (Admin)
[06/06/2008, 10:46:59] -  Windows is in NORMAL mode.
[06/06/2008, 10:46:59] - Searching for Browser Helper Objects:
[06/06/2008, 10:46:59] -  BHO 1: {01BADA7F-14B7-4952-B03E-A0D47606B87F} ()
[06/06/2008, 10:46:59] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/06/2008, 10:46:59] -  No filename found. Continuing.
[06/06/2008, 10:46:59] -  BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[06/06/2008, 10:46:59] -  BHO 3: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[06/06/2008, 10:46:59] -  BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/06/2008, 10:46:59] -  BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[06/06/2008, 10:46:59] -  BHO 6: {A77F52B1-0F3F-4C76-8E53-8D47F947D1E6} ()
[06/06/2008, 10:46:59] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/06/2008, 10:46:59] -  No filename found. Continuing.
[06/06/2008, 10:46:59] -  BHO 7: {AF6954A6-5324-417A-905B-DA2FEB3E657C} ()
[06/06/2008, 10:46:59] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/06/2008, 10:46:59] -  Checking for HKLM\...\Winlogon\Notify\awttroOG
[06/06/2008, 10:46:59] -  Key not found: HKLM\...\Winlogon\Notify\awttroOG, continuing.
[06/06/2008, 10:46:59] -  BHO 8: {B8403BEC-BD95-4EE1-BADC-186E86C10805} ()
[06/06/2008, 10:46:59] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/06/2008, 10:46:59] -  Checking for HKLM\...\Winlogon\Notify\fccaYqRI
[06/06/2008, 10:46:59] -  Key not found: HKLM\...\Winlogon\Notify\fccaYqRI, continuing.
[06/06/2008, 10:46:59] -  BHO 9: {C1B9D7F9-6B21-44B2-BE34-DDB11C5C75D9} ()
[06/06/2008, 10:46:59] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/06/2008, 10:46:59] -  Checking for HKLM\...\Winlogon\Notify\xxyvsSMC
[06/06/2008, 10:46:59] -  Found: HKLM\...\Winlogon\Notify\xxyvsSMC - This is probably Virtumundo.
[06/06/2008, 10:46:59] -  Assigning {C1B9D7F9-6B21-44B2-BE34-DDB11C5C75D9} MSEvents Object
[06/06/2008, 10:46:59] - BHO list has been changed! Starting over...
[06/06/2008, 10:46:59] -  BHO 1: {01BADA7F-14B7-4952-B03E-A0D47606B87F} ()
[06/06/2008, 10:47:01] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/06/2008, 10:47:01] -  No filename found. Continuing.
[06/06/2008, 10:47:01] -  BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[06/06/2008, 10:47:01] -  BHO 3: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[06/06/2008, 10:47:01] -  BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/06/2008, 10:47:01] -  BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[06/06/2008, 10:47:01] -  BHO 6: {A77F52B1-0F3F-4C76-8E53-8D47F947D1E6} ()
[06/06/2008, 10:47:01] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/06/2008, 10:47:01] -  No filename found. Continuing.
[06/06/2008, 10:47:01] -  BHO 7: {AF6954A6-5324-417A-905B-DA2FEB3E657C} ()
[06/06/2008, 10:47:01] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/06/2008, 10:47:01] -  Checking for HKLM\...\Winlogon\Notify\awttroOG
[06/06/2008, 10:47:01] -  Key not found: HKLM\...\Winlogon\Notify\awttroOG, continuing.
[06/06/2008, 10:47:01] -  BHO 8: {B8403BEC-BD95-4EE1-BADC-186E86C10805} ()
[06/06/2008, 10:47:01] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/06/2008, 10:47:01] -  Checking for HKLM\...\Winlogon\Notify\fccaYqRI
[06/06/2008, 10:47:01] -  Key not found: HKLM\...\Winlogon\Notify\fccaYqRI, continuing.
[06/06/2008, 10:47:01] -  BHO 9: {C1B9D7F9-6B21-44B2-BE34-DDB11C5C75D9} (MSEvents Object)
[06/06/2008, 10:47:01] - ALERT: Found MSEvents Object!
[06/06/2008, 10:47:01] - Finished Searching Browser Helper Objects
[06/06/2008, 10:47:01] - *** Detected MSEvents Object
[06/06/2008, 10:47:01] - Trying to remove MSEvents Object...
[06/06/2008, 10:47:02] -    Terminating Process: IEXPLORE.EXE
[06/06/2008, 10:47:03] -    Terminating Process: RUNDLL32.EXE
[06/06/2008, 10:47:03] -    Disabling Automatic Shell Restart
[06/06/2008, 10:47:03] -    Terminating Process: EXPLORER.EXE
[06/06/2008, 10:47:03] -    Suspending the NT Session Manager System Service
[06/06/2008, 10:47:03] -    Terminating Windows NT Logon/Logoff Manager
[06/06/2008, 10:47:05] -    Re-enabling Automatic Shell Restart
[06/06/2008, 10:47:05] -   File to disable: C:\WINDOWS\system32\xxyvsSMC.dll
[06/06/2008, 10:47:05] -  Renaming C:\WINDOWS\system32\xxyvsSMC.dll -> C:\WINDOWS\system32\xxyvsSMC.dll.vir
[06/06/2008, 10:47:05] -  File successfully renamed!
[06/06/2008, 10:47:05] -   Removing HKLM\...\Browser Helper Objects\{C1B9D7F9-6B21-44B2-BE34-DDB11C5C75D9}
[06/06/2008, 10:47:05] -   Removing HKCR\CLSID\{C1B9D7F9-6B21-44B2-BE34-DDB11C5C75D9}
[06/06/2008, 10:47:05] -   Adding Kill Bit for ActiveX for GUID: {C1B9D7F9-6B21-44B2-BE34-DDB11C5C75D9}
[06/06/2008, 10:47:05] -   Deleting ATLEvents/MSEvents Registry entries
[06/06/2008, 10:47:05] -   Removing HKLM\...\Winlogon\Notify\xxyvsSMC
[06/06/2008, 10:47:05] - Searching for Browser Helper Objects:
[06/06/2008, 10:47:05] -  BHO 1: {01BADA7F-14B7-4952-B03E-A0D47606B87F} ()
[06/06/2008, 10:47:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/06/2008, 10:47:05] -  No filename found. Continuing.
[06/06/2008, 10:47:05] -  BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[06/06/2008, 10:47:05] -  BHO 3: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[06/06/2008, 10:47:05] -  BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/06/2008, 10:47:05] -  BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[06/06/2008, 10:47:05] -  BHO 6: {A77F52B1-0F3F-4C76-8E53-8D47F947D1E6} ()
[06/06/2008, 10:47:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/06/2008, 10:47:05] -  No filename found. Continuing.
[06/06/2008, 10:47:05] -  BHO 7: {AF6954A6-5324-417A-905B-DA2FEB3E657C} ()
[06/06/2008, 10:47:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/06/2008, 10:47:05] -  Checking for HKLM\...\Winlogon\Notify\awttroOG
[06/06/2008, 10:47:05] -  Key not found: HKLM\...\Winlogon\Notify\awttroOG, continuing.
[06/06/2008, 10:47:05] -  BHO 8: {B8403BEC-BD95-4EE1-BADC-186E86C10805} ()
[06/06/2008, 10:47:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/06/2008, 10:47:05] -  Checking for HKLM\...\Winlogon\Notify\fccaYqRI
[06/06/2008, 10:47:05] -  Key not found: HKLM\...\Winlogon\Notify\fccaYqRI, continuing.
[06/06/2008, 10:47:05] - Finished Searching Browser Helper Objects
[06/06/2008, 10:47:05] - Finishing up...
[06/06/2008, 10:47:05] - A restart is needed.
[06/06/2008, 10:47:05] - Automatic Reboot on STOP Error is not set. User will have to manually restart.
[06/06/2008, 10:47:33] - Attempting to Restart via STOP error (Blue Screen!)

cgui33 · Answer

Re
Apparemment on en a eu 1 !
Repostes un log Hijack (je regarderai dimanche soir)
A+

gwen1711 · Answer

re
oui je crois aussi qu'on a eu qqch là! j'ai rettrouvé mes mises a jour de windows et je trouve quemon PC va un peu mieu merci beaucoup!
mé dis moi j'en ai combien la de virus? j'ai attrapé tout ça d'un coup? comment tu le vois ?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:09:04, on 06/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\anti virus\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\anti virus\ashServ.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ANTIVI~1\ashDisp.exe
C:\Program Files\Lexmark 2400 Series\lxcrmon.exe
C:\Program Files\Lexmark 2400 Series\ezprint.exe
C:\PROGRA~1\CONTRO~1\bin\optgui.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Controle Parental\bin\optproxy.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\anti virus\ashMaiSv.exe
C:\Program Files\anti virus\ashWebSv.exe
C:\WINDOWS\system32\lxcrcoms.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Hijack\cafard.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {01BADA7F-14B7-4952-B03E-A0D47606B87F} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5F994D7B-2BE1-471E-B53D-53FB705857E0} - C:\WINDOWS\system32\awttroOG.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A77F52B1-0F3F-4C76-8E53-8D47F947D1E6} - (no file)
O2 - BHO: (no name) - {B8403BEC-BD95-4EE1-BADC-186E86C10805} - C:\WINDOWS\system32\fccaYqRI.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTIVI~1\ashDisp.exe
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [lxcrmon.exe] "C:\Program Files\Lexmark 2400 Series\lxcrmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2400 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [OPTENET_GUI] C:\PROGRA~1\CONTRO~1\bin\optgui.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [9ca9c8c0] rundll32.exe "C:\WINDOWS\system32\qdkmaang.dll",b
O4 - HKLM\..\Run: [LXCRCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - http://activex.camfrogweb.com/advanced/2.0.1.14/cfweb_activex.camfrogweb.com-advanced-2.0.1.14_instmodule.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697517} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_aac.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\anti virus\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\anti virus\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\anti virus\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\anti virus\ashWebSv.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxcr_device -   - C:\WINDOWS\system32\lxcrcoms.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: Orange Contrôle Parental (OPTENET_FILTER) - Orange - C:\Program Files\Controle Parental\bin\optproxy.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

cgui33 · Answer

Re
On voit ça suite à l'analyse du rapport Hijack.
Ton PC est encore infecté (le problème c'est que l'on ne peut pas utiliser Combofix ...)

Redémarre ton PC en mode sans échec (sans prise en charge réseau )
(Imprime le post pour te souvenir de la marche à suivre)

Relance Hijack (cafard)
Do a system scan only 
Coche ces lignes :

O2 - BHO: (no name) - {01BADA7F-14B7-4952-B03E-A0D47606B87F} - (no file)
O2 - BHO: (no name) - {5F994D7B-2BE1-471E-B53D-53FB705857E0} - C:\WINDOWS\system32\awttroOG.dll
O2 - BHO: (no name) - {A77F52B1-0F3F-4C76-8E53-8D47F947D1E6} - (no file)
O2 - BHO: (no name) - {B8403BEC-BD95-4EE1-BADC-186E86C10805} - C:\WINDOWS\system32\fccaYqRI.dll
O4 - HKLM\..\Run: [9ca9c8c0] rundll32.exe "C:\WINDOWS\system32\qdkmaang.dll",b

Arrête toutes les autres applications en cours et :
Fix checked 

Double-clique sur OTMoveIt.exe pour le lancer. 
Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!! 
Copie le texte ci-dessous, et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved. 

C:\WINDOWS\system32\awttroOG.dll
C:\WINDOWS\system32\fccaYqRI.dll
C:\WINDOWS\system32\qdkmaang.dll

Clique sur MoveIt! pour lancer la suppression. 
Si OTMoveIt propose de redémarrer ton PC, accepte. 
Lorsqu' un résultat apparaît dans le cadre Results, clique sur Exit. 
Dans ta future réponse, envoie le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles. 
Le nom du rapport est la date de sa création. (poste le)

Poste un nouveau log Hijack en plus.
Je ne suis pas sûr que là, cela fonctionne mais on ne sait jamais !

A+

gwen1711 · Answer

bonjour
pour l'antivirus en fait j'ai un petit problème !! une fois j'avais fait tourner un truk et après j'avais plus de clavier ni d'antivirus.
antivir est toujours là mais quand j'allume mon PC ca me met un message d'erreur et en fait il marche pas et quand j'essaye de le désinstaler ca marche pas !!!
tout à l'heure j'ai essayé de le réinstaler et ca a pas marché non plus ......
du coup c'est pour ca que j'ai remis avast pour pa rester sans rien

sinon voila les rapports :

DllUnregisterServer procedure not found in C:\WINDOWS\system32\awttroOG.dll
C:\WINDOWS\system32\awttroOG.dll NOT unregistered.
C:\WINDOWS\system32\awttroOG.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\fccaYqRI.dll
C:\WINDOWS\system32\fccaYqRI.dll NOT unregistered.
C:\WINDOWS\system32\fccaYqRI.dll moved successfully.
File/Folder C:\WINDOWS\system32\qdkmaang.dll not found.
 
OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 06092008_100248



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:39:55, on 09/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\anti virus\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\anti virus\ashServ.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ANTIVI~1\ashDisp.exe
C:\Program Files\Lexmark 2400 Series\lxcrmon.exe
C:\Program Files\Lexmark 2400 Series\ezprint.exe
C:\PROGRA~1\CONTRO~1\bin\optgui.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Controle Parental\bin\optproxy.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\lxcrcoms.exe
C:\Program Files\anti virus\ashMaiSv.exe
C:\Program Files\anti virus\ashWebSv.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Hijack\cafard.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {01BADA7F-14B7-4952-B03E-A0D47606B87F} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0E5D34B4-E648-4AE4-8CDE-16CBBB545920} - C:\WINDOWS\system32\fccaYqRI.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A77F52B1-0F3F-4C76-8E53-8D47F947D1E6} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTIVI~1\ashDisp.exe
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [lxcrmon.exe] "C:\Program Files\Lexmark 2400 Series\lxcrmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2400 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [OPTENET_GUI] C:\PROGRA~1\CONTRO~1\bin\optgui.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LXCRCATS] rundll32 C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - http://activex.camfrogweb.com/advanced/2.0.1.14/cfweb_activex.camfrogweb.com-advanced-2.0.1.14_instmodule.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697517} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_aac.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\anti virus\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\anti virus\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\anti virus\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\anti virus\ashWebSv.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxcr_device -   - C:\WINDOWS\system32\lxcrcoms.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: Orange Contrôle Parental (OPTENET_FILTER) - Orange - C:\Program Files\Controle Parental\bin\optproxy.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

cgui33 · Answer

Re

Enfin le rapport est correct !!!!!!!!!!!

Fais Démarrer --> Exécuter 
Tape msconfig puis valide
Sélectionne l'onglet Services

Décoche les services suivants :
AntiVir PersonalEdition Classic Scheduler
AntiVir PersonalEdition Classic Guard

Fais Appliquer puis OK (et reponds oui pour redémarrer)

Ensuite :
Avec HijackThis : 
Do a system scan only 
Coche ces lignes : (si tu les trouves )

O2 - BHO: (no name) - {0E5D34B4-E648-4AE4-8CDE-16CBBB545920} - C:\WINDOWS\system32\fccaYqRI.dll (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
	
Arrête toutes les autres applications en cours et :
Fix checked 

Ensuite tu peux créer un nouveau point de restauration :

D'abord supprime tous les points existants :
Windows + Pause --> Onglet Restauration de système
Coches la case devant : Désactivativer la restauration du système ...
Clique sur Appliquer et ensuite OK

Ensuite :
Windows + Pause --> Onglet Restauration de système
Décoches la case devant : Désactivativer la restauration du système ...
Clique sur Appliquer et ensuite OK 

Redémarre le PC

Ensuite dis nous ou en sont tes problèmes.
A+
PS : Je n'ai pas encore fait le point sur les fichiers qui n'auraient pas été effacé suite aux actions.

cgui33 · Answer

Re
Lorsque tu auras terminé le post précédent :

Redémarre en "Mode sans échec"
Choisir sa session habituelle, (pas le compte "Administrateur" ou une autre).

Lance Malwarebyte's Anti-Malware
Onglet "Recherche" >>> coche « Exécuter un examen complet » >>> « Rechercher »
Sélectionne ton disque dur >>> clic sur « Lancer l'examen »

A la fin du scan >>> clique sur « Afficher les résultats » >>> « Enregistrer le Rapport »
Suppression des éléments détectés >>>> clique sur « Supprimer la sélection »
S'il t'est demandé de redémarrer >>> clique sur "Yes"
Un rapport de scan s'ouvre, poste le rapport. 

A+

gwen1711 · Answer

bonjour
j'ai lancé Malwarebyte's Anti-Malware, il voulait me supprimer mon clavier encore une foi donc je l'ai décoché avant de supprimer la sélection.
voila le rapport :

Malwarebytes' Anti-Malware 1.14
Version de la base de données: 811

15:13:38 10/06/2008
mbam-log-6-10-2008 (15-13-24).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 94797
Temps écoulé: 1 hour(s), 45 minute(s), 27 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Hijack\backups\backup-20080604-212827-209.dll (Trojan.Vundo) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\cbXrRhhG.dll.vir (Trojan.Vundo) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\iifefDwx.dll.vir (Trojan.Vundo) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\joyykjfk.dll.vir (Trojan.Vundo) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\pmnoMfgf.dll.vir (Trojan.Vundo) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\rlfuxahf.dll.vir (Trojan.Vundo) -> No action taken.
C:\_OTMoveIt\MovedFiles\06032008_141739\WINDOWS\system32\pmnoMfgf.dll (Trojan.Vundo) -> No action taken.
C:\_OTMoveIt\MovedFiles\06042008_213317\WINDOWS\system32\geBqPIXR.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\drivers\kbd.sys (Trojan.Agent) -> No action taken.

cgui33 · Answer

Re

Double-clique sur OTMoveIt.exe pour le lancer. 
Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!! 
Copie le texte ci-dessous, et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved. 

C:\WINDOWS\cookies.ini

Clique sur MoveIt! pour lancer la suppression. 
Si OTMoveIt propose de redémarrer ton PC, accepte. 
Lorsqu' un résultat apparaît dans le cadre Results, clique sur Exit. 
Dans ta future réponse, envoie le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles. 
Le nom du rapport est la date de sa création. 

------------------------------------------------------------------------------------------

Tu as 6 clés de registre infectées (rapport Malwarebyte's)
Peux tu le relancer (en mode sans échec) et ne pas décocher ces clés ?
Décoches seulement la ligne pour ton clavier (KBD.SYS)

------------------------------------------------------------------------------------------

Ensuite :

Fais un clic droit sur ce lien : (IL-MAFIOSO) 
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau. 
Ensuite double clique sur navilog1.exe pour lancer l'installation. 
Une fois l'installation terminée, le fix s'exécutera automatiquement. 
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). 

Laisse-toi guider. Au menu principal, choisis 1 et valides. 
Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 
Appuie sur une touche comme demandé, le blocnote va s'ouvrir. 
Copie-colle l'intégralité dans une réponse. Referme le blocnote. 
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt) 

Ensuite vide ta qurantaine :
clic droit sur l'icone, "démarrer avast antivirus". 
Tu vas dans le coffre, tu cliques sur : "Tous les fichiers de la zone quarantaine". 
Tu selectionnes tous puis clique droit et "supprimer." 

A+
C'est presque terminé !

gwen1711 · Answer

re
pour les clé je ne les avais pas décoché
j'avais juste décoché le truk pour mon clavier .......

cgui33 · Answer

Re

OK alors :
Copie le texte ci-dessous en gras (même la dernière ligne vide du bas), et colle le dans le bloc notes 

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws]
[-HKEY_CURRENT_USER\Software\Microsoft\affri]
[-HKEY_CURRENT_USER\Software\Microsoft\rdfa]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP]
 


Sauvegarde le fichier sous le nom de Gwen.reg  (sur le bureau)
(tu as déjà effectué cette manip)

Redémarre en mode sans échec
Double clic dur Gwen.reg et réponds OUI 

Pour vérifier que les clés de registre sont bien supprimées tu peux relancer MalwareByte's 
(c'est un peu long ... c'est vrai alors tu fais ou tu fais pas !)

Ensuite :

Pour désinstaller les outils/logs installés pour la désinfection : 

Télécharge Tools Cleaner sur ton bureau. 
On s'en servira plus tard !

J'attends le rapport Navilog
A+

gwen1711 · Answer

bonjour
voila déja le rapport navilog


Search Navipromo version 3.5.8 commencé le 11/06/2008 à 11:45:59,06

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "gwendoline" 

Mise à jour le 06.06.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\menudÉ~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\gwendoline\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\PROPRI~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\gwendoline\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\gwendoline\menudm~1\progra~1" *** 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\gwendoline\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\gwendoline\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

C:\WINDOWS\system32\ffNXEfii.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\GOorttwa.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\IRqYaccf.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\RXIPqBeg.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\wHkjlnnn.ini2 trouvé ! infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 11/06/2008 à 11:54:24,14 ***

gwen1711 · Answer

re
je pense avoir tout fait 
voila le rapport de OTmoveIT et de MalwareByte's 
ca a l'air bon pour les clés 

File/Folder C:\WINDOWS\cookies.ini not found.
 
OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 06102008_193432




Malwarebytes' Anti-Malware 1.14
Version de la base de données: 811

15:42:56 11/06/2008
mbam-log-6-11-2008 (15-42-51).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 94947
Temps écoulé: 1 hour(s), 46 minute(s), 1 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP676\A0053948.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP676\A0053949.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP676\A0053950.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\drivers\kbd.sys (Trojan.Agent) -> No action taken.

cgui33 · Answer

Re
Excellent !

Double-clique sur OTMoveIt.exe pour le lancer.
Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!
Copie le texte ci-dessous, et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\ffNXEfii.ini2
C:\WINDOWS\system32\GOorttwa.ini2
C:\WINDOWS\system32\IRqYaccf.ini2
C:\WINDOWS\system32\RXIPqBeg.ini2
C:\WINDOWS\system32\wHkjlnnn.ini2

Clique sur MoveIt! pour lancer la suppression.
Si OTMoveIt propose de redémarrer ton PC, accepte.
Lorsqu' un résultat apparaît dans le cadre Results, clique sur Exit.
Regarde le rapport situé sur C:\_OTMoveIt\MovedFiles et vérifie que les fichiers ont bien été supprimés.
(Le nom du rapport est la date de sa création)

Si c'est la cas :

Lance Toolscleaner (que tu as dû télécharger hier)
Clique sur Recherche et laisse le scan agir ... 
Clique sur Suppression pour finaliser. 
Tu peux, si tu le souhaites, te servir des Options facultatives. 
Clique sur Quitter pour obtenir le rapport. 
Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 

----------------------------------------------------------------------------------------------------------------------
Ensuite :
Nouveau point de restauration
 - vide la corbeille 

 - Désactive ta restauration systeme : 
Clic droit poste de travail --> propriétés --> onglet restauration du systeme :
coche la case "désactiver la restauration systeme sur tous les lecteurs." 
Clic sur "Appliquer", et "ok". 

Puis, 
Réactive ta restauration systeme : 
Clic droit poste de travail --> propriétés --> onglet restauration du systeme :
décoche la case "désactiver la restauration systeme sur tous les lecteurs." 
Clic sur "Appliquer", et "ok". 

Ensuite, redémarre ton PC

Et voilà ... Enfin ! (je l'espère)
A+
As tu d'autres problèmes ?

gwen1711 · Answer

re 
b je pense que mon PC est redenevu comme avant 
merci vraiment beaucoup je m'en serais jamais sortie toute seule
voila le rapport : 

-->- Recherche: 

C:\SDFIX: trouvé !
C:\Vundofix backups: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\Documents and Settings\gwendoline\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\gwendoline\Bureau\VirtumundoBeGone.exe: trouvé !
C:\Documents and Settings\gwendoline\Bureau\OtMoveIt2.exe: trouvé !
C:\Documents and Settings\gwendoline\Bureau\Navilog1.exe: trouvé !
C:\Documents and Settings\gwendoline\Bureau\vundoFix.exe: trouvé !
C:\Documents and Settings\gwendoline\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\gwendoline\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\gwendoline\Bureau\SDFIX: trouvé !
C:\Documents and Settings\gwendoline\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\gwendoline\Bureau\sdfix\SDFIX: trouvé !
C:\Documents and Settings\gwendoline\Mes documents\Mes eBooks\Msnfix.zip: trouvé !
C:\Documents and Settings\gwendoline\Mes documents\Mes eBooks\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\gwendoline\Mes documents\Mes eBooks\MsnFix: trouvé !
C:\Documents and Settings\gwendoline\Mes documents\Mes eBooks\MSNFix\MsnFix: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\Documents and Settings\gwendoline\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\gwendoline\Bureau\VirtumundoBeGone.exe: supprimé !
C:\Documents and Settings\gwendoline\Bureau\OtMoveIt2.exe: supprimé !
C:\Documents and Settings\gwendoline\Bureau\Navilog1.exe: supprimé !
C:\Documents and Settings\gwendoline\Bureau\vundoFix.exe: supprimé !
C:\Documents and Settings\gwendoline\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\gwendoline\Bureau\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\gwendoline\Mes documents\Mes eBooks\Msnfix.zip: supprimé !
C:\Documents and Settings\gwendoline\Mes documents\Mes eBooks\SmitFraudFix.exe: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\SDFIX: supprimé !
C:\Vundofix backups: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
C:\Documents and Settings\gwendoline\Bureau\SDFIX: supprimé !
C:\Documents and Settings\gwendoline\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\gwendoline\Mes documents\Mes eBooks\MsnFix: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

gwen1711 · Answer

ok merci beaucoup

gwen1711 · Answer

re euh je voudrais bien le mettre sur résolu mais c'est où ?

gwen1711 · Answer

b j'arrive pas snif

cgui33 · Answer

OK
Vas voir ici
A+

gwen1711 · Answer

bin moi j'suis pas membre aussi

cgui33 · Answer

Bon 
Eh bien tu peux t'inscrire pour devenir membre (gratuit et sans engagement !)
Sinon je le signalerai aux modérateurs pour qu'ils le passent en résolu
A+

gwen1711 · Answer

oki 
a+++

Virus cafards qui mangent mon écran !!!

75 réponses

Newsletters