Virus tentaculaire, Windows + IE Touché Résolu/Fermé

Question

Bonjour,
Le PC de mon ami a un sérieux probleme : (je fais une liste pour etre plus claire)
tout a commencé avec une demande de téléchargement de ActivX
d'un seul coup des fenetres d'erreurs de fichiers Win32 se sont lancées
Reboot du PC
Des icones du Bureau ont disparu (15aines) 
A coté de l'heure (dans  est apparu : "VIRUS ALERT ! "
AVG 8.0 a détecté un virus (nom inconnu) puis en a redecté pleins d'autres et ils ont tous pu etre supprimés (normalement )
Des fenetres "Windows Security Alert" sont apparues disant qu'on devait télécharger un spyware 
On a annulé la demande
Lancement d'un scan Ad Aware 2008 Free ---> 5 fichiers dangereux supprimés
Dans la barre des menus, toujours près de l'heure, une croix rouge clignote
Pop Up et pages internet intempestives
IE Inaccessible car Terminer le Programme
Les fenetres s'interchangent et se superposent toutes seules.
Et pour finir : le gestionnaire des taches ne fonctionne plus

Ayant deja été confrontée à ce genre de délire sur mon pc, je me suis dit que vous pourriez à nouveau
On passe par mon pc portable pour avoir acces à internet puisque ce n'est absolument plus possible sur le pc de mon pote
J'ai deja récupéré HiJackThis et NaviLog
Voila le post de HiJack :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:48: VIRUS ALERT!, on 20/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Marmot Project\TheTurtle v5.0.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\CCleaner\ccleaner.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Documents and Settings\Utilisateur\Bureau\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - (no file)
O2 - BHO: (no name) - {1C77B0A7-9D6A-42F6-8A80-A13FE9C6A6DD} - C:\WINDOWS\system32\iiffGVmK.dll
O2 - BHO: (no name) - {2A65BE74-EC8D-401E-93DF-5BDA3DC05505} - C:\WINDOWS\system32	uvTnKdD.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: QXK Olive - {812AE34E-162C-4C94-BAA1-A2C0431AEC84} - C:\WINDOWS\kgxmotapktx.dll
O2 - BHO: (no name) - {880B2B8B-2748-44FA-B941-FDDB0E0A180B} - C:\WINDOWS\system32\sccsccpd.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: {b6e01f1a-eb61-78ba-2d54-feb51f502a5a} - {a5a205f1-5bef-45d2-ab87-16bea1f10e6b} - C:\WINDOWS\system32\bmuvjk.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: (no name) - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: qndsfmao - {3FCAEB7D-F8AE-4A67-AE6C-57EE1416BB6D} - C:\WINDOWS\qndsfmao.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [24a7ba60] rundll32.exe "C:\WINDOWS\system32	eubjkpi.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TheTurtle] C:\Program Files\TheTurtle\TheTurtle.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [The Turtle] C:\Program Files\Marmot Project\TheTurtle v5.0.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: tuvTnKdD - C:\WINDOWS\SYSTEM32	uvTnKdD.dll
O21 - SSODL: kvxqmtre - {6A2BF30D-1757-4CA5-86F3-288405706D10} - C:\WINDOWS\kvxqmtre.dll
O21 - SSODL: evgratsm - {E6BC23E2-183E-4FC4-BBCA-852D1409F67B} - C:\WINDOWS\evgratsm.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

sKe69 · Answer

Salut, 
multiples infections , commences par ce-ci :

Télécharges SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

!! Déconnectes toi, fermes toute tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!

Installes le soft à la racine de C\ ( et pas ailleurs! --->"C\:SmitfraudFix.exe" ) .

Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
 
Utilisation ----> option 1 - Recherche : 
Double clique sur l'icône "Smitfraudfix.exe" et sélectionnes 1 pour créer un rapport des fichiers responsables de l'infection.
 
Postes le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite . 

(Attention : process.exe est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

esfloria · Answer

Voila le Log de SmitfraudFix :

SmitFraudFix v2.330

Rapport fait à 18:51:51,89, 20/07/2008
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Marmot Project\TheTurtle v5.0.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\Policies.exe
C:\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Utilisateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Utilisateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\UTILIS~1\Favoris

C:\DOCUME~1\UTILIS~1\Favoris\Error Cleaner.url PRESENT !
C:\DOCUME~1\UTILIS~1\Favoris\Privacy Protector.url PRESENT !
C:\DOCUME~1\UTILIS~1\Favoris\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: kgxmotapktx.dll
BHO: QXK Olive - {812AE34E-162C-4C94-BAA1-A2C0431AEC84}
TypeLib: {8C6AACDD-4862-496C-BA20-D712AD679760}
Interface: {6A4A71B0-36D2-4674-87AF-288F60E3EC71}
Interface: {A74CD9A1-9348-4B3F-87A4-4852C2CE802E}

[!] Suspicious: qndsfmao.dll
Toolbar: qndsfmao - {3FCAEB7D-F8AE-4A67-AE6C-57EE1416BB6D}
TypeLib: {88A6BF68-B9B6-429B-A8B0-3CC5C6DB948C}
Interface: {8ADABFCC-2174-46C8-8DC8-161780ADEAC5}
Classe: qndsfmao.bvqe
Classe: qndsfmao.ToolBar.1

[!] Suspicious: kvxqmtre.dll
SSODL: kvxqmtre - {6A2BF30D-1757-4CA5-86F3-288405706D10}

[!] Suspicious: evgratsm.dll
SSODL: evgratsm - {E6BC23E2-183E-4FC4-BBCA-852D1409F67B}


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="avgrsstx.dll"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS1\Services\Tcpip\..\{1B634272-F404-4C2B-9751-DFEBD7DEC63D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{0DACE130-1899-4E4E-A0D0-1FCEE35E5750}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

sKe69 · Answer

Bien ...

A ) Suite de la manipe ( nettoyage ), fais exactement ce qui suit : 

* Impératif : Redémarrer l'ordinateur en mode sans échec . 
Comment aller en Mode sans échec 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les info ci-dessous ...)

*Double click sur SmitfraudFix.exe 

* Sélectionnes 2 et presses "Entrée" dans le menu pour supprimer les fichiers responsables de l'infection. 

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et presser Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection. 

( Le correctif déterminera si le fichier wininet.dll est infecté.)
 
* A la question: "Corriger le fichier infecté ?" répondre O (oui) et presser Entrée 
pour remplacer le fichier corrompu. 

* Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage ( sinon fais le manuellement ) 

Le rapport se trouve à la racine de C\: 
(dans le fichier "rapport.txt") 

Postes moi ce dernier rapport dans ton prochain message  ... 


B ) Une fois cela fais , supprimes ton hijackthis car ta version est obselette et fais exactement ce qui suit :

Télécharges et installes le logiciel HijackThis : 
 
ici :ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici : http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

1-Cliquer sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin tu dois avoir un raccouci sur ton bureau et aussi un cheminement comme : "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe " .

Important :
Renommer le prg HijackThis : 
Rends toi sur ton PC ici "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe"<---cliques droit sur ce dernier et choisis "renommer" : tapes monjack et valides .

tuto pour utilisation 
Regardes ici, c'est parfaitement expliqué en images :
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 

2-!!Déconnectes toi et fermes toute tes applications en cours !!

Cliques sur le raccourci du bureau pour lancer le prg :
fais un scan "monjack" (ou HijackThis renommé) en cliquant sur : "Do a system scan and save a logfile" 

---> Postes le rapport généré pour analyse ...


J'attends donc dans ta prochaine réponse : le 2eme rapport Smithfraudfix ( "rapport.txt" ), suivit d'un nouveau rapport hijackthis ( avec la bonne version correctement installé ) pour analyse ....

esfloria · Answer

Voila le post SmitfraudFix :
SmitFraudFix v2.330

Rapport fait à 19:22:40,68, 20/07/2008
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost
127.0.0.1 bin.errorprotector.com ## added by CiD
127.0.0.1 br.errorsafe.com ## added by CiD
127.0.0.1 br.winantivirus.com ## added by CiD
127.0.0.1 br.winfixer.com ## added by CiD
127.0.0.1 cdn.drivecleaner.com ## added by CiD
127.0.0.1 cdn.errorsafe.com ## added by CiD
127.0.0.1 cdn.winsoftware.com ## added by CiD
127.0.0.1 de.errorsafe.com ## added by CiD
127.0.0.1 de.winantivirus.com ## added by CiD
127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
127.0.0.1 download.cdn.errorsafe.com ## added by CiD
127.0.0.1 download.cdn.winsoftware.com ## added by CiD
127.0.0.1 download.errorsafe.com ## added by CiD
127.0.0.1 download.systemdoctor.com ## added by CiD
127.0.0.1 download.winantispyware.com ## added by CiD
127.0.0.1 download.windrivecleaner.com ## added by CiD
127.0.0.1 download.winfixer.com ## added by CiD
127.0.0.1 drivecleaner.com ## added by CiD
127.0.0.1 dynamique.drivecleaner.com ## added by CiD
127.0.0.1 errorprotector.com ## added by CiD
127.0.0.1 errorsafe.com ## added by CiD
127.0.0.1 es.winantivirus.com ## added by CiD
127.0.0.1 fr.winantivirus.com ## added by CiD
127.0.0.1 fr.winfixer.com ## added by CiD
127.0.0.1 go.drivecleaner.com ## added by CiD
127.0.0.1 go.errorsafe.com ## added by CiD
127.0.0.1 go.winantispyware.com ## added by CiD
127.0.0.1 go.winantivirus.com ## added by CiD
127.0.0.1 hk.winantivirus.com ## added by CiD
127.0.0.1 instlog.errorsafe.com ## added by CiD
127.0.0.1 instlog.winantivirus.com ## added by CiD
127.0.0.1 instlog.winfixer.com ## added by CiD
127.0.0.1 jsp.drivecleaner.com ## added by CiD
127.0.0.1 kb.errorsafe.com ## added by CiD
127.0.0.1 kb.winantivirus.com ## added by CiD
127.0.0.1 nl.errorsafe.com ## added by CiD
127.0.0.1 se.errorsafe.com ## added by CiD
127.0.0.1 secure.drivecleaner.com ## added by CiD
127.0.0.1 secure.errorsafe.com ## added by CiD
127.0.0.1 secure.winantispam.com ## added by CiD
127.0.0.1 secure.winantispy.com ## added by CiD
127.0.0.1 secure.winantivirus.com ## added by CiD
127.0.0.1 support.winantivirus.com ## added by CiD
127.0.0.1 trial.updates.winsoftware.com ## added by CiD
127.0.0.1 ulog.winantivirus.com ## added by CiD
127.0.0.1 utils.errorsafe.com ## added by CiD
127.0.0.1 utils.winantivirus.com ## added by CiD
127.0.0.1 utils.winfixer.com ## added by CiD
127.0.0.1 winantispyware.com ## added by CiD
127.0.0.1 winantivirus.com ## added by CiD
127.0.0.1 winfixer.com ## added by CiD
127.0.0.1 winfixer2006.com ## added by CiD
127.0.0.1 winsoftware.com ## added by CiD
127.0.0.1 www.drivecleaner.com ## added by CiD
127.0.0.1 www.errorprotector.com ## added by CiD
127.0.0.1 www.errorsafe.com ## added by CiD
127.0.0.1 www.systemdoctor.com ## added by CiD
127.0.0.1 www.utils.winfixer.com ## added by CiD
127.0.0.1 www.win-anti-virus-pro.com ## added by CiD
127.0.0.1 www.win-virus-pro.com ## added by CiD
127.0.0.1 www.winantispam.com ## added by CiD
127.0.0.1 www.winantispy.com ## added by CiD
127.0.0.1 www.winantispyware.com ## added by CiD
127.0.0.1 www.winantivirus.com ## added by CiD
127.0.0.1 www.winantiviruspro.com ## added by CiD
127.0.0.1 www.windrivecleaner.com ## added by CiD
127.0.0.1 www.windrivesafe.com ## added by CiD
127.0.0.1 www.winfixer.com ## added by CiD
127.0.0.1 www.winfixer2006.com ## added by CiD
127.0.0.1 www.winsoftware.com ## added by CiD

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\kgxmotapktx.dll deleted.
C:\WINDOWS\qndsfmao.dll deleted.
C:\WINDOWS\kvxqmtre.dll deleted.
C:\WINDOWS\evgratsm.dll deleted.


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\DOCUME~1\UTILIS~1\Favoris\Error Cleaner.url supprimé
C:\DOCUME~1\UTILIS~1\Favoris\Privacy Protector.url supprimé
C:\DOCUME~1\UTILIS~1\Favoris\Spyware?Malware Protection.url supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS1\Services\Tcpip\..\{1B634272-F404-4C2B-9751-DFEBD7DEC63D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{0DACE130-1899-4E4E-A0D0-1FCEE35E5750}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Voila le log Monjack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:37:24, on 20/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Marmot Project\TheTurtle v5.0.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - (no file)
O2 - BHO: (no name) - {2A65BE74-EC8D-401E-93DF-5BDA3DC05505} - C:\WINDOWS\system32	uvTnKdD.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {880B2B8B-2748-44FA-B941-FDDB0E0A180B} - C:\WINDOWS\system32\sccsccpd.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: {b6e01f1a-eb61-78ba-2d54-feb51f502a5a} - {a5a205f1-5bef-45d2-ab87-16bea1f10e6b} - C:\WINDOWS\system32\bmuvjk.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {C165358E-3238-4F20-AA89-B4B8016DFF8A} - C:\WINDOWS\system32\iiffGVmK.dll
O3 - Toolbar: (no name) - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [24a7ba60] rundll32.exe "C:\WINDOWS\system32	eubjkpi.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TheTurtle] C:\Program Files\TheTurtle\TheTurtle.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [The Turtle] C:\Program Files\Marmot Project\TheTurtle v5.0.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: tuvTnKdD - C:\WINDOWS\SYSTEM32	uvTnKdD.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

sKe69 · Answer

PS : on est sur 2 pc différents donc un pour le net qui est clean et l'autre infecté ou on fait toutes les manips.
--> j'avais bien compris ^^

la suite car il y a encore du boulot : 

1- Télécharges : - CCleaner 
https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ). 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

---> Utilisation:
vas dans "nettoyeur" : fait analyse puis nettoyage 
et vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


2- Télécharges se petit soft , ZEB_RESTORE :  

http://telechargement.zebulon.fr/zeb-restore.html 

Enregistres ce fichier sur ton bureau. 

-Clic droit Zeb-Restore.zip ==> "Extraire tout" choisis comme lieu d'enregistrement le bureau. 
-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe 
---> Coches les cases devant ( et uniquement celles-ci ! ) : 

* Gestionnaire des tâches : réactive le gestionnaire des tâches 
* Réparation IE : répare Internet Exploreur (pages de recherche) 
* Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares) 
* Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.) 
* Réinitialiser Fichier Hosts : réinitialise le fichier Hosts  

-Cliques sur : " Restaurer "

--->Redémarres ton PC 

3- Télécharges VirtumundoBegone sur ton bureau: 
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe 

!! Ce déconnecter et fermer toute ces applications le temps de la manipe !!

Double cliquer sur VirtumundoBeGone.exe et suivre les instructions. 
Une fois terminé, redémarrer le PC, le rapport VBG.TXT sera crée sur le bureau . 
(Si un message Ecran bleu "Erreur fatale" apparaît, pas d’inquiétude car c'est normal et attendu). 

Postes le rapport VBG accompagné d'un nouveau rapport Hijackthis pour analyse ...

esfloria · Answer

Log VGB :

[07/20/2008, 20:32:42] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Utilisateur\Bureau\VirtumundoBeGone.exe" )
[07/20/2008, 20:33:14] - Detected System Information:
[07/20/2008, 20:33:14] -  Windows Version: 5.1.2600, Service Pack 3
[07/20/2008, 20:33:14] -  Current Username: Utilisateur (Admin)
[07/20/2008, 20:33:14] -  Windows is in NORMAL mode.
[07/20/2008, 20:33:14] - Searching for Browser Helper Objects:
[07/20/2008, 20:33:14] -  BHO 1: {2A65BE74-EC8D-401E-93DF-5BDA3DC05505} ()
[07/20/2008, 20:33:14] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/20/2008, 20:33:14] -  Checking for HKLM\...\Winlogon\Notify	uvTnKdD
[07/20/2008, 20:33:14] -  Found: HKLM\...\Winlogon\Notify	uvTnKdD - This is probably Virtumundo.
[07/20/2008, 20:33:14] -  Assigning {2A65BE74-EC8D-401E-93DF-5BDA3DC05505} MSEvents Object
[07/20/2008, 20:33:14] - BHO list has been changed! Starting over...
[07/20/2008, 20:33:14] -  BHO 1: {2A65BE74-EC8D-401E-93DF-5BDA3DC05505} (MSEvents Object)
[07/20/2008, 20:33:14] - ALERT: Found MSEvents Object!
[07/20/2008, 20:33:14] -  BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[07/20/2008, 20:33:14] -  BHO 3: {880B2B8B-2748-44FA-B941-FDDB0E0A180B} ()
[07/20/2008, 20:33:14] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/20/2008, 20:33:14] -  No filename found. Continuing.
[07/20/2008, 20:33:14] -  BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[07/20/2008, 20:33:14] -  BHO 5: {A057A204-BACC-4D26-9990-79A187E2698E} (AVG Security Toolbar)
[07/20/2008, 20:33:14] -  BHO 6: {a5a205f1-5bef-45d2-ab87-16bea1f10e6b} ()
[07/20/2008, 20:33:14] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/20/2008, 20:33:14] -  Checking for HKLM\...\Winlogon\Notify\bmuvjk
[07/20/2008, 20:33:14] -  Key not found: HKLM\...\Winlogon\Notify\bmuvjk, continuing.
[07/20/2008, 20:33:14] -  BHO 7: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[07/20/2008, 20:33:14] -  BHO 8: {F61A7556-2422-4EA7-B4AE-1ED5399DBD3C} ()
[07/20/2008, 20:33:14] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/20/2008, 20:33:14] -  Checking for HKLM\...\Winlogon\Notify\iiffGVmK
[07/20/2008, 20:33:14] -  Key not found: HKLM\...\Winlogon\Notify\iiffGVmK, continuing.
[07/20/2008, 20:33:14] - Finished Searching Browser Helper Objects
[07/20/2008, 20:33:14] - *** Detected MSEvents Object
[07/20/2008, 20:33:14] - Trying to remove MSEvents Object...
[07/20/2008, 20:33:15] -    Terminating Process: IEXPLORE.EXE
[07/20/2008, 20:33:15] -    Terminating Process: RUNDLL32.EXE
[07/20/2008, 20:33:16] -    Disabling Automatic Shell Restart
[07/20/2008, 20:33:16] -    Terminating Process: EXPLORER.EXE
[07/20/2008, 20:33:16] -    Suspending the NT Session Manager System Service
[07/20/2008, 20:33:16] -    Terminating Windows NT Logon/Logoff Manager
[07/20/2008, 20:33:17] -    Re-enabling Automatic Shell Restart
[07/20/2008, 20:33:17] -   File to disable: C:\WINDOWS\system32	uvTnKdD.dll
[07/20/2008, 20:33:17] -  Renaming C:\WINDOWS\system32	uvTnKdD.dll -> C:\WINDOWS\system32	uvTnKdD.dll.vir
[07/20/2008, 20:33:17] -  File successfully renamed!
[07/20/2008, 20:33:17] -   Removing HKLM\...\Browser Helper Objects\{2A65BE74-EC8D-401E-93DF-5BDA3DC05505}
[07/20/2008, 20:33:17] -   Removing HKCR\CLSID\{2A65BE74-EC8D-401E-93DF-5BDA3DC05505}
[07/20/2008, 20:33:17] -   Adding Kill Bit for ActiveX for GUID: {2A65BE74-EC8D-401E-93DF-5BDA3DC05505}
[07/20/2008, 20:33:17] -   Deleting ATLEvents/MSEvents Registry entries
[07/20/2008, 20:33:17] -   Removing HKLM\...\Winlogon\Notify	uvTnKdD
[07/20/2008, 20:33:17] - Searching for Browser Helper Objects:
[07/20/2008, 20:33:17] -  BHO 1: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[07/20/2008, 20:33:17] -  BHO 2: {880B2B8B-2748-44FA-B941-FDDB0E0A180B} ()
[07/20/2008, 20:33:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/20/2008, 20:33:17] -  No filename found. Continuing.
[07/20/2008, 20:33:17] -  BHO 3: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[07/20/2008, 20:33:17] -  BHO 4: {A057A204-BACC-4D26-9990-79A187E2698E} (AVG Security Toolbar)
[07/20/2008, 20:33:17] -  BHO 5: {a5a205f1-5bef-45d2-ab87-16bea1f10e6b} ()
[07/20/2008, 20:33:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/20/2008, 20:33:17] -  Checking for HKLM\...\Winlogon\Notify\bmuvjk
[07/20/2008, 20:33:17] -  Key not found: HKLM\...\Winlogon\Notify\bmuvjk, continuing.
[07/20/2008, 20:33:17] -  BHO 6: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[07/20/2008, 20:33:17] -  BHO 7: {F61A7556-2422-4EA7-B4AE-1ED5399DBD3C} ()
[07/20/2008, 20:33:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/20/2008, 20:33:17] -  Checking for HKLM\...\Winlogon\Notify\iiffGVmK
[07/20/2008, 20:33:17] -  Key not found: HKLM\...\Winlogon\Notify\iiffGVmK, continuing.
[07/20/2008, 20:33:17] - Finished Searching Browser Helper Objects
[07/20/2008, 20:33:17] - Finishing up...
[07/20/2008, 20:33:17] - A restart is needed.
[07/20/2008, 20:33:29] - Attempting to Restart via STOP error (Blue Screen!)



Log HiJack : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:38:21, on 20/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Marmot Project\TheTurtle v5.0.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - (no file)
O2 - BHO: (no name) - {0F7A103B-B82F-4D91-AC4A-03D520FE5379} - C:\WINDOWS\system32\iiffGVmK.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {880B2B8B-2748-44FA-B941-FDDB0E0A180B} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: {b6e01f1a-eb61-78ba-2d54-feb51f502a5a} - {a5a205f1-5bef-45d2-ab87-16bea1f10e6b} - C:\WINDOWS\system32\bmuvjk.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: (no name) - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [24a7ba60] rundll32.exe "C:\WINDOWS\system32	eubjkpi.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TheTurtle] C:\Program Files\TheTurtle\TheTurtle.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [The Turtle] C:\Program Files\Marmot Project\TheTurtle v5.0.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

sKe69 · Answer

On continue ...

Télécharges MalwareByte's : 
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php
 
Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour . 

Potasses le tuto pour te familiariser avec le prg : https://forum.pcastuces.com/sujet.asp?f=31&s=3 
( cela dis, il est très simple d'utilisation ).

Impératif : redémarres en mode sans échec : 
Comment aller en Mode sans échec 
1) Redémarres ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)
 
Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tout tes disks avant le scan )  et supprimes tout ce qu'il peut trouver :
--->une fois le scan terminé , click sur "résultat" : puis vérifies que tous les objets infectés soient validés, puis click sur " suppression " .

Redémarres ton PC ( mode normal ). 

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...

esfloria · Answer

on est encore en pleine analyse ... désolé lol.
Par contre pour mon pc je voulais savoir j'ai eu une alerte Avast sur un truc appelé : Hupigon KME
Le temps de l'analyse est ce que tu pourrais jeter un coup d'oeil sur mon log (donc du pc soit disant clean ? lol)


HiJack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:46:05, on 20/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Aston\aston.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\WINDOWS\system32\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
D:\CursorXP\CursorXP.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\Booster Wanadoo\wanadoo_booster.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7
tiMUI.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [CursorXP] D:\CursorXP\CursorXP.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Acer Empowering Technology.lnk = C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Booster Orange.lnk = C:\Program Files\Booster Wanadoo\wanadoo_booster.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Julie\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {D6E7CFB5-C074-4D1C-B647-663D1A8D96BF} (Facebook Photo Uploader 4) - http://upload.facebook.com/controls/FacebookPhotoUploader4_5.cab
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP2\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP2\RpcSandraSrv.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

esfloria · Answer

Pardon j'ai le don d'oublier de finir mes phrase ... A propos de Hupigon KME est ce que c'est un trojan ou bien un faux virus que Avast détecte ? J'ai cherché un peu sur le net mais comme personne ne dit rien de très clair à ce sujet ... 
Merci !

sKe69 · Answer

on est encore en pleine analyse ... désolé lol. 
--> pas de prb , c'est normal que ce soit long ... ;)

Pour ton Log hijackthis , rien a signalé hors mis un ou deux .exe à vérifier ... Je t'inviterai à mettre en quarantaine et de voire comment ce comporte le PC  ... Puis si il y a un prb , postes un nouveau sujet sur le forum ...

Pour l'instant ,si tu veux bien , restons concentré sur notre affaire ... ^^ Chaque chose en son temps ...

esfloria · Answer

Merci pour le pc clean ;) j'avais mis le ficher en quarantaine en effet vu que je ne savais pas ce que c'était 
Sinon analyse terminée

Log Malware :
Malwarebytes' Anti-Malware 1.21
Version de la base de données: 966
Windows 5.1.2600 Service Pack 3

23:00:19 20/07/2008
mbam-log-7-20-2008 (23-00-19).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|)
Eléments examinés: 130152
Temps écoulé: 1 hour(s), 43 minute(s), 28 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 21
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 20

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\iiffGVmK.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8cb6baae-70a4-49ec-b3a7-8319779307b0} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{8cb6baae-70a4-49ec-b3a7-8319779307b0} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a5a205f1-5bef-45d2-ab87-16bea1f10e6b} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a5a205f1-5bef-45d2-ab87-16bea1f10e6b} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\hbcoresrv.dynamicprop (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\hbcoresrv.dynamicprop.1 (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{90b5a95a-afd5-4d11-b9bd-a69d53d22226} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wallpaper.wallpapermanager (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wallpaper.wallpapermanager.1 (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8109fd3d-d891-4f80-8339-50a4913ace6f} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{0ac49246-419b-4ee0-8917-8818daad6a4e} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{99410cde-6f16-42ce-9d49-3807f78f0287} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{f31a5d11-bf0b-4a4e-90af-274f2090aaa6} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoftdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\WakeNet (Trojan.Adware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\24a7ba60 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow
etsearchsoft.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.netsearchsoft.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\zangotoolbar 4.8.3 (Adware.Zango) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Security Packages (Trojan.Vundo) -> Data: c:\windows\system32\iiffgvmk -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\iiffgvmk  -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\iiffGVmK.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\KmVGffii.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\KmVGffii.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bmuvjk.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	eubjkpi.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ipkjbuet.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D2B78981-0133-4A5C-9134-1B9F0ECA5E39}\RP498\A0137891.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D2B78981-0133-4A5C-9134-1B9F0ECA5E39}\RP498\A0137919.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D2B78981-0133-4A5C-9134-1B9F0ECA5E39}\RP498\A0137931.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D2B78981-0133-4A5C-9134-1B9F0ECA5E39}\RP498\A0137939.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\erms.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Sys2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\muaccvhe.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\dialerexe.ini (Adware.NaviPromo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32
nnlkhFx.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32
nnoPHXo.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hgGWqOFV.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\Sys4C.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\agpqlrfm.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur\Application Data\TmpRecentIcons\Vista Antivirus 2008.lnk (Rogue.Link) -> Quarantined and deleted successfully.


Log HiJack :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:05:07, on 20/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Marmot Project\TheTurtle v5.0.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\PROGRA~1\AVG\AVG8\avgupd.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - (no file)
O2 - BHO: (no name) - {170C9EF0-B697-4C1D-BC0B-FF66359F0D46} - C:\WINDOWS\system32\iiffGVmK.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {880B2B8B-2748-44FA-B941-FDDB0E0A180B} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: (no name) - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TheTurtle] C:\Program Files\TheTurtle\TheTurtle.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [The Turtle] C:\Program Files\Marmot Project\TheTurtle v5.0.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

sKe69 · Answer

On continue ...

Fais exactement ce qui suit : 

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleur !): 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix et valide . 

--------------------------------------------- [ ! ATTENTION ! ] ---------------------------------------------
!! déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENCES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après  !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques C-Fix.exe ( = combofix.exe ) . 

Appuyes sur la touche Y (Yes) pour démarrer le scan . 

Attention : n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 
---> si un message d'erreur windows apparait à un momment  : clik sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée dans: C:\Combofix.txt 
 
Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...

esfloria · Answer

Bon on va se coucher ! Il est minuit chez nous ( a la Réunion ) On revient demain pour d'autres aventures ;)
Merci pour aujourd'hui en tout cas ;)
Bonne nuit

esfloria · Answer

bonjour ! on est de retour avec une très mauvaise nouvelle, on n'a plus acces au pc infecté ... mon pote n'a pas de mot de passe sur son pc et on faisait juste entrée la ou y a nom d'utilisateur et mot de passe (donc vide). 
Et la en redemarrant, on a un message qui nous dit "Le système n'a pas pu ouvrir de session car le domaine POSTE2 n'est pas disponible"
Help s'il te plait !

sKe69 · Answer

bon ... essayes en mode sans échec et dis moi ....

esfloria · Answer

meme en mode sans echec on arrive oas a acceder au bureau, on est bloqué au lmoment ou il nous demande un mot de passe .

sKe69 · Answer

Tapes " admin " pour voir ...

esfloria · Answer

rien ne fonctionne ... on a essayé toute sorte de combinaisons. Parfois il réchéfli un peu mais il plante et nous dit direct que : "Le système n'a pas pu ouvrir de session car le domaine POSTE2 n'est pas disponible" 
Ca peut etre du aux infections ou c'est carrément autre chose ? 
On se demandait notament si on enleve le Disc dur et qu'on le branche sur un autre pc si ca pourrait aider ...

esfloria · Answer

euhh.... il y a une option quand on appuis sur F8 au demarrage... il dit reprendre la derniere config de windows connu ? sa sert ou pas ?

nowhere_ · Answer

le brancher a un autre pc dans une session limité (sans connection) pas admin, ça donne acces au systeme
puis virer tout les virus avec differents outils. kapersky nettoie plutot bien en shareware.
(moi j'utilise avast, threatfire, spybot et pc tool en pare feu. j'ai en plus malwarebytes et a-squared pour faire
des scannes).
sauvegarder les données et reinstaller.

sKe69 · Answer

Re,

il y a une option quand on appuis sur F8 au demarrage... il dit reprendre la derniere config de windows connu --> essayes ce-ci effectivement et dis moi si cela marche ...

esfloria · Answer

bon on a fait derniere configuration connue et on a pu a nouveau rentrer sur le bureau. Au cas ou il faudrait tout recommencer (ou pas) voila le log HiJack a l'heure actuelle. Dis nous si on continue à l'étape du combo fix ou s'il faut refaire quelque chose.

Log HiJack :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:38:10, on 21/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Marmot Project\TheTurtle v5.0.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {880B2B8B-2748-44FA-B941-FDDB0E0A180B} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {B24FE2F2-2C12-4AD7-844B-A93789AB0BA8} - C:\WINDOWS\system32\iiffGVmK.dll
O2 - BHO: {9fda9283-c9d3-8178-33b4-5b641eb83d4d} - {d4d38be1-46b5-4b33-8718-3d9c3829adf9} - C:\WINDOWS\system32	aziye.dll
O3 - Toolbar: (no name) - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [24a7ba60] rundll32.exe "C:\WINDOWS\system32\yrqsoypr.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TheTurtle] C:\Program Files\TheTurtle\TheTurtle.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [The Turtle] C:\Program Files\Marmot Project\TheTurtle v5.0.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

sKe69 · Answer

non ne passe pas combofix de suite et fais ce-ci :

Télécharges MSNFix.zip (de !aur3n7) : 
http://sosvirus.changelog.fr/MSNFix.zip 
---> décompresses-le sur le Bureau et pas ailleurs ( = extraire tout ). 

Impératif : Démarrer en mode sans echec : 
Comment aller en Mode sans échec 
1) Redémarres ton ordi 
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreur ...) 

Lances le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau. 
- Exécute l'option R (recherche). 
- Si l'infection est détectée, exécute l'option N (nettoyage) . 
---> Une fois finit, sauvegardes ce rapport sur ton bureau .

Redémarres ton PC ( = retour au mode normal ), 
et postes moi ce rapport accompagné d'un nouveau rapport hijackthis ( fait en mode normal ) dans ta prochaine réponse pour analyse ...

esfloria · Answer

Rapport de MSNFix.bat :

MSNFix 1.732  
 
C:\Documents and Settings\Utilisateur\Bureau\MSNFix 
Fix exécuté le 21/07/2008 - 21:06:28,25 By Utilisateur 
mode sans échec           
    
************************ Recherche les fichiers présents      
    
... C:\WINDOWS\system32\mcrh.tmp 
... C:\WINDOWS\system32\mcrh.tmp 
... C:\WINDOWS\system32	mp.txt 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\WINDOWS\system32\mcrh.tmp  
.. OK ... C:\WINDOWS\system32\mcrh.tmp  
.. OK ... C:\WINDOWS\system32	mp.txt  
 
 
 
************************ Nettoyage du registre 
 
 
 
Les fichiers encore présents seront supprimés au prochain redémarrage 
 
 
Aucun Fichier trouvé 
 
 
 
************************ Fichiers suspects 
 
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention 
 
[C:\SmitfraudFix.exe] D83C3FFD1E0BFDA2BE31BCC62BB13F72 

[color=#FF0000][b]==>/b/color SVP merci d'envoyer le fichier  [b] C:\DOCUME~1\UTILIS~1\Bureau\Upload_Me.zip /b sur http://upload.changelog.fr

 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 21072008_21134787.zip
 
************************ HKLM\...\Winlogon\Userinit 
 
Userinit = C:\WINDOWS\system32\userinit.exe, 

Important : http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte


------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   --------------------------------------------- 
 


Rapport de hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:15:44, on 21/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Marmot Project\TheTurtle v5.0.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - (no file)
O2 - BHO: (no name) - {0A5A3A16-F40A-4816-B30E-5E962E70438E} - C:\WINDOWS\system32\iiffGVmK.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {880B2B8B-2748-44FA-B941-FDDB0E0A180B} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: {9fda9283-c9d3-8178-33b4-5b641eb83d4d} - {d4d38be1-46b5-4b33-8718-3d9c3829adf9} - C:\WINDOWS\system32	aziye.dll
O3 - Toolbar: (no name) - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [24a7ba60] rundll32.exe "C:\WINDOWS\system32\yrqsoypr.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TheTurtle] C:\Program Files\TheTurtle\TheTurtle.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [The Turtle] C:\Program Files\Marmot Project\TheTurtle v5.0.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

sKe69 · Answer

impec ... poursuivons avec ce-ci :

*Télécharges Lopxp (by Moe) : http://sosvirus.changelog.fr/Green_day/Lopxpsetup.exe 
-> Double click sur Lopxpsetup.exe pour lancer l'installation 
-> Choisis l'option 1 
-> Patientes jusqu'à ce qu'on te demande d'appuyer sur une touche. 
-> Un rapport sera alors crée, copie/colle le dans ta prochaine réponse ...

esfloria · Answer

voilou :

# Rapport Lopxp fait le 21/07/2008 à 21:30:04
# Exécuté dans : C:\Program Files\Lopxp
# Version 3.10 - Maj du 11/04/2008


========== Listing des dossiers Application Data

+- C:\Documents and Settings\All Users\Application Data

 2007-02-27 à 07:52:08 - Admin Media Shim Creative
 2008-03-26 à 09:50:49 - Adobe 
 2007-11-11 à 06:06:03 - Apple 
 2006-12-24 à 04:29:27 - Apple Computer
 2008-05-14 à 10:37:00 - avg8 
 2007-02-17 à 09:16:47 - BOONTY 
 2006-01-04 à 10:16:38 - CyberLink 
 2008-04-20 à 16:51:48 - Google 
 2008-07-19 à 15:23:05 - Google Updater
 2008-07-17 à 12:16:25 - Lavasoft 
 2008-07-20 à 17:00:44 - Malwarebytes 
 2007-10-25 à 18:19:42 - Messenger Plus!
 2008-07-17 à 11:46:00 - Microsoft 
 2006-11-17 à 20:55:42 - nView_Profiles 
 2008-04-19 à 06:18:13 - PC Suite
 2007-12-02 à 20:19:08 - Skype 
 2006-11-25 à 10:58:18 - Sony Ericsson
 2008-06-28 à 08:07:08 - Teleca 
 2008-04-21 à 19:01:41 - TEMP 
 2006-11-18 à 12:53:55 - Windows Genuine Advantage

+- C:\Documents and Settings\Utilisateur\Application Data

 2008-06-13 à 17:01:18 - Adobe 
 2008-05-16 à 13:21:31 - AdobeUM 
 2006-12-24 à 04:29:40 - Apple Computer
 2008-05-14 à 18:59:45 - AVGTOOLBAR 
 2007-02-27 à 07:49:26 - BitDownload 
 2006-12-11 à 11:23:23 - CyberLink 
 2006-12-22 à 07:34:28 - DivX 
 2007-10-15 à 11:46:52 - Google 
 2006-11-22 à 13:18:37 - Help 
 2007-08-04 à 13:51:53 - InstallShield 
 2008-07-17 à 11:46:01 - Lavasoft 
 2007-01-16 à 11:25:17 - Leadertech 
 2008-04-08 à 15:17:11 - Logitech 
 2006-11-18 à 18:02:21 - Macromedia 
 2008-07-20 à 17:00:48 - Malwarebytes 
 2007-09-01 à 12:01:24 - Media Player Classic
 2008-04-13 à 19:45:01 - Microsoft 
 2007-01-20 à 18:34:34 - Musicmatch 
 2006-11-18 à 15:07:15 - OfficeUpdate12 
 2008-04-19 à 06:18:29 - PC Suite
 2007-05-07 à 05:47:13 - SecuROM 
 2008-07-19 à 21:25:03 - Skype 
 2008-07-19 à 21:08:47 - skypePM 
 2008-03-22 à 21:15:37 - teamspeak2 
 2008-06-28 à 08:05:45 - Teleca 
 2008-06-24 à 10:05:07 - The Marmot Project
 2008-07-20 à 04:29:24 - TmpRecentIcons 
 2008-03-14 à 19:32:15 - vlc 

+- C:\Documents and Settings\Utilisateur\Local Settings\Application Data

 2008-04-08 à 15:40:43 - Adobe 
 2007-07-11 à 11:22:11 - Ahead 
 2007-11-11 à 06:06:05 - Apple 
 2006-12-24 à 04:29:40 - Apple Computer
 2008-06-20 à 15:39:47 - ApplicationHistory 
 2007-08-04 à 14:13:39 - Gas Powered Games
 2007-10-15 à 11:46:52 - Google 
 2006-11-22 à 13:18:37 - Help 
 2006-11-18 à 13:52:24 - Identities 
 2008-07-14 à 08:39:33 - Microsoft 
 2007-01-20 à 19:08:25 - Musicmatch 
 2007-03-04 à 12:46:38 - Sony Ericsson
 2008-06-24 à 10:05:15 - The_Marmot_Project 

========== Listing du dossier Program Files

+- C:\Program Files

 2008-03-26 à 10:54:53 - Adobe 
 2006-01-04 à 10:18:38 - Ahead 
 2008-05-14 à 19:09:54 - Apple Software Update
 2006-10-19 à 23:18:21 - ASUSTeK 
 2008-05-14 à 10:37:01 - AVG 
 2008-03-14 à 19:56:50 - AviSynth 2.5
 2007-08-21 à 18:01:36 - Bayo 
 2008-07-19 à 21:18:08 - CCleaner 
 2006-01-04 à 10:16:21 - CyberLink 
 2006-12-24 à 03:31:24 - DFX 
 2008-04-19 à 06:17:36 - DIFX 
 2007-11-24 à 09:57:49 - directx 
 2006-11-26 à 02:00:27 - Disc2Phone 
 2006-12-22 à 04:48:37 - DivX 
 2007-03-13 à 18:07:06 - EA Games
 2008-06-29 à 16:04:02 - eMule 
 2008-04-19 à 07:54:14 - Fichiers communs
 2008-06-26 à 08:35:01 - Free Audio Pack
 2008-06-20 à 16:32:12 - Google 
 2008-06-23 à 16:34:52 - Ground Control II
 2008-06-08 à 15:19:52 - GUILD WARS
 2008-06-20 à 15:38:11 - Hotkey 
 2008-06-24 à 20:19:53 - InstallShield Installation Information
 2006-01-04 à 10:05:39 - Intel 
 2008-06-11 à 08:52:38 - Internet Explorer
 2008-05-14 à 19:31:17 - iPod 
 2008-05-14 à 19:31:25 - iTunes 
 2006-11-18 à 14:23:42 - IZArc 
 2008-03-05 à 09:21:46 - Java 
 2008-07-17 à 11:46:03 - Lavasoft 
 2006-12-22 à 03:10:52 - LimeWire 
 2008-04-08 à 15:06:51 - Logitech 
 2008-07-21 à 17:30:11 - Lopxp 
 2008-07-20 à 17:09:03 - Malwarebytes' Anti-Malware
 2008-06-24 à 10:04:52 - Marmot Project
 2008-05-12 à 08:42:51 - Messenger 
 2008-06-13 à 14:15:37 - Messenger Plus! Live
 2006-01-04 à 09:50:13 - microsoft frontpage
 2008-04-08 à 14:56:49 - Microsoft NetShow
 2006-11-18 à 14:12:37 - Microsoft Office
 2006-11-18 à 14:12:30 - Microsoft Visual Studio
 2006-11-18 à 15:00:09 - Microsoft Works
 2006-11-18 à 14:12:59 - Microsoft.NET 
 2008-05-12 à 08:42:31 - Movie Maker
 2007-06-06 à 18:35:53 - MSBuild 
 2007-05-23 à 15:06:26 - MSN 
 2006-01-04 à 09:46:20 - MSN Gaming Zone
 2008-05-21 à 08:28:06 - MSN Messenger
 2006-11-26 à 05:20:09 - MSXML 4.0
 2007-06-06 à 18:37:51 - MSXML 6.0
 2007-08-15 à 08:53:32 - MultiKeyboard Driver
 2007-01-20 à 18:34:34 - MUSICMATCH 
 2008-04-22 à 10:25:56 - MyPhoneExplorer 
 2006-11-17 à 21:06:54 - NETGEAR 
 2008-05-12 à 08:39:36 - NetMeeting 
 2006-01-04 à 09:46:29 - Online Services
 2008-05-12 à 08:39:31 - Outlook Express
 2008-04-19 à 06:16:44 - PC Connectivity Solution
 2008-05-14 à 19:30:22 - QuickTime 
 2008-04-07 à 17:14:49 - Real 
 2006-10-19 à 23:22:23 - Realtek 
 2007-06-06 à 18:32:08 - Reference Assemblies
 2007-09-01 à 12:00:35 - Satsuki Decoder Pack
 2008-05-18 à 06:42:08 - Serious Sam 2
 2006-01-04 à 09:48:27 - Services en ligne
 2007-12-02 à 20:19:08 - Skype 
 2006-11-25 à 10:58:08 - Sony Ericsson
 2007-06-01 à 13:37:37 - Teamspeak2_RC2 
 2008-06-25 à 08:12:07 - TheTurtle 
 2008-06-20 à 16:11:27 - THQ 
 2008-07-01 à 15:28:21 - TrackMania Nations ESWC
 2008-07-20 à 15:34:13 - Trend Micro
 2006-01-04 à 09:55:46 - Uninstall Information
 2008-05-12 à 13:01:48 - Vampire La Mascarade
 2008-03-14 à 19:20:37 - VideoLAN 
 2008-03-14 à 06:36:50 - Wesnoth 
 2008-03-14 à 19:57:05 - WinASPI 
 2007-10-25 à 18:16:48 - Windows Live
 2006-12-11 à 11:29:42 - Windows Media Connect 2
 2008-06-10 à 09:21:42 - Windows Media Player
 2008-05-12 à 08:39:31 - Windows NT
 2006-01-04 à 09:48:30 - WindowsUpdate 
 2006-01-04 à 09:50:14 - xerox 
 2006-12-22 à 04:47:17 - Xvid 

========== Tâches planifiées

AEE574FA9122EEC6.job: c:\docume~1\utilis~1\applic~1\stupid~1\find thunk peak.exe 
AppleSoftwareUpdate.job: C:\Program Files\Apple Software Update\SoftwareUpdate.exe -task

========== Clés registre


========== Bloqueur popups Internet Explorer

Blocage des popups non géré par cette version du navigateur.

==========    Suggestion ( /!\ Nécessite une interprétation.)    ==========

C:\Documents and Settings\All Users\Application Data\Admin Media Shim Creative
C:\WINDOWS	asks\AEE574FA9122EEC6.job
C:\Documents and Settings\Utilisateur\Application Data\BitDownload

+- Registre : Aucune suggestion.


- Fin du rapport -

sKe69 · Answer

Bien ,

la suite :

Aller dans : Démarrer -->commande "Exécuter" puis copie/colle la ligne suivante :
 
"%programfiles%\Lopxp\Lopxp.bat" /Fixme

 ---> puis valide, et laisses toi guider 

il te seras demandé de valider ou de refuser la suppression de certains fichiers : 
(Pour chaque fichier, il faudra accepter ( appuyer sur la touche y ) ou refuser ( appuyer sur la touche n ) la suppression ) : appuies sur Y à chaque fois ( suprimes tout ) 

pour info : Les sauvegardes de chaque suppression seront stockées dans le dossier C:\Programfiles\Lopxp\Sauvegardes ---> postes ce rapport .

esfloria · Answer

Log de Lopxp :

# Rapport Lopxp fait le 21/07/2008 à 21:59:28
# Exécuté dans : C:\Program Files\Lopxp
# Version 3.10 - Maj du 11/04/2008


========== FixLog ==========


+- C:\Documents and Settings\All Users\Application Data\Admin Media Shim Creative
Choix utilisateur : Suppression acceptée.
Déplacé avec succès.

+- C:\WINDOWS	asks\AEE574FA9122EEC6.job
Choix utilisateur : Suppression acceptée.
Déplacé avec succès.

Supprimé: C:\Documents and Settings\Utilisateur\Application Data\BitDownload

+- Fichiers temporaires :
Nettoyage effectué.


========== Listing des dossiers Application Data

+- C:\Documents and Settings\All Users\Application Data

 2008-03-26 à 09:50:49 - Adobe 
 2007-11-11 à 06:06:03 - Apple 
 2006-12-24 à 04:29:27 - Apple Computer
 2008-05-14 à 10:37:00 - avg8 
 2007-02-17 à 09:16:47 - BOONTY 
 2006-01-04 à 10:16:38 - CyberLink 
 2008-04-20 à 16:51:48 - Google 
 2008-07-19 à 15:23:05 - Google Updater
 2008-07-17 à 12:16:25 - Lavasoft 
 2008-07-20 à 17:00:44 - Malwarebytes 
 2007-10-25 à 18:19:42 - Messenger Plus!
 2008-07-17 à 11:46:00 - Microsoft 
 2006-11-17 à 20:55:42 - nView_Profiles 
 2008-04-19 à 06:18:13 - PC Suite
 2007-12-02 à 20:19:08 - Skype 
 2006-11-25 à 10:58:18 - Sony Ericsson
 2008-06-28 à 08:07:08 - Teleca 
 2008-04-21 à 19:01:41 - TEMP 
 2006-11-18 à 12:53:55 - Windows Genuine Advantage

+- C:\Documents and Settings\Utilisateur\Application Data

 2008-06-13 à 17:01:18 - Adobe 
 2008-05-16 à 13:21:31 - AdobeUM 
 2006-12-24 à 04:29:40 - Apple Computer
 2008-05-14 à 18:59:45 - AVGTOOLBAR 
 2006-12-11 à 11:23:23 - CyberLink 
 2006-12-22 à 07:34:28 - DivX 
 2007-10-15 à 11:46:52 - Google 
 2006-11-22 à 13:18:37 - Help 
 2007-08-04 à 13:51:53 - InstallShield 
 2008-07-17 à 11:46:01 - Lavasoft 
 2007-01-16 à 11:25:17 - Leadertech 
 2008-04-08 à 15:17:11 - Logitech 
 2006-11-18 à 18:02:21 - Macromedia 
 2008-07-20 à 17:00:48 - Malwarebytes 
 2007-09-01 à 12:01:24 - Media Player Classic
 2008-04-13 à 19:45:01 - Microsoft 
 2007-01-20 à 18:34:34 - Musicmatch 
 2006-11-18 à 15:07:15 - OfficeUpdate12 
 2008-04-19 à 06:18:29 - PC Suite
 2007-05-07 à 05:47:13 - SecuROM 
 2008-07-19 à 21:25:03 - Skype 
 2008-07-19 à 21:08:47 - skypePM 
 2008-03-22 à 21:15:37 - teamspeak2 
 2008-06-28 à 08:05:45 - Teleca 
 2008-06-24 à 10:05:07 - The Marmot Project
 2008-07-20 à 04:29:24 - TmpRecentIcons 
 2008-03-14 à 19:32:15 - vlc 

+- C:\Documents and Settings\Utilisateur\Local Settings\Application Data

 2008-04-08 à 15:40:43 - Adobe 
 2007-07-11 à 11:22:11 - Ahead 
 2007-11-11 à 06:06:05 - Apple 
 2006-12-24 à 04:29:40 - Apple Computer
 2008-06-20 à 15:39:47 - ApplicationHistory 
 2007-08-04 à 14:13:39 - Gas Powered Games
 2007-10-15 à 11:46:52 - Google 
 2006-11-22 à 13:18:37 - Help 
 2006-11-18 à 13:52:24 - Identities 
 2008-07-14 à 08:39:33 - Microsoft 
 2007-01-20 à 19:08:25 - Musicmatch 
 2007-03-04 à 12:46:38 - Sony Ericsson
 2008-06-24 à 10:05:15 - The_Marmot_Project 

========== Listing du dossier Program Files

+- C:\Program Files

 2008-03-26 à 10:54:53 - Adobe 
 2006-01-04 à 10:18:38 - Ahead 
 2008-05-14 à 19:09:54 - Apple Software Update
 2006-10-19 à 23:18:21 - ASUSTeK 
 2008-05-14 à 10:37:01 - AVG 
 2008-03-14 à 19:56:50 - AviSynth 2.5
 2007-08-21 à 18:01:36 - Bayo 
 2008-07-19 à 21:18:08 - CCleaner 
 2006-01-04 à 10:16:21 - CyberLink 
 2006-12-24 à 03:31:24 - DFX 
 2008-04-19 à 06:17:36 - DIFX 
 2007-11-24 à 09:57:49 - directx 
 2006-11-26 à 02:00:27 - Disc2Phone 
 2006-12-22 à 04:48:37 - DivX 
 2007-03-13 à 18:07:06 - EA Games
 2008-06-29 à 16:04:02 - eMule 
 2008-04-19 à 07:54:14 - Fichiers communs
 2008-06-26 à 08:35:01 - Free Audio Pack
 2008-06-20 à 16:32:12 - Google 
 2008-06-23 à 16:34:52 - Ground Control II
 2008-06-08 à 15:19:52 - GUILD WARS
 2008-06-20 à 15:38:11 - Hotkey 
 2008-06-24 à 20:19:53 - InstallShield Installation Information
 2006-01-04 à 10:05:39 - Intel 
 2008-06-11 à 08:52:38 - Internet Explorer
 2008-05-14 à 19:31:17 - iPod 
 2008-05-14 à 19:31:25 - iTunes 
 2006-11-18 à 14:23:42 - IZArc 
 2008-03-05 à 09:21:46 - Java 
 2008-07-17 à 11:46:03 - Lavasoft 
 2006-12-22 à 03:10:52 - LimeWire 
 2008-04-08 à 15:06:51 - Logitech 
 2008-07-21 à 18:00:27 - Lopxp 
 2008-07-20 à 17:09:03 - Malwarebytes' Anti-Malware
 2008-06-24 à 10:04:52 - Marmot Project
 2008-05-12 à 08:42:51 - Messenger 
 2008-06-13 à 14:15:37 - Messenger Plus! Live
 2006-01-04 à 09:50:13 - microsoft frontpage
 2008-04-08 à 14:56:49 - Microsoft NetShow
 2006-11-18 à 14:12:37 - Microsoft Office
 2006-11-18 à 14:12:30 - Microsoft Visual Studio
 2006-11-18 à 15:00:09 - Microsoft Works
 2006-11-18 à 14:12:59 - Microsoft.NET 
 2008-05-12 à 08:42:31 - Movie Maker
 2007-06-06 à 18:35:53 - MSBuild 
 2007-05-23 à 15:06:26 - MSN 
 2006-01-04 à 09:46:20 - MSN Gaming Zone
 2008-05-21 à 08:28:06 - MSN Messenger
 2006-11-26 à 05:20:09 - MSXML 4.0
 2007-06-06 à 18:37:51 - MSXML 6.0
 2007-08-15 à 08:53:32 - MultiKeyboard Driver
 2007-01-20 à 18:34:34 - MUSICMATCH 
 2008-04-22 à 10:25:56 - MyPhoneExplorer 
 2006-11-17 à 21:06:54 - NETGEAR 
 2008-05-12 à 08:39:36 - NetMeeting 
 2006-01-04 à 09:46:29 - Online Services
 2008-05-12 à 08:39:31 - Outlook Express
 2008-04-19 à 06:16:44 - PC Connectivity Solution
 2008-05-14 à 19:30:22 - QuickTime 
 2008-04-07 à 17:14:49 - Real 
 2006-10-19 à 23:22:23 - Realtek 
 2007-06-06 à 18:32:08 - Reference Assemblies
 2007-09-01 à 12:00:35 - Satsuki Decoder Pack
 2008-05-18 à 06:42:08 - Serious Sam 2
 2006-01-04 à 09:48:27 - Services en ligne
 2007-12-02 à 20:19:08 - Skype 
 2006-11-25 à 10:58:08 - Sony Ericsson
 2007-06-01 à 13:37:37 - Teamspeak2_RC2 
 2008-06-25 à 08:12:07 - TheTurtle 
 2008-06-20 à 16:11:27 - THQ 
 2008-07-01 à 15:28:21 - TrackMania Nations ESWC
 2008-07-20 à 15:34:13 - Trend Micro
 2006-01-04 à 09:55:46 - Uninstall Information
 2008-05-12 à 13:01:48 - Vampire La Mascarade
 2008-03-14 à 19:20:37 - VideoLAN 
 2008-03-14 à 06:36:50 - Wesnoth 
 2008-03-14 à 19:57:05 - WinASPI 
 2007-10-25 à 18:16:48 - Windows Live
 2006-12-11 à 11:29:42 - Windows Media Connect 2
 2008-06-10 à 09:21:42 - Windows Media Player
 2008-05-12 à 08:39:31 - Windows NT
 2006-01-04 à 09:48:30 - WindowsUpdate 
 2006-01-04 à 09:50:14 - xerox 
 2006-12-22 à 04:47:17 - Xvid 

========== Tâches planifiées

AppleSoftwareUpdate.job: C:\Program Files\Apple Software Update\SoftwareUpdate.exe -task

========== Clés registre


========== Bloqueur popups Internet Explorer

Blocage des popups non géré par cette version du navigateur.

==========    Suggestion ( /!\ Nécessite une interprétation.)    ==========

+- Dossiers\Fichiers : Aucune suggestion.

+- Registre : Aucune suggestion.


- Fin du rapport -

sKe69 · Answer

très bien ...

maintenant il va falloire refaire ce-ci :

Mets Malwarebytes à jour . 

IMPERATIF: redémarres en mode sans échec : 
Comment aller en Mode sans échec 
1) Redémarres ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)
 
Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tout tes disks avant le scan )  et supprimes tout ce qu'il peut trouver :
--->une fois le scan terminé , click sur "résultat" : puis vérifies que tous les objets infectés soient validés, puis click sur " suppression " .

Redémarres ton PC ( mode normal ). 

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...

esfloria · Answer

Bon on a lancé le scan mode complet, on revient dans un petit peu plus d'1 heure.
Mon pote demande si ce ne serait pas a cause de Malware que son pc ne voulait plus acceder à Windows ?

sKe69 · Answer

Mon pote demande si ce ne serait pas a cause de Malware que son pc ne voulait plus acceder à Windows ?
--> possible car il a proccéder à des supressions au moment du redémarrage qui on du faire grincer le système ...

Mais sur le coup on a approfondis le nettoyage avant son passage , normalement cela devrai mieux ce passer  ^^

PS : le scan ce fait bien en mode sans échec ?

esfloria · Answer

Le scan est fait en mode sans echec, par contre on n'a pas trouvé le log de malware :s ... on a celui de la derniere fois mais pas celui d'aujourd'hui.. je te met quand meme le log de malware (ou c'est celui de la derniere fois ou c'est celui d'aujourdui qui est pareil)

malware :

Malwarebytes' Anti-Malware 1.21
Version de la base de données: 966
Windows 5.1.2600 Service Pack 3

23:00:19 20/07/2008
mbam-log-7-20-2008 (23-00-19).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|)
Eléments examinés: 130152
Temps écoulé: 1 hour(s), 43 minute(s), 28 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 21
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 20

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\iiffGVmK.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8cb6baae-70a4-49ec-b3a7-8319779307b0} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{8cb6baae-70a4-49ec-b3a7-8319779307b0} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a5a205f1-5bef-45d2-ab87-16bea1f10e6b} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a5a205f1-5bef-45d2-ab87-16bea1f10e6b} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\hbcoresrv.dynamicprop (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\hbcoresrv.dynamicprop.1 (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{90b5a95a-afd5-4d11-b9bd-a69d53d22226} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wallpaper.wallpapermanager (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wallpaper.wallpapermanager.1 (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8109fd3d-d891-4f80-8339-50a4913ace6f} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{0ac49246-419b-4ee0-8917-8818daad6a4e} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{99410cde-6f16-42ce-9d49-3807f78f0287} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{f31a5d11-bf0b-4a4e-90af-274f2090aaa6} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoftdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\WakeNet (Trojan.Adware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\24a7ba60 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow
etsearchsoft.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.netsearchsoft.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\zangotoolbar 4.8.3 (Adware.Zango) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Security Packages (Trojan.Vundo) -> Data: c:\windows\system32\iiffgvmk -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\iiffgvmk  -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\iiffGVmK.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\KmVGffii.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\KmVGffii.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bmuvjk.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	eubjkpi.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ipkjbuet.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D2B78981-0133-4A5C-9134-1B9F0ECA5E39}\RP498\A0137891.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D2B78981-0133-4A5C-9134-1B9F0ECA5E39}\RP498\A0137919.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D2B78981-0133-4A5C-9134-1B9F0ECA5E39}\RP498\A0137931.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D2B78981-0133-4A5C-9134-1B9F0ECA5E39}\RP498\A0137939.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\erms.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Sys2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\muaccvhe.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\dialerexe.ini (Adware.NaviPromo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32
nnlkhFx.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32
nnoPHXo.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hgGWqOFV.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\Sys4C.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\agpqlrfm.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur\Application Data\TmpRecentIcons\Vista Antivirus 2008.lnk (Rogue.Link) -> Quarantined and deleted successfully.


log de hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:15:49, on 22/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Marmot Project\TheTurtle v5.0.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {6D936058-AE67-42D5-8BEF-6996A6C61F72} - C:\WINDOWS\system32\iiffGVmK.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {880B2B8B-2748-44FA-B941-FDDB0E0A180B} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: {9fda9283-c9d3-8178-33b4-5b641eb83d4d} - {d4d38be1-46b5-4b33-8718-3d9c3829adf9} - C:\WINDOWS\system32	aziye.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [24a7ba60] rundll32.exe "C:\WINDOWS\system32\yrqsoypr.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TheTurtle] C:\Program Files\TheTurtle\TheTurtle.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [The Turtle] C:\Program Files\Marmot Project\TheTurtle v5.0.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

esfloria · Answer

euh moi je vais te laisser je vais aller dormir ^^, presque 1h du mat :(
je me reconnecte demain ^^ et merci pour tout ce que tu fais ^^
ciaaaooooo

esfloria · Answer

tien bizarre mon message c'est envoier et il ces supprmier tout seul Oo ! désolé si tu revois 2 fois le meme message je le fais pas expres :s

donc oui l'analyse c'est bien faite en mode sans echec : mais j'ai l'impression que le log c'est celui de la derniere fois :s ... Il m'a pas donné de noouveau log j'ai l'impression 

malware :

Malwarebytes' Anti-Malware 1.21
Version de la base de données: 966
Windows 5.1.2600 Service Pack 3

23:00:19 20/07/2008
mbam-log-7-20-2008 (23-00-19).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|)
Eléments examinés: 130152
Temps écoulé: 1 hour(s), 43 minute(s), 28 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 21
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 20

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\iiffGVmK.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8cb6baae-70a4-49ec-b3a7-8319779307b0} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{8cb6baae-70a4-49ec-b3a7-8319779307b0} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a5a205f1-5bef-45d2-ab87-16bea1f10e6b} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a5a205f1-5bef-45d2-ab87-16bea1f10e6b} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\hbcoresrv.dynamicprop (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\hbcoresrv.dynamicprop.1 (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{90b5a95a-afd5-4d11-b9bd-a69d53d22226} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wallpaper.wallpapermanager (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wallpaper.wallpapermanager.1 (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8109fd3d-d891-4f80-8339-50a4913ace6f} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{0ac49246-419b-4ee0-8917-8818daad6a4e} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{99410cde-6f16-42ce-9d49-3807f78f0287} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{f31a5d11-bf0b-4a4e-90af-274f2090aaa6} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoftdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\WakeNet (Trojan.Adware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\24a7ba60 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow
etsearchsoft.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.netsearchsoft.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\zangotoolbar 4.8.3 (Adware.Zango) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Security Packages (Trojan.Vundo) -> Data: c:\windows\system32\iiffgvmk -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\iiffgvmk  -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\iiffGVmK.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\KmVGffii.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\KmVGffii.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bmuvjk.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	eubjkpi.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ipkjbuet.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D2B78981-0133-4A5C-9134-1B9F0ECA5E39}\RP498\A0137891.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D2B78981-0133-4A5C-9134-1B9F0ECA5E39}\RP498\A0137919.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D2B78981-0133-4A5C-9134-1B9F0ECA5E39}\RP498\A0137931.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D2B78981-0133-4A5C-9134-1B9F0ECA5E39}\RP498\A0137939.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\erms.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Sys2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\muaccvhe.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\dialerexe.ini (Adware.NaviPromo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32
nnlkhFx.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32
nnoPHXo.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hgGWqOFV.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\Sys4C.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\agpqlrfm.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur\Application Data\TmpRecentIcons\Vista Antivirus 2008.lnk (Rogue.Link) -> Quarantined and deleted successfully.



hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:15:49, on 22/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Marmot Project\TheTurtle v5.0.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {6D936058-AE67-42D5-8BEF-6996A6C61F72} - C:\WINDOWS\system32\iiffGVmK.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {880B2B8B-2748-44FA-B941-FDDB0E0A180B} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: {9fda9283-c9d3-8178-33b4-5b641eb83d4d} - {d4d38be1-46b5-4b33-8718-3d9c3829adf9} - C:\WINDOWS\system32	aziye.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [24a7ba60] rundll32.exe "C:\WINDOWS\system32\yrqsoypr.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TheTurtle] C:\Program Files\TheTurtle\TheTurtle.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [The Turtle] C:\Program Files\Marmot Project\TheTurtle v5.0.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

esfloria · Answer

j'ai des pb de message !

sKe69 · Answer

Bon ... fait exactement ce qui suit maintenant : 

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleur !): 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix et valide . 

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENCES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après  !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques C-Fix.exe ( = combofix.exe ) . 

Appuyes sur la touche Y (Yes) pour démarrer le scan . 

Attention : n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 
---> si un message d'erreur windows apparait à un momment  : clik sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée dans: C:\Combofix.txt 
 
Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...

sKe69 · Answer

up !

esfloria · Answer

yosh ! désolée on n'était pas la de la journée. 
En fait on a un souci avec ComboFix, dans le tuto ils parlent du fichier winnt32.exe tout ca mais on ne trouve rien ...
Et on n'a pas le cd d'installation d'XP sous la main dans l'immédiat, et on a le SP3 est ce que ca peut poser probleme ?

sKe69 · Answer

Si tu suis les consignes à la lettre que je t'ai donné , tout devrai bien ce passé  ;)

esfloria · Answer

Oui mais ... j'essaye de trouver le fichier en faisant Rechercher et executer... mais il ne trouve pas de fichier que sa soit  cmdcons ou winnt32.exe >_>
Et en tapant I386 sa me trouvent plusieurs fichier mais pas le bon ... Donc la j'ai un probleme ^^,

c:\i386\winnt32.exe /cmdcons

esfloria · Answer

dit moi alors j'ia trouver un CD de XP SP1 et quand je rentre d:\I386\winnt32.exe /cmdcons
il me dit qu'il y a des risque car la versions que j'ai est plus recente que la version sur le CD dc il dit : 
AVERTISSEMENT : Si vous decidez de supprimer la version la plus recente de windows qui est actuellement installée sur votre ordi, les fichiers et les paramétres ne pourront pas etre récuperés.

Donc je voullais savoir qu'est ce que je risque ? et que dois-je faire ? stppppp

sKe69 · Answer

dit moi alors j'ia trouver un CD de XP SP1 et quand je rentre d:\I386\winnt32.exe /cmdcons
il me dit qu'il y a des risque car la versions que j'ai est plus recente que la version sur le CD dc il dit :
AVERTISSEMENT : Si vous decidez de supprimer la version la plus recente de windows qui est actuellement installée sur votre ordi, les fichiers et les paramétres ne pourront pas etre récuperés.

--> dans ce cas la tu risques de perdres des données et fichiers utilisé après l'instatalation du SP2 ( donc un max je pense ).... Laisses tomber la console de récupération et fais la manipes en respectant bien les consigne que je t'ai donné ...

Avant , tu n'as cas faire ce-ci au cas où :

Crées un point de restauration de ton PC :

Aller dans le Menu Démarrer puis dans Programmes, 
- Ensuite dans Accessoires et enfin dans Outils système, 
- Choisir "Restauration du système", 
- Sélectionner "Créer un point de restauration", 
- Cliquer sur "Suivant", 
- Entrer un nom pour le point de restauration : ce nom doit être assez évocateur, 
- Cliquer sur "Créer" et le point de restauration se créé automatiquement.


J'attends donc le rapport de Combofix ....

esfloria · Answer

pardon j'vais avoir l'air idiote mais ... je dois récupérer le fichier de restauration quelque part et le mettre a la place du fichier qu'on n'a pas trouvé dans ComboFix c'est ca ou alors démarrer ComboFix cash ?
Et si faut mettre le fichier de restauration qu'on a créé, je peux le trouver où ??
Merci

sKe69 · Answer

Maintenant tu fais directement et tout simplement cette manipe :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleur !): 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix et valide . 

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENCES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après  !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques C-Fix.exe ( = combofix.exe ) . 

Appuyes sur la touche Y (Yes) pour démarrer le scan . 

Attention : n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 
---> si un message d'erreur windows apparait à un momment  : clik sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée dans: C:\Combofix.txt 
 
Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...

esfloria · Answer

Voila les logs et mon pote a récupéré toutes les icones de bureau qui avaient disparues. Log ComboFix : ComboFix 08-07-20.A0 - Utilisateur 2008-07-22 22:59:04.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.546 [GMT 4:00] Endroit: C:\Documents and Settings\Utilisateur\Bureau\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system\oeminfo.ini C:\WINDOWS\system32\bbkgobjk.dll C:\WINDOWS\system32\iiffGVmK.dll C:\WINDOWS\system32\inetda.dll C:\WINDOWS\system32\KmVGffii.ini C:\WINDOWS\system32\KmVGffii.ini2 C:\WINDOWS\system32\msttxl16.dll C:\WINDOWS\system32\qxnlmlcr.ini C:\WINDOWS\system32 kkljg.dll C:\WINDOWS\system32 pyosqry.ini C:\WINDOWS\system32\srjwjxhl.dll C:\WINDOWS\system32 aziye.dll C:\WINDOWS\system32\yrqsoypr.dll . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-22 to 2008-07-22 )))))))))))))))))))))))))))))))))))) . 2008-07-21 21:29 . 2008-07-21 22:00 d-------- C:\Program Files\Lopxp 2008-07-20 21:09 . 2008-07-18 19:15 36,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-07-20 21:00 . 2008-07-20 21:09 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-07-20 21:00 . 2008-07-20 21:00 d-------- C:\Documents and Settings\Utilisateur\Application Data\Malwarebytes 2008-07-20 21:00 . 2008-07-20 21:00 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-07-20 21:00 . 2008-07-18 19:15 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-20 19:34 . 2008-07-20 19:34 d-------- C:\Program Files\Trend Micro 2008-07-20 18:52 . 2008-07-20 19:23 2,754 --a------ C:\WINDOWS\system32 mp.reg 2008-07-20 18:52 . 2008-07-20 19:23 0 --a------ C:\WINDOWS\system32 mp.MSNFix 2008-07-20 18:50 . 2008-07-20 19:26 d-------- C:\SmitfraudFix 2008-07-20 18:50 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-07-20 18:50 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-07-20 18:50 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-07-20 18:50 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-07-20 18:50 . 2008-07-02 13:33 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe 2008-07-20 18:50 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe 2008-07-20 18:50 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-07-20 18:50 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-07-20 18:49 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-07-20 16:45 . 2008-07-20 16:43 1,478,538 --a------ C:\SmitfraudFix.exe 2008-07-20 01:36 . 2008-07-20 21:11 0 --a------ C:\WINDOWS\system32\mcrh.MSNFix 2008-07-20 01:18 . 2008-07-20 01:18 d-------- C:\Program Files\CCleaner 2008-07-19 22:36 . 2008-07-19 22:36 32,640 --a------ C:\WINDOWS\system32 uvTnKdD.dll.vir 2008-07-17 15:45 . 2008-07-17 16:16 d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft 2008-07-14 21:53 . 2008-07-14 22:19 17,134 --a------ C:\WINDOWS\system32\PCANDIS5.sys 2008-07-05 19:42 . 2008-07-05 19:42 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll 2008-07-02 11:30 . 2008-07-02 11:30 0 --a------ C:\WINDOWS\DXT7.tmp 2008-07-02 11:30 . 2008-07-02 11:30 0 --a------ C:\WINDOWS\DXT6.tmp 2008-07-02 11:30 . 2008-07-02 11:30 0 --a------ C:\WINDOWS\DXT5.tmp 2008-07-02 11:30 . 2008-07-02 11:30 0 --a------ C:\WINDOWS\DXT4.tmp 2008-07-02 11:30 . 2008-07-02 11:30 0 --a------ C:\WINDOWS\DXT3.tmp 2008-07-02 11:30 . 2008-07-02 11:30 0 --a------ C:\WINDOWS\DXT2.tmp 2008-07-02 11:30 . 2008-07-02 11:30 0 --a------ C:\WINDOWS\DXT1.tmp 2008-07-02 11:28 . 2008-07-02 11:35 d-------- C:\UnrealTournament 2008-06-29 19:59 . 2008-07-19 22:43 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-06-29 19:59 . 2008-06-29 19:59 1,409 --a------ C:\WINDOWS\QTFont.for 2008-06-28 12:06 . 2008-06-28 12:07 d-------- C:\Documents and Settings\All Users\Application Data\Teleca 2008-06-28 12:05 . 2008-06-28 12:05 d-------- C:\Documents and Settings\Utilisateur\Application Data\Teleca 2008-06-26 12:34 . 2008-06-26 12:35 d-------- C:\Program Files\Free Audio Pack 2008-06-26 12:34 . 2003-08-07 17:01 237,568 --a------ C:\WINDOWS\system32\lame_enc.dll 2008-06-26 12:34 . 2004-03-08 23:00 224,016 --a------ C:\WINDOWS\system32\TABCTL32.OCX 2008-06-26 12:34 . 1998-07-12 23:00 141,312 --a------ C:\WINDOWS\system32\MSCMCFR.DLL 2008-06-26 12:34 . 1998-07-12 23:00 59,904 --a------ C:\WINDOWS\system32\Mscc2fr.dll 2008-06-26 12:34 . 1998-07-12 19:00 32,768 --a------ C:\WINDOWS\system32\CMDLGFR.DLL 2008-06-26 12:34 . 1998-07-12 23:00 21,504 --a------ C:\WINDOWS\system32\TABCTFR.DLL 2008-06-24 14:05 . 2008-06-24 14:05 d-------- C:\Documents and Settings\Utilisateur\Application Data\The Marmot Project 2008-06-24 14:04 . 2008-06-24 14:04 d-------- C:\Program Files\Marmot Project 2008-06-23 20:31 . 2008-06-27 17:21 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2008-06-23 16:10 . 2008-06-23 20:34 d-------- C:\Program Files\Ground Control II . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-22 18:38 --------- d-----w C:\Documents and Settings\Utilisateur\Application Data\Skype 2008-07-22 18:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater 2008-07-22 17:36 --------- d-----w C:\Documents and Settings\Utilisateur\Application Data\skypePM 2008-07-17 11:46 --------- d-----w C:\Program Files\Lavasoft 2008-07-17 11:46 --------- d-----w C:\Documents and Settings\Utilisateur\Application Data\Lavasoft 2008-07-17 11:44 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-07-05 15:43 76,040 ----a-w C:\WINDOWS\system32\drivers\avgtdix.sys 2008-07-05 15:42 96,520 ----a-w C:\WINDOWS\system32\drivers\avgldx86.sys 2008-07-01 15:28 --------- d-----w C:\Program Files\TrackMania Nations ESWC 2008-06-29 16:04 --------- d-----w C:\Program Files\eMule 2008-06-25 08:12 --------- d-----w C:\Program Files\TheTurtle 2008-06-24 20:19 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-06-20 16:32 --------- d-----w C:\Program Files\Google 2008-06-20 16:11 --------- d-----w C:\Program Files\THQ 2008-06-20 15:38 --------- d-----w C:\Program Files\Hotkey 2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers cpip.sys 2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers cpip6.sys 2008-06-14 17:33 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-13 14:15 --------- d-----w C:\Program Files\Messenger Plus! Live 2008-06-08 15:19 --------- d-----w C:\Program Files\GUILD WARS 2008-05-12 08:57 2,560 ----a-w C:\WINDOWS\_MSRSTRT.EXE 2007-12-02 20:19 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 06:33 15360] "TheTurtle"="C:\Program Files\TheTurtle\TheTurtle.exe" [2005-09-15 21:44 815104] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-16 21:01 68856] "The Turtle"="C:\Program Files\Marmot Project\TheTurtle v5.0.exe" [2008-06-16 12:22 724992] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-04-05 18:22 94208] "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-04-05 18:19 77824] "Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2005-04-05 18:23 114688] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-09 23:06 7311360] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-09 23:06 86016] "DXM6Patch_981116"="C:\WINDOWS\p_981116.exe" [1998-11-30 18:04 497376] "AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-07-05 19:43 1232152] "Adobe Version Cue CS2"="C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" [2005-04-06 16:53 856064] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 23:37 413696] "nwiz"="nwiz.exe" [2005-12-09 23:06 1519616 C:\WINDOWS\system32 wiz.exe] "RTHDCPL"="RTHDCPL.EXE" [2005-05-25 19:37 14477312 C:\WINDOWS\RTHDCPL.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 06:33 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=avgrsstx.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.yv12"= yv12vfw.dll "VIDC.VDOM"= vdowave.drv "VIDC.MPG4"= msscmc32.dll "VIDC.TR20"= tr2032.dll "msacm.voxacm119"= vdk32119.acm "vidc.vivo"= ivvideo.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 nwprovau Security Packages REG_SZ kerberos [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Acrobat.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Acrobat.lnk backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Acrobat.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^Utilisateur^Menu Démarrer^Programmes^Démarrage^MutiKeyboard Driver.lnk] path=C:\Documents and Settings\Utilisateur\Menu Démarrer\Programmes\Démarrage\MutiKeyboard Driver.lnk backup=C:\WINDOWS\pss\MutiKeyboard Driver.lnkStartup [HKLM\~\startupfolder\C:^Documents and Settings^Utilisateur^Menu Démarrer^Programmes^Démarrage^TheTurtle.lnk] path=C:\Documents and Settings\Utilisateur\Menu Démarrer\Programmes\Démarrage\TheTurtle.lnk backup=C:\WINDOWS\pss\TheTurtle.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0] --a------ 2008-04-23 02:08 483328 C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\acrotray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2007-10-10 19:51 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_SL.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Version Cue CS2] --a------ 2005-04-06 16:53 856064 C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2008-03-30 10:36 267048 C:\Program Files\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask] --a------ 2005-05-03 09:22 53248 C:\Program Files\MUSICMATCH\Musicmatch Jukebox\mmtask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 14:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-03-28 23:37 413696 C:\Program Files\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2004-11-02 23:24 32768 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite] -ra------ 2005-10-26 16:17 159744 C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2008-02-22 04:25 144784 C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\eMule\emule.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\StubInstaller.exe"= "C:\Program Files\LimeWire\LimeWire.exe"= "C:\Program Files\TrackMania Nations ESWC\TmNationsESWC.exe"= "C:\WINDOWS\system32\rtcshare.exe"= "C:\Program Files\NetMeeting\conf.exe"= "C:\WINDOWS\system32\dpvsetup.exe"= "C:\Program Files\THQ\Dawn of War\W40k.exe"= "C:\Program Files\THQ\Dawn of War\W40kWA.exe"= "C:\UT2003\System\UT2003.exe"= "C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= "C:\Program Files\AVG\AVG8\avgupd.exe"= "C:\Program Files\AVG\AVG8\avgemc.exe"= "C:\Program Files\iTunes\iTunes.exe"= "C:\Program Files\Ground Control II\gcii.exe"= "C:\UnrealTournament\System\UnrealTournament.icd"= "C:\Program Files\Skype\Phone\Skype.exe"= R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-07-05 19:42] R2 avg8emc;AVG8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-07-05 19:42] R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-07-05 19:42] R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-07-05 19:43] S3 Boonty Games;Boonty Games;C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe [2007-02-17 13:16] S3 nmwcdnsu;Nokia USB Flashing Phone Parent;C:\WINDOWS\system32\drivers mwcdnsu.sys [2008-02-01 15:17] S3 nmwcdnsuc;Nokia USB Flashing Generic;C:\WINDOWS\system32\drivers mwcdnsuc.sys [2008-02-01 15:17] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a95a0c7e-52c2-11dc-b53b-00146c2cba8f}] \Shell\AutoRun\command - G:\setupSNK.exe . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-06-16 05:06:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . - - - - ORPHANS REMOVED - - - - HKLM-Run-Logitech Hardware Abstraction Layer - KHALMNPR.EXE ShellExecuteHooks-{2A65BE74-EC8D-401E-93DF-5BDA3DC05505} - (no file) MSConfigStartUp-Adobe Photo Downloader - C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe MSConfigStartUp-BowsShim - C:\DOCUME~1\UTILIS~1\APPLIC~1\STUPID~1 itle each boob.exe MSConfigStartUp-Hotkey - C:\Program Files\Hotkey\Hotkey.exe . ------- Supplementary Scan ------- . R0 -: HKCU-Main,Start Page = hxxp://www.orange.fr/ R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore O8 -: Convertir en Adobe PDF - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 -: Convertir en un fichier PDF existant - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 -: Convertir la cible du lien en Adobe PDF - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 -: Convertir la cible du lien en un fichier PDF existant - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 -: Convertir la sélection en Adobe PDF - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 -: Convertir la sélection en un fichier PDF existant - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 -: Convertir les liens sélectionnés en fichier Adobe PDF - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 -: Convertir les liens sélectionnés en un fichier PDF existant - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 -: {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com O16 -: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} - hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab C:\WINDOWS\Downloaded Program Files\GoPetsWeb.inf C:\WINDOWS\Downloaded Program Files\GoPetsWeb.ocx ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-22 23:05:22 Windows 5.1.2600 Service Pack 3 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\acs.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\ATKKBService.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32 vsvc32.exe C:\Program Files\AVG\AVG8\avgrsx.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\Program Files\Google\Google Updater\GoogleUpdater.exe C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE C:\WINDOWS\system32\verclsid.exe . ************************************************************************** . Temps d'accomplissement: 2008-07-22 23:10:48 - machine was rebooted ComboFix-quarantined-files.txt 2008-07-22 19:10:43 Pre-Run: 55,168,458,752 octets libres Post-Run: 55,117,209,600 octets libres 261 --- E O F --- 2008-07-14 08:10:19 Log HiJack : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:12:16, on 22/07/2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\ATKKBService.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32 vsvc32.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\AVG\AVG8\avgemc.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\RTHDCPL.EXE C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Marmot Project\TheTurtle v5.0.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\Program Files\Google\Google Updater\GoogleUpdater.exe C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\Program Files\Trend Micro\HijackThis\monjack.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TheTurtle] C:\Program Files\TheTurtle\TheTurtle.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [The Turtle] C:\Program Files\Marmot Project\TheTurtle v5.0.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing) O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing) O10 - Unknown file in Winsock LSP: c:\windows\system32 wprovau.dll O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/... O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/... O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: avgrsstx.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32 vsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

sKe69 · Answer

impeccable  =)

Rapport en cours d'analyse ... patience pour la suite ...

sKe69 · Answer

On continue ...

1- Télécharges OTMoveIt (de Old_Timer) sur ton Bureau. 
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
ou http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

Déconnectes toi et fermes toute tes applications en cours .
 
clic double sur OTMoveIt.exe pour le lancer. 
copie ce qui se trouve en citation ci-dessous :

C:\WINDOWS\system32	uvTnKdD.dll.vir

et colles-la dans le cadre de gauche de OTMoveIt2 : 
Paste standard List of Files/Folders to be moved.
 
cliques sur MoveIt! pour lancer la suppression. 
le résultat apparaîtra dans le cadre Results.
 
cliques sur Exit pour fermer. 
--->postes le rapport situé dans " C:\OTMoveIt\MovedFiles." 

il te sera peut-être demandé de redémarrer le pc pour achever la suppression. 
si c'est le cas acceptes par "Yes".

2- refais un coup de CCleaner ( registre compris )

--> Redémarres ton PC .

3- Télécharge DiagHelp.zip sur ton bureau :

http://www.malekal.com/download/DiagHelp.zip

!! déconnectes toi et fermes toutes tes applications en cours !!  

Fais un clic droit sur le fichier et extraire tout  ( sur ton bureau ) .

--> Un nouveau dossier va être créé : "DiagHelp"  
Ouvres le et double-clic sur go.cmd et pas sur autre chose ! (le .cmd peut ne pas apparaître )
 
--> Une fenêtre va s'ouvrir, choisis l'option 1 
L'analyse va commencer, ce-ci peut durer quelques minutes, laisses faire et appuies sur une touche quand on te le demandera : 
une page IE va s'ouvrir , fermes la . 
Re-appuis sur une touche, le bloc-note s'ouvre : 
Sauvegardes ce rapport de façon à le retrouver et postes tout son contenu dans ta prochaine réponse ...

esfloria · Answer

OtmoveIt log : C:\WINDOWS\system32 uvTnKdD.dll.vir moved successfully. OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07222008_234220 DiagHelp Log : DiagHelp version v1.4 - http://www.malekal.com excute le 22/07/2008 à 23:49:45,84 Liste des derniers fichies modifies/crees dans windir\system32 et prefetch C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->22/07/2008 23:49:37 C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->22/07/2008 23:49:31 C:\WINDOWS\prefetch\AVGUPD.EXE-01C5DD2A.pf -->22/07/2008 23:48:20 C:\WINDOWS\prefetch\IZARC.EXE-2B73BBEB.pf -->22/07/2008 23:48:18 C:\WINDOWS\prefetch\WSCNTFY.EXE-1B24F5EB.pf -->22/07/2008 23:48:17 C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->22/07/2008 23:48:02 C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->22/07/2008 23:48:00 C:\WINDOWS\prefetch\WGATRAY.EXE-0ED38BED.pf -->22/07/2008 23:48:00 C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->22/07/2008 23:48:00 C:\WINDOWS\prefetch\ALG.EXE-0F138680.pf -->22/07/2008 23:48:00 C:\WINDOWS\System32\drivers\mbamswissarmy.sys -->18/07/2008 19:15:32 C:\WINDOWS\System32\drivers\mbam.sys -->18/07/2008 19:15:26 C:\WINDOWS\System32\drivers\avgtdix.sys -->05/07/2008 19:43:03 C:\WINDOWS\System32\drivers\avgmfx86.sys -->05/07/2008 19:42:54 C:\WINDOWS\System32\drivers\avgldx86.sys -->05/07/2008 19:42:54 C:\WINDOWS\System32\drivers cpip.sys -->20/06/2008 15:51:12 C:\WINDOWS\System32\drivers\afd.sys -->20/06/2008 15:40:08 C:\WINDOWS\System32\wpa.dbl -->22/07/2008 23:47:25 C:\WINDOWS\System32 vapps.xml -->22/07/2008 23:46:58 C:\WINDOWS\System32\2f847e1e-.txt -->22/07/2008 22:06:14 C:\WINDOWS\System32\mcrh.MSNFix -->20/07/2008 21:11:19 C:\WINDOWS\System32 mp.reg -->20/07/2008 19:23:07 C:\WINDOWS\System32 mp.MSNFix -->20/07/2008 19:23:07 C:\WINDOWS\System32\W32N50.dll -->14/07/2008 22:19:08 C:\WINDOWS\System32\PCANDIS5.sys -->14/07/2008 22:19:08 C:\WINDOWS\System32\avgrsstx.dll -->05/07/2008 19:42:55 C:\WINDOWS\System32\IEDFix.C.exe -->02/07/2008 13:33:45 C:\WINDOWS\System32\CmdLineExt03.dll -->27/06/2008 17:21:34 C:\WINDOWS\System32 undll32.exe.Z-missing.txt -->27/06/2008 14:06:01 C:\WINDOWS\System32\MRT.exe -->25/06/2008 20:15:46 C:\WINDOWS\System32\SIntfNT.dll -->25/06/2008 00:17:59 C:\WINDOWS\System32\SIntf32.dll -->25/06/2008 00:17:59 C:\WINDOWS\System32\SIntf16.dll -->25/06/2008 00:17:59 C:\WINDOWS\System32\mswsock.dll -->20/06/2008 21:47:22 C:\WINDOWS\System32\dnsapi.dll -->20/06/2008 21:47:22 C:\WINDOWS\System32 scompat.tlb -->10/06/2008 13:21:53 C:\WINDOWS\System32\amcompat.tlb -->10/06/2008 13:21:53 C:\WINDOWS\System32\VACFix.exe -->29/05/2008 09:35:36 C:\WINDOWS\System32 tdwp.ocx -->24/05/2008 19:49:06 C:\WINDOWS\System32\404Fix.exe -->23/05/2008 18:21:42 C:\WINDOWS\System32\IEDFix.exe -->18/05/2008 21:40:35 C:\WINDOWS\System32\lsdelete.exe -->16/05/2008 11:58:04 C:\WINDOWS\0.log -->22/07/2008 23:47:19 C:\WINDOWS\wiadebug.log -->22/07/2008 23:47:04 C:\WINDOWS\WindowsUpdate.log -->22/07/2008 23:47:03 C:\WINDOWS\wiaservc.log -->22/07/2008 23:46:58 C:\WINDOWS\bootstat.dat -->22/07/2008 23:46:41 C:\WINDOWS\SchedLgU.Txt -->22/07/2008 23:45:17 C:\WINDOWS\system.ini -->22/07/2008 23:05:10 C:\WINDOWS\msnfix.txt -->21/07/2008 21:14:36 C:\WINDOWS\QTFont.qfn -->19/07/2008 22:43:09 C:\WINDOWS\DXT7.tmp -->02/07/2008 11:30:58 C:\WINDOWS\DXT6.tmp -->02/07/2008 11:30:58 C:\WINDOWS\DXT5.tmp -->02/07/2008 11:30:58 C:\WINDOWS\DXT4.tmp -->02/07/2008 11:30:58 C:\WINDOWS\DXT3.tmp -->02/07/2008 11:30:57 C:\WINDOWS\DXT2.tmp -->02/07/2008 11:30:57 winlogon.exe Verified: Signed svchost.exe Verified: Signed ws2_32.dll Verified: Signed user32.dll Verified: Signed tcpip.sys Verified: Signed ndis.sys Verified: Signed null.sys Verified: Signed ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ explorer.exe pid: 364 Command line: C:\WINDOWS\Explorer.EXE Base Size Version Path 0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll 0x779e0000 0x97000 5.131.2600.5512 C:\WINDOWS\system32\CRYPT32.dll 0x76610000 0x84000 5.131.2600.5512 C:\WINDOWS\system32\CRYPTUI.dll 0x44080000 0xd0000 7.00.6000.16674 C:\WINDOWS\system32\WININET.dll 0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll 0x43e00000 0x45000 7.00.6000.16674 C:\WINDOWS\system32\iertutil.dll 0x76be0000 0x2e000 5.131.2600.5512 C:\WINDOWS\system32\WINTRUST.dll 0x10000000 0x5000 8.00.0000.0134 C:\WINDOWS\system32\avgrsstx.dll 0x58b50000 0x9a000 5.82.2900.5512 C:\WINDOWS\system32\comctl32.dll 0x76f80000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL 0x77000000 0xd4000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll 0x76ac0000 0x11000 3.05.2284.0001 C:\WINDOWS\system32\ATL.DLL 0x44360000 0x5cd000 7.00.6000.16674 C:\WINDOWS\system32\ieframe.dll 0x44160000 0x127000 7.00.6000.16674 C:\WINDOWS\system32\urlmon.dll 0x7d200000 0x2bc000 3.01.4001.5512 C:\WINDOWS\system32\msi.dll 0x442b0000 0x3c000 7.00.6000.16674 C:\WINDOWS\system32\webcheck.dll 0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll 0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll 0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll 0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll 0x74730000 0x3d000 3.525.1132.0000 C:\WINDOWS\system32\ODBC32.dll 0x1f840000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll 0x01590000 0x1c000 7.00.0000.0000 C:\Program Files\Adobe\Adobe Acrobat 7.0\ActiveX\PDFShell.dll 0x015c0000 0xa000 7.00.0000.0000 C:\Program Files\Adobe\Adobe Acrobat 7.0\ActiveX\PDFShell.FRA 0x03710000 0x4e000 7.00.0005.0172 C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat Elements\ContextMenu.fra 0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ winlogon.exe pid: 732 Command line: winlogon.exe Base Size Version Path 0x01000000 0x82000 \??\C:\WINDOWS\system32\winlogon.exe 0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll 0x779e0000 0x97000 5.131.2600.5512 C:\WINDOWS\system32\CRYPT32.dll 0x76be0000 0x2e000 5.131.2600.5512 C:\WINDOWS\system32\WINTRUST.dll 0x10000000 0x5000 8.00.0000.0134 C:\WINDOWS\system32\avgrsstx.dll 0x58b50000 0x9a000 5.82.2900.5512 C:\WINDOWS\system32\COMCTL32.dll 0x74730000 0x3d000 3.525.1132.0000 C:\WINDOWS\system32\ODBC32.dll 0x1f840000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll 0x013b0000 0x3b000 1.07.0017.0000 C:\WINDOWS\system32\WgaLogon.dll 0x76f80000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL 0x77000000 0xd4000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll 0x76ac0000 0x11000 3.05.2284.0001 C:\WINDOWS\system32\ATL.DLL Le volume dans le lecteur C s'appelle Disque local Le numéro de série du volume est 24A7-BACF Répertoire de C:\WINDOWS\system 10/09/1999 12:06 4 672 WOWPOST.EXE 1 fichier(s) 4 672 octets 0 Rép(s) 55 143 120 896 octets libres Le volume dans le lecteur C s'appelle Disque local Le numéro de série du volume est 24A7-BACF Répertoire de C:\WINDOWS\system32 14/04/2008 06:33 6 144 csrss.exe 1 fichier(s) 6 144 octets 0 Rép(s) 55 143 120 896 octets libres Contenu de Downloaded Program Files Le volume dans le lecteur C s'appelle Disque local Le numéro de série du volume est 24A7-BACF Répertoire de C:\WINDOWS\Downloaded Program Files 23/01/2008 22:35 . 23/01/2008 22:35 .. 04/01/2006 13:48 65 desktop.ini 23/03/2007 12:17 1 292 erma.inf 13/04/2007 02:14 382 344 GAME_UNO1.dll 17/01/2007 15:44 316 GAME_UNO1.INF 28/06/2007 14:18 907 GoPetsWeb.inf 29/06/2007 22:34 448 024 GoPetsWeb.ocx 29/05/2003 15:00 160 864 messengerstatsclient.dll 22/02/2007 23:41 304 544 MessengerStatsPAClient.dll 28/02/2007 14:21 130 472 MineSweeper.dll 28/02/2007 14:21 131 472 msgrchkr.dll 30/07/2007 19:24 295 muweb.inf 28/08/2006 11:05 227 opuc.inf 09/11/2006 14:36 5 019 swflash.inf 26/05/2005 04:19 291 wuweb.inf 14 fichier(s) 1 566 132 octets Total des fichiers listés : 14 fichier(s) 1 566 132 octets 2 Rép(s) 55 143 116 800 octets libres Recherche de rootkit! (Merci S!Ri) Recherche d'infections connues Export des clefs sensibles.. Liste des fichiers en exception sur le pare-feu XP SP2 "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Enabled:eMule" "C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\StubInstaller.exe"="C:\StubInstaller.exe:*:Enabled:LimeWire swarmed installer" "C:\Program Files\LimeWire\LimeWire.exe"="C:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire" "C:\Program Files\TrackMania Nations ESWC\TmNationsESWC.exe"="C:\Program Files\TrackMania Nations ESWC\TmNationsESWC.exe:*:Enabled:TmNationsESWC" "C:\WINDOWS\system32\rtcshare.exe"="C:\WINDOWS\system32\rtcshare.exe:*:Enabled:Partage de l'application RTC" "C:\Program Files\NetMeeting\conf.exe"="C:\Program Files\NetMeeting\conf.exe:*:Enabled:Windows® NetMeeting®" "C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test" "C:\Program Files\THQ\Dawn of War\W40k.exe"="C:\Program Files\THQ\Dawn of War\W40k.exe:*:Enabled:W40K" "C:\Program Files\THQ\Dawn of War\W40kWA.exe"="C:\Program Files\THQ\Dawn of War\W40kWA.exe:*:Disabled:W40kWA" "C:\UT2003\System\UT2003.exe"="C:\UT2003\System\UT2003.exe:*:Enabled:UT2003" "C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe"="C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe:*:Enabled:Adobe Version Cue CS2" "C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "C:\Program Files\AVG\AVG8\avgupd.exe"="C:\Program Files\AVG\AVG8\avgupd.exe:*:Enabled:avgupd.exe" "C:\Program Files\AVG\AVG8\avgemc.exe"="C:\Program Files\AVG\AVG8\avgemc.exe:*:Enabled:avgemc.exe" "C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes" "C:\Program Files\Ground Control II\gcii.exe"="C:\Program Files\Ground Control II\gcii.exe:*:Enabled:Ground Control II" "C:\UnrealTournament\System\UnrealTournament.icd"="C:\UnrealTournament\System\UnrealTournament.icd:*:Enabled:UnrealTournament" "C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" Export de la clef SharedTaskScheduler [SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant" exports des policies REGEDIT4 [system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 "DisableRegistryTools"=dword:00000000 "HideLegacyLogonScripts"=dword:00000000 "HideLogoffScripts"=dword:00000000 "RunLogonScriptSync"=dword:00000001 "RunStartupScriptSync"=dword:00000000 "HideStartupScripts"=dword:00000000 Export des clefs sensibles.. Rechercher adresses sensibles dans le fichier HOSTS... catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-22 23:50:16 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:37,8a,2e,2f,ff,b2,45,88,34,b0,f1,ae,63,66,17,40,b2,0b,d1,bc,51,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:37,8a,2e,2f,ff,b2,45,88,34,b0,f1,ae,63,66,17,40,b2,0b,d1,bc,51,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] "s1"=dword:d8f2604c "s2"=dword:afbb4a03 "h0"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:37,8a,2e,2f,ff,b2,45,88,34,b0,f1,ae,63,66,17,40,b2,0b,d1,bc,51,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:37,8a,2e,2f,ff,b2,45,88,34,b0,f1,ae,63,66,17,40,b2,0b,d1,bc,51,.. scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden services: 0 hidden files: 0 KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Process list by traversal of KiWaitListHead 4 - System 264 - ctfmon.exe 364 - explorer.exe 588 - acs.exe 636 - AppleMobileDevi 696 - avgwdsvc.exe 708 - csrss.exe 732 - winlogon.exe 788 - services.exe 820 - lsass.exe 964 - GoogleUpdaterSe 1004 - svchost.exe 1076 - svchost.exe 1116 - svchost.exe 1148 - svchost.exe 1260 - MDM.EXE 1316 - svchost.exe 1368 - svchost.exe 1452 - aawservice.exe 1548 - nvsvc32.exe 1824 - RTHDCPL.EXE 2368 - cmd.exe 2500 - GoogleUpdater.e 3204 - avgemc.exe 3532 - alg.exe 3908 - wuauclt.exe Total number of processes = 26 NOTE: Under WinXP, this will not show all processes. KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Driver/Module list by traversal of PsLoadedModuleList 804D7000 - \WINDOWS\system32 toskrnl.exe 806FF000 - \WINDOWS\system32\hal.dll F7C6F000 - \WINDOWS\system32\KDCOM.DLL F7B7F000 - \WINDOWS\system32\BOOTVID.dll F7677000 - sptd.sys F7C71000 - \WINDOWS\System32\Drivers\WMILIB.SYS F765F000 - \WINDOWS\System32\Drivers\SCSIPORT.SYS F7630000 - ACPI.sys F776F000 - isapnp.sys F761F000 - pci.sys F7D37000 - pciide.sys F79EF000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS F777F000 - MountMgr.sys F7600000 - ftdisk.sys F7C73000 - dmload.sys F75DA000 - dmio.sys F79F7000 - PartMgr.sys F778F000 - VolSnap.sys F75C2000 - atapi.sys F79FF000 - iteatapi.sys F779F000 - disk.sys F77AF000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS F75A2000 - fltmgr.sys F7590000 - sr.sys F7A07000 - PxHelp20.sys F7579000 - KSecDD.sys F7566000 - WudfPf.sys F74D9000 - Ntfs.sys F74AC000 - NDIS.sys F7499000 - sfvfs02.sys F7A0F000 - sfhlp02.sys F7487000 - sfdrv01.sys F746D000 - Mup.sys F797F000 - \SystemRoot\system32\DRIVERS\intelppm.sys F6583000 - \SystemRoot\system32\DRIVERS v4_mini.sys F656F000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS F6547000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys F650C000 - \SystemRoot\system32\DRIVERS\yk51x86.sys F7AEF000 - \SystemRoot\system32\DRIVERS\usbuhci.sys F64E8000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS F7AF7000 - \SystemRoot\system32\DRIVERS\usbehci.sys F7AFF000 - \SystemRoot\system32\DRIVERS\fdc.sys F64D4000 - \SystemRoot\system32\DRIVERS\parport.sys F7C8F000 - \SystemRoot\system32\DRIVERS\ASACPI.sys F798F000 - \SystemRoot\system32\DRIVERS\i8042prt.sys F742D000 - \SystemRoot\system32\DRIVERS\L8042Kbd.sys F7B07000 - \SystemRoot\system32\DRIVERS\kbdclass.sys F799F000 - \SystemRoot\system32\DRIVERS\L8042mou.Sys F64C3000 - \SystemRoot\system32\DRIVERS\LMouKE.Sys F7B0F000 - \SystemRoot\system32\DRIVERS\mouclass.sys F64B2000 - \SystemRoot\system32\DRIVERS\serial.sys F7429000 - \SystemRoot\system32\DRIVERS\serenum.sys F79AF000 - \SystemRoot\system32\DRIVERS\imapi.sys F79BF000 - \SystemRoot\system32\DRIVERS\cdrom.sys F79CF000 - \SystemRoot\system32\DRIVERS edbook.sys F648F000 - \SystemRoot\system32\DRIVERS\ks.sys F7425000 - \SystemRoot\System32\Drivers\GEARAspiWDM.sys F741D000 - \SystemRoot\system32\drivers\atkkbnt.sys F7DC6000 - \SystemRoot\system32\DRIVERS\audstub.sys F79DF000 - \SystemRoot\system32\DRIVERS asl2tp.sys F7419000 - \SystemRoot\system32\DRIVERS distapi.sys F6478000 - \SystemRoot\system32\DRIVERS diswan.sys F781F000 - \SystemRoot\system32\DRIVERS aspppoe.sys F782F000 - \SystemRoot\system32\DRIVERS aspptp.sys F7B17000 - \SystemRoot\system32\DRIVERS\TDI.SYS F6467000 - \SystemRoot\system32\DRIVERS\psched.sys F783F000 - \SystemRoot\system32\DRIVERS\msgpc.sys F7B1F000 - \SystemRoot\system32\DRIVERS\ptilink.sys F7B27000 - \SystemRoot\system32\DRIVERS aspti.sys F6437000 - \SystemRoot\system32\DRIVERS dpdr.sys F784F000 - \SystemRoot\system32\DRIVERS ermdd.sys F7C91000 - \SystemRoot\system32\DRIVERS\swenum.sys F6361000 - \SystemRoot\system32\DRIVERS\update.sys F73FD000 - \SystemRoot\system32\DRIVERS\mssmbios.sys F785F000 - \SystemRoot\System32\Drivers\NDProxy.SYS F3F49000 - \SystemRoot\system32\drivers\RtkHDAud.sys F3F25000 - \SystemRoot\system32\drivers\portcls.sys F786F000 - \SystemRoot\system32\drivers\drmk.sys F787F000 - \SystemRoot\system32\DRIVERS\usbhub.sys F7C97000 - \SystemRoot\system32\DRIVERS\USBD.SYS F7B47000 - \SystemRoot\system32\DRIVERS\flpydisk.sys F7C99000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS F7D44000 - \SystemRoot\System32\Drivers\Null.SYS F7C9B000 - \SystemRoot\System32\Drivers\Beep.SYS F7B57000 - \SystemRoot\System32\drivers\vga.sys F7C9D000 - \SystemRoot\System32\Drivers\mnmdd.SYS F7C9F000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys F7B5F000 - \SystemRoot\System32\Drivers\Msfs.SYS F7B67000 - \SystemRoot\System32\Drivers\Npfs.SYS F7C47000 - \SystemRoot\system32\DRIVERS asacd.sys F3ECA000 - \SystemRoot\system32\DRIVERS\ipsec.sys F3E71000 - \SystemRoot\system32\DRIVERS cpip.sys F3E21000 - \SystemRoot\system32\DRIVERS etbt.sys F3DFB000 - \SystemRoot\system32\DRIVERS\ipnat.sys F7C5B000 - \SystemRoot\System32\drivers\ws2ifsl.sys F3DD9000 - \SystemRoot\System32\drivers\afd.sys F789F000 - \SystemRoot\system32\DRIVERS\wanarp.sys F78AF000 - \SystemRoot\system32\DRIVERS etbios.sys F3DAE000 - \SystemRoot\system32\DRIVERS dbss.sys F3D3E000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys F6973000 - \SystemRoot\System32\Drivers\Fips.SYS F7B6F000 - \SystemRoot\System32\Drivers\avgmfx86.sys F3D28000 - \SystemRoot\System32\Drivers\avgldx86.sys F3D01000 - \SystemRoot\System32\Drivers\omcamvid.sys F6953000 - \SystemRoot\System32\Drivers\STREAM.SYS F7B77000 - \SystemRoot\System32\Drivers\OVTCAMD.SYS F7A1F000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS F6923000 - \SystemRoot\System32\Drivers\Cdfs.SYS F3C49000 - \SystemRoot\System32\Drivers\dump_atapi.sys F7CAF000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS BF800000 - \SystemRoot\System32\win32k.sys F6423000 - \SystemRoot\System32\drivers\Dxapi.sys F7A5F000 - \SystemRoot\System32\watchdog.sys BF9C3000 - \SystemRoot\System32\drivers\dxg.sys F7DD7000 - \SystemRoot\System32\drivers\dxgthk.sys BF9D5000 - \SystemRoot\System32\atkdisp.dll BFA10000 - \SystemRoot\System32 v4_disp.dll BFFA0000 - \SystemRoot\System32\ATMFD.DLL BACE0000 - \SystemRoot\system32\DRIVERS\AegisP.sys BAC32000 - \SystemRoot\system32\DRIVERS wlnkipx.sys BADA8000 - \SystemRoot\system32\DRIVERS wlnknb.sys BACD8000 - \SystemRoot\system32\DRIVERS disuio.sys BAAF6000 - \SystemRoot\System32\Drivers\Fastfat.SYS BAAA6000 - \SystemRoot\system32\DRIVERS wrdr.sys BAA79000 - \SystemRoot\system32\DRIVERS\mrxdav.sys BA974000 - \SystemRoot\system32\drivers\wdmaud.sys F796F000 - \SystemRoot\system32\drivers\sysaudio.sys F7D33000 - \SystemRoot\System32\Drivers\ParVdm.SYS BAA55000 - \SystemRoot\System32\Drivers\Aspi32.SYS BA733000 - \SystemRoot\System32\Drivers\avgtdix.sys BAA3D000 - \??\C:\WINDOWS\system32\drivers\EIO.sys BA602000 - \SystemRoot\System32\Drivers\HTTP.sys BA67B000 - \SystemRoot\system32\DRIVERS wlnkspx.sys BA794000 - \SystemRoot\system32\DRIVERS\secdrv.sys BA3D0000 - \SystemRoot\system32\DRIVERS\srv.sys F7E28000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys Total number of drivers = 136 Liste des programmes installes Ad-Aware Adobe Acrobat 7.0 Professional - English, Français, Deutsch Adobe Bridge 1.0 Adobe Common File Installer Adobe Creative Suite 2 Adobe Flash Player ActiveX Adobe GoLive CS2 Adobe Help Center 1.0 Adobe Illustrator CS2 Adobe InDesign CS2 Adobe Photoshop 7.0 Adobe Photoshop CS2 Adobe Reader 8.1.1 - Français Adobe Stock Photos 1.0 Adobe SVG Viewer 3.0 Adobe Version Cue CS2 Adobe® Photoshop® Album Edition Découverte 3.0 Aliens versus Predator Apple Mobile Device Support Apple Software Update ASUS Enhanced Display Driver ASUS nVIDIA Driver AutoUpdate AVG Free 8.0 AviSynth 2.5 Battle for Wesnoth 1.2.8 CartoExploreur 3 3.16 CCleaner (remove only) Compel Adaptec WinASPI Correctif pour Lecteur Windows Media 11 (KB939683) Correctif pour Windows Internet Explorer 7 (KB947864) Dawn Of War - Winter Assault DawnOfWar DawnOfWar DFX 8 for Windows Media Player Disc2Phone DivX Codec DivX Content Uploader DivX Converter DivX Player DivX Web Player eMule FEAR ffdshow Fraps Free Mp3 Wma Converter V 1.7.3 Google Earth GPGNet Ground Control II GUILD WARS High Definition Audio Driver Package - KB888111 Hotfix for Windows Media Format 11 SDK (KB929399) HP L1506, L1706, L1906 Monitor Drivers 1.00 Intel(R) Graphics Media Accelerator Driver Intel(R) PROSafe for Wired Connections Intel(R) PROSafe for Wired Connections iTunes IZArc 3.6 J2SE Runtime Environment 5.0 Update 10 J2SE Runtime Environment 5.0 Update 8 Java(TM) 6 Update 3 Java(TM) 6 Update 5 Java(TM) SE Runtime Environment 6 Update 1 Lecteur Windows Media 11 LimeWire 4.12.6 Logiciel des cartes réseau Intel(R) PRO v10.1.41.0 Logitech SetPoint Malwarebytes' Anti-Malware Maxell Max-Cam Messenger Plus! Live MFCDLL Shared Library - Retail Version Microsoft (R) C Runtime Library Microsoft (R) C++ Runtime Library Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 French Language Pack Microsoft .NET Framework 1.1 Hotfix (KB928366) Microsoft .NET Framework 2.0 Language Pack - FRA Microsoft .NET Framework 2.0 Service Pack 1 Microsoft .NET Framework 3.0 French Language Pack Microsoft .NET Framework 3.0 Service Pack 1 Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Internationalized Domain Names Mitigation APIs Microsoft Kernel-Mode Driver Framework Feature Pack 1.5 Microsoft National Language Support Downlevel APIs Microsoft Office Professional Edition 2003 Microsoft User-Mode Driver Framework Feature Pack 1.5 Microsoft Visual C++ 2005 Redistributable Mise à jour de sécurité pour Lecteur Windows Media (KB911564) Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734) Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782) Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398) Mise à jour de sécurité pour Windows Internet Explorer 7 (KB928090) Mise à jour de sécurité pour Windows Internet Explorer 7 (KB929969) Mise à jour de sécurité pour Windows Internet Explorer 7 (KB931768) Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566) Mise à jour de sécurité pour Windows Internet Explorer 7 (KB937143) Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127) Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653) Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615) Mise à jour de sécurité pour Windows Internet Explorer 7 (KB944533) Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759) Mise à jour de sécurité pour Windows XP (KB923789) Mise à jour de sécurité pour Windows XP (KB941569) Mise à jour de sécurité pour Windows XP (KB950760) Mise à jour de sécurité pour Windows XP (KB950762) Mise à jour de sécurité pour Windows XP (KB951376-v2) Mise à jour de sécurité pour Windows XP (KB951376) Mise à jour de sécurité pour Windows XP (KB951698) Mise à jour de sécurité pour Windows XP (KB951748) Mise à jour pour Windows XP (KB951978) Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA Module de prise en charge linguistique du français de Microsoft .NET Framework 3.0 MSN MSVC80_x86 MSXML 3.0 MSXML 4.0 SP2 (KB927978) MSXML 4.0 SP2 (KB936181) MSXML 6.0 Parser (KB933579) Multimedia Keyboard Driver Musicmatch® Jukebox MyPhoneExplorer NeoDivx Suite Nero 6 Ultra Edition NETGEAR Wireless Adapter WG311T NETGEAR Wireless Adapter WG311T Nokia Connectivity Cable Driver Nokia Flashing Cable Driver NVIDIA Drivers OgcDrv 2.13 Outil de mise à jour Google Package de base Microsoft de service de chiffrement pour cartes à puce Package de pilotes Windows - Nokia Modem (10/12/2007 3.6) PC Connectivity Solution PowerDVD QuickTime Realtek High Definition Audio Driver Réseau Antilles Bayo Réseau Antilles Bayo 0002-Q0 Réseau Antilles Bayo 0007-Q0 Réseau Antilles BdAlti Réseau Antilles BdAlti 2003-Q1 Réseau Antilles BdNyme 2003-Q1 Réseau France Bayo Réseau France Bayo 0003-Q0 Réseau France Bayo 0013-Q0 Réseau France BdAlti Réseau France BdAlti 2003-Q1 Réseau France BdAlti 2005-Q3 Réseau France BdNyme Réseau France BdNyme 2003-Q1 Réseau France BdNyme 2004-Q4 Réseau Guyane Bayo Réseau Guyane Bayo 0002-Q0 Réseau Guyane Bayo 0005-Q0 Réseau Guyane BdAlti 2003-Q1 Réseau Guyane BdNyme 2003-Q1 Réseau Reunion Bayo 0007-Q0 Réseau Reunion BdAlti 2003-Q1 Réseau Reunion BdNyme 2003-Q1 Réseau Réunion Bayo Réseau Réunion Bayo 0002-Q0 Réseau Réunion BdAlti Réseau Réunion BdAlti 2003-Q1 Réseau Réunion BdNyme Réseau Réunion BdNyme 2003-Q1 Satsuki Decoder Pack Skype™ 3.6 Sony Ericsson PC Suite 1.20.173 Spelling Dictionaries Support For Adobe Reader 8 Suite Specific TeamSpeak 2 RC2 TrackMania Nations ESWC 1.7.9 Unreal Tournament Unreal Tournament 2003 VideoLAN VLC media player 0.8.6e WebFldrs XP Windows Communication Foundation Language Pack - FRA Windows Genuine Advantage Notifications (KB905474) Windows Genuine Advantage Validation Tool (KB892130) Windows Genuine Advantage Validation Tool (KB892130) Windows Imaging Component Windows Internet Explorer 7 Windows Live Messenger Windows Live Sign-in Assistant Windows Media Format 11 runtime Windows Media Format 11 runtime Windows Media Player 11 Windows Presentation Foundation Windows Presentation Foundation Language Pack (FRA) Windows Workflow Foundation FR Language Pack Windows XP Service Pack 3 XML Paper Specification Shared Components Language Pack 1.0 XML Paper Specification Shared Components Pack 1.0 Xvid 1.1.2 final uninstall Le volume dans le lecteur C s'appelle Disque local Le numéro de série du volume est 24A7-BACF Répertoire de C:\Program Files 21/07/2008 21:29 . 21/07/2008 21:29 .. 26/03/2008 14:54 Adobe 04/01/2006 14:18 Ahead 14/05/2008 23:09 Apple Software Update 20/10/2006 03:18 ASUSTeK 14/05/2008 14:37 AVG 14/03/2008 23:56 AviSynth 2.5 21/08/2007 22:01 Bayo 20/07/2008 01:18 CCleaner 04/01/2006 14:16 CyberLink 24/12/2006 07:31 DFX 19/04/2008 10:17 DIFX 24/11/2007 13:57 directx 26/11/2006 06:00 Disc2Phone 22/12/2006 08:48 DivX 13/03/2007 22:07 EA Games 29/06/2008 20:04 eMule 19/04/2008 11:54 Fichiers communs 26/06/2008 12:35 Free Audio Pack 20/06/2008 20:32 Google 23/06/2008 20:34 Ground Control II 08/06/2008 19:19 GUILD WARS 20/06/2008 19:38 Hotkey 04/01/2006 14:05 Intel 11/06/2008 12:52 Internet Explorer 14/05/2008 23:31 iPod 14/05/2008 23:31 iTunes 18/11/2006 18:23 IZArc 05/03/2008 13:21 Java 17/07/2008 15:46 Lavasoft 22/12/2006 07:10 LimeWire 08/04/2008 19:06 Logitech 21/07/2008 22:00 Lopxp 20/07/2008 21:09 Malwarebytes' Anti-Malware 24/06/2008 14:04 Marmot Project 12/05/2008 12:42 Messenger 13/06/2008 18:15 Messenger Plus! Live 04/01/2006 13:50 microsoft frontpage 08/04/2008 18:56 Microsoft NetShow 18/11/2006 18:12 Microsoft Office 18/11/2006 18:12 Microsoft Visual Studio 18/11/2006 19:00 Microsoft Works 18/11/2006 18:12 Microsoft.NET 12/05/2008 12:42 Movie Maker 06/06/2007 22:35 MSBuild 23/05/2007 19:06 MSN 04/01/2006 13:46 MSN Gaming Zone 21/05/2008 12:28 MSN Messenger 26/11/2006 09:20 MSXML 4.0 06/06/2007 22:37 MSXML 6.0 15/08/2007 12:53 MultiKeyboard Driver 20/01/2007 22:34 MUSICMATCH 22/04/2008 14:25 MyPhoneExplorer 18/11/2006 01:06 NETGEAR 12/05/2008 12:39 NetMeeting 04/01/2006 13:46 Online Services 12/05/2008 12:39 Outlook Express 19/04/2008 10:16 PC Connectivity Solution 14/05/2008 23:30 QuickTime 07/04/2008 21:14 Real 20/10/2006 03:22 Realtek 06/06/2007 22:32 Reference Assemblies 01/09/2007 16:00 Satsuki Decoder Pack 18/05/2008 10:42 Serious Sam 2 04/01/2006 13:48 Services en ligne 03/12/2007 00:19 Skype 25/11/2006 14:58 Sony Ericsson 01/06/2007 17:37 Teamspeak2_RC2 25/06/2008 12:12 TheTurtle 20/06/2008 20:11 THQ 01/07/2008 19:28 TrackMania Nations ESWC 20/07/2008 19:34 Trend Micro 12/05/2008 17:01 Vampire La Mascarade 14/03/2008 23:20 VideoLAN 14/03/2008 10:36 Wesnoth 14/03/2008 23:57 WinASPI 25/10/2007 22:16 Windows Live 11/12/2006 15:29 Windows Media Connect 2 10/06/2008 13:21 Windows Media Player 12/05/2008 12:39 Windows NT 04/01/2006 13:50 xerox 22/12/2006 08:47 Xvid 0 fichier(s) 0 octets 83 Rép(s) 55 143 014 400 octets libres Le volume dans le lecteur C s'appelle Disque local Le numéro de série du volume est 24A7-BACF Répertoire de C:\Program Files\fichiers communs 19/04/2008 11:54 . 19/04/2008 11:54 .. 26/03/2008 14:55 Adobe 26/03/2008 14:55 Adobe Systems Shared 04/01/2006 14:18 Ahead 12/03/2008 23:26 Apple 18/08/2007 15:16 Bayo 17/02/2007 13:16 BOONTY Shared 18/11/2006 18:12 DESIGNER 20/10/2006 03:17 InstallShield 22/12/2006 07:06 Java 08/04/2008 19:06 Logitech 19/04/2008 10:12 Microsoft Shared 04/01/2006 13:47 MSSoap 04/01/2006 18:40 ODBC 08/04/2008 18:26 Real 04/01/2006 13:47 Services 03/12/2007 00:19 Skype 04/01/2006 18:40 SpeechEngines 12/05/2008 12:39 System 25/11/2006 14:58 Teleca Shared 17/07/2008 15:44 Wise Installation Wizard 0 fichier(s) 0 octets 22 Rép(s) 55 143 010 304 octets libres Le volume dans le lecteur C s'appelle Disque local Le numéro de série du volume est 24A7-BACF Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders 09/12/2007 19:37 . 09/12/2007 19:37 .. 18/11/2006 18:12 1033 09/12/2007 19:37 1036 20/09/2005 12:33 1 293 008 MSONSEXT.DLL 22/03/2007 19:29 39 256 MSOSV.DLL 03/06/1999 15:09 122 937 MSOWS409.DLL 07/03/2001 10:00 127 033 MSOWS40c.DLL 11/07/2003 02:25 80 448 PKMWS.DLL 5 fichier(s) 1 662 682 octets 4 Rép(s) 55 143 010 304 octets libres Le volume dans le lecteur C s'appelle Disque local Le numéro de série du volume est 24A7-BACF Répertoire de C:\ 20/07/2008 16:43 1 478 538 SmitfraudFix.exe 31/10/2005 19:56 700 416 StubInstaller.exe 2 fichier(s) 2 178 954 octets 0 Rép(s) 55 143 010 304 octets libres c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.6.2.9\iTunesSetupAdmin.exe c:\Documents and Settings\All Users\Application Data\avg8\update\backup\aAvgApi.exe c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgcfgex.exe c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgcmgr.exe c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgdumpx.exe c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgemc.exe c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgfrw.exe c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgiproxy.exe c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgrsx.exe c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgscanx.exe c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgsrmax.exe c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgtray.exe c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgui.exe c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgupd.exe c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgwdsvc.exe c:\Documents and Settings\All Users\Application Data\avg8\update\backup\setup.exe c:\Documents and Settings\Utilisateur\.limewire\.NetworkShare\LimeWireWin4.12.14.exe c:\Documents and Settings\Utilisateur\Application Data\Microsoft\Installer\{DD8408E9-9421-484F-979D-DB6361E3E828}\IconDD8408E910.exe c:\Documents and Settings\Utilisateur\Application Data\Microsoft\Installer\{DD8408E9-9421-484F-979D-DB6361E3E828}\IconDD8408E96.exe c:\Documents and Settings\Utilisateur\Bureau\ComboFix.exe c:\Documents and Settings\Utilisateur\Bureau\Lopxpsetup.exe c:\Documents and Settings\Utilisateur\Bureau\mbam-setup.exe c:\Documents and Settings\Utilisateur\Bureau\Navilog1.exe c:\Documents and Settings\Utilisateur\Bureau\OTMoveIt2.exe c:\Documents and Settings\Utilisateur\Bureau\VirtumundoBeGone.exe c:\Documents and Settings\Utilisateur\Bureau\DiagHelp\catchme.exe c:\Documents and Settings\Utilisateur\Bureau\DiagHelp\diff.exe c:\Documents and Settings\Utilisateur\Bureau\DiagHelp\dumphive.exe c:\Documents and Settings\Utilisateur\Bureau\DiagHelp\FilesInfoCmd.exe c:\Documents and Settings\Utilisateur\Bureau\DiagHelp\find2.exe c:\Documents and Settings\Utilisateur\Bureau\DiagHelp\Fport.exe c:\Documents and Settings\Utilisateur\Bureau\DiagHelp\grep.exe c:\Documents and Settings\Utilisateur\Bureau\DiagHelp\gzip.exe c:\Documents and Settings\Utilisateur\Bureau\DiagHelp\KProcCheck.exe c:\Documents and Settings\Utilisateur\Bureau\DiagHelp\LFiles.exe c:\Documents and Settings\Utilisateur\Bureau\DiagHelp\LISTDLLS.exe c:\Documents and Settings\Utilisateur\Bureau\DiagHelp\md5sums.exe c:\Documents and Settings\Utilisateur\Bureau\DiagHelp\pslist.exe c:\Documents and Settings\Utilisateur\Bureau\DiagHelp\sigcheck.exe c:\Documents and Settings\Utilisateur\Bureau\DiagHelp\streams.exe c:\Documents and Settings\Utilisateur\Bureau\DiagHelp\swreg.exe c:\Documents and Settings\Utilisateur\Bureau\DiagHelp ar.exe c:\Documents and Settings\Utilisateur\Bureau\MSNFix\incl\catchme.exe c:\Documents and Settings\Utilisateur\Bureau\MSNFix\incl\MD5File.exe c:\Documents and Settings\Utilisateur\Bureau\MSNFix\incl\Process.exe c:\Documents and Settings\Utilisateur\Bureau\MSNFix\incl\setpath.exe c:\Documents and Settings\Utilisateur\Bureau\MSNFix\incl\swreg.exe c:\Documents and Settings\Utilisateur\Bureau\MSNFix\incl\zip.exe c:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\404Fix.exe c:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\dumphive.exe c:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\exit.exe c:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\GenericRenosFix.exe c:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\HostsChk.exe c:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\IEDFix.C.exe c:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\IEDFix.exe c:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\Policies.exe c:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\Process.exe c:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\Reboot.exe c:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix estart.exe c:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\SmiUpdate.exe c:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\SrchSTS.exe c:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\swreg.exe c:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\swsc.exe c:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\swxcacls.exe c:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\UIFix.exe c:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\unzip.exe c:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\VACFix.exe c:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\VCCLSID.exe c:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\WS2Fix.exe c:\Documents and Settings\Utilisateur\Bureau\ZR_1.0.0.37\Zeb-Restore.exe c:\Documents and Settings\Utilisateur\Local Settings\Application Data\The_Marmot_Project\TheTurtle_v5.0.exe_Url_rjzjendwsueqkywnx3c4aedliswajfr0 c:\Documents and Settings\Utilisateur\Mes documents\ccsetup206.exe c:\Documents and Settings\Utilisateur\Mes documents\Lavasoft_Adaware_multi.exe c:\Documents and Settings\Utilisateur\Mes documents\MsgPlusLive-460.exe c:\Documents and Settings\Utilisateur\Mes documents\Hugo\Codecs\Satsuki.Decoder.Pack.3.1.0.7.exe c:\Documents and Settings\Utilisateur\Mes documents\Hugo\NRX MS5\ms5.exe c:\Documents and Settings\Utilisateur\Mes documents\Hugo\pour ju\bitdefender_avas_v10_fr.exe c:\Documents and Settings\Utilisateur\Mes documents\Hugo\prog\fraps.exe c:\Documents and Settings\Utilisateur\Mes documents\Hugo\prog\wesnoth-1.2.8-windows.exe c:\Documents and Settings\Utilisateur\Mes documents\Hugo\prog\wmp11-windowsxp-x86-FR-FR.exe c:\Documents and Settings\Utilisateur\Mes documents\Hugo\prog\Snes9x\snes9x.exe c:\Documents and Settings\Utilisateur\Mes documents elechargement\AdbeRdr80_fr_FR.exe c:\Documents and Settings\Utilisateur\Mes documents elechargement\avg_free_stf_en_8_100a1295.exe c:\Documents and Settings\Utilisateur\Mes documents elechargement\avg75free_467a1008.exe c:\Documents and Settings\Utilisateur\Mes documents elechargement\dfxInstall-WMP.exe c:\Documents and Settings\Utilisateur\Mes documents elechargement\DivXInstaller.exe c:\Documents and Settings\Utilisateur\Mes documents elechargement\eMule0.47c-Installer.exe c:\Documents and Settings\Utilisateur\Mes documents elechargement\Install_MSN_Messenger.EXE c:\Documents and Settings\Utilisateur\Mes documents elechargement\IZArc_Setup.exe c:\Documents and Settings\Utilisateur\Mes documents elechargement\LimeWireWin.exe c:\Documents and Settings\Utilisateur\Mes documents elechargement\QuickTimeInstaller.exe c:\Documents and Settings\Utilisateur\Mes documents elechargement\setup_cartoexploreur_316.exe c:\Documents and Settings\Utilisateur\Mes documents elechargement\setup_france_bayo_0013-q0.exe c:\Documents and Settings\Utilisateur\Mes documents elechargement\Setup_FreeConverter.exe c:\Documents and Settings\Utilisateur\Mes documents elechargement\setup_ogcdrv_213b.exe c:\Documents and Settings\Utilisateur\Mes documents elechargement\WindowsXP-KB822603-x86-FRA.exe c:\Documents and Settings\Utilisateur\Mes documents elechargement\XviD-1.1.2-01112006.exe c:\Documents and Settings\Utilisateur\Mes documents elechargement\lavasoft\aawsepersonal.exe c:\Documents and Settings\Utilisateur\Mes documents elechargement\lavasoft\pllangs.exe c:\Documents and Settings\Utilisateur\NeoDivX Suite\NeoChat.exe c:\Documents and Settings\Utilisateur\NeoDivX Suite\NeoDivXSuite.exe c:\Documents and Settings\Utilisateur\NeoDivX Suite\NeoShrink.exe c:\Documents and Settings\Utilisateur\NeoDivX Suite\uninstall.exe c:\Documents and Settings\Utilisateur\NeoDivX Suite\InstallFile\Avisynth_256.exe c:\Documents and Settings\Utilisateur\NeoDivX Suite\InstallFile\Compel WinAspi.exe c:\Documents and Settings\Utilisateur\NeoDivX Suite\InstallFile\ffdshow-20060226.exe c:\Documents and Settings\Utilisateur\NeoDivX Suite\InstallFile\mmswitch.exe c:\Documents and Settings\Utilisateur\NeoDivX Suite\InstallFile\x264-468-install.exe c:\Documents and Settings\Utilisateur\NeoDivX Suite\InstallFile\XviD-1.1.0-30122005.exe c:\Documents and Settings\Utilisateur\NeoDivX Suite\Settings\VirtualDubMod\AuxSetup.exe c:\Documents and Settings\Utilisateur\NeoDivX Suite\Settings\VirtualDubMod\VirtualDubMod.exe c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgabout.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgcfgx.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgcorex.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgcrlpx.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avginet.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avglngx.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avglogx.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgmail.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgmvflx.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgoff2k.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgpp.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgresf.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgrsstx.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgscanx.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgsched.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgse.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgsrmx.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgssie.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgtbapi.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgtoolbar.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avguiadv.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avguires.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgupd.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgvvx.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgwd.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgwdwsc.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\avgxpl.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\libsasl.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\saslcrammd5.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\sasldigestmd5.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\sasllogin.dll c:\Documents and Settings\All Users\Application Data\avg8\update\backup\saslplain.dll c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll c:\Documents and Settings\Utilisateur\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll c:\Documents and Settings\Utilisateur\Application Data\Microsoft\IdentityCRL\Production\ppcrlconfig.dll c:\Documents and Settings\Utilisateur\Application Data\OfficeUpdate12\oudetect.dll c:\Documents and Settings\Utilisateur\Application Data\The Marmot Project\TheTurtle\5.0.0.17\msxwnet32.dll ****** Fin du rapport DiagHelp

sKe69 · Answer

le log à l'aire propre ... Fais ce qui suit dans l'ordre : 


1- Fermes toutes tes applications et déconnectes toi .

Relances Hijackthis mais click sur " Do a scan only " 
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide . 
Tu vas cliquer sur les carrés des lignes suivantes : 

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) 
O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing) 

Tu cliques en bas sur le bouton FIX CHECKED et valides .

=========================================================

2- J'aimerai que l'on arrête le service concernant Boonty Games que tu as sur ton PC .

Pourquoi :
Voici une petite information sur Boonty games ...

Leur politique : 

"Il se peut que nous partageons aussi des informations payantes avec des tiers 
qui fournissent des services payants et partage des données regroupées montrant le type 
et le nombre de jeux vidéos que vous téléchargez, votre âge, votre sexe, vos occupations, 
niveau d'éducation, localité géographique, données sur l'équipement de votre ordinateur, 
internet et intérêts pour les jeux vidéos, activités et entraînement des jeux édités. 
De plus, nous partageons les adresses email avec des tiers fournisseurs de compte mails 
qui nous assistent en envoyant nos mails a de nombreux clients en même temps..." 

Si tu n'y vois aucune objection , libre à toi ... on passe .

sinon pour supprimer ,fais ce qui suit : 

Désactivation de service : 
- Cliques sur Démarrer ---> Exécuter 
- Saisis : Services.msc puis OK 
- Choisis le mode "Etendu" (onglets inférieurs) 
- Grâce à la barre de défilement (à droite) recherches le service suivant: 

Code: 
" Boonty Games " 

- Quand le service est trouvé, pointes dessus, double-clique (bouton gauche). 
- Dans la fenêtre suivante qui apparaît, sous l'onglet Général cliques sur le bouton Arrêter, 
puis déroules le Type de Démarrage pour le modifier en "Désactivé" 
- Cliques sur "Appliquer" puis OK 

Tuto si besoin : https://www.zebulon.fr/dossiers/windows/31-services.html 

Ensuite rends toi su ton PC ici : "C:\Program Files\Common Files\BOONTY " <---supprimes ce dossier ( et tout son contenu ...)
Faits de même, si ils sont présents :
C:\Program Files\Fichiers communs\BOONTY Shared
C:\Program Files\Boonty
C:\Program Files\BoontyGames
C:\Documents and settings\Allusers\Application data\BOONTY 
C:\Boonty 


=========================================================

3- Mets à jours ce qui suit, c'est important ( des version pas à jours = failles de sécurité ) :
* pour la console Java :
aller sur : Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > "Mettre à jour maintenant" > cocher la case "Automatiser la détection des mises à jour".

* Adobe Reader :
télécharges et installes la dernière version ici (tu as la 7 et on en est à la 9 ) :
https://get2.adobe.com/reader/otherversions/ 

============================================================

4- Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau. 
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le . 
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long). 
*Cliques sur Suppression pour finaliser. 
*Tu peux, si tu le souhaites, te servir des Options facultatives 
*Click sur "quitter" pour générer un rapport :
---> Postes le (TCleaner.txt), il se trouve à la racine de ton disque dur (C:\). 

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) . 
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolsclaener2 n'a pas supprimé . 

Puis enfin supprimes Toolscleaner2 ... ( gardes CCleaner et Malwarebytes : très utile )

============================================================

5- Supprimes tout ce qu'il peux avoir dans la quarantaine de Malwarebytes ( via celle-ci bien sûr )

============================================================

6- Refais un coup de CCleaner ( registre compris )

============================================================

7- Restauration système 
*Désactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC 
*Réactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC

============================================================

Et pour finir :

8- Fais un scan antivirus en ligne, avec Internet Explorer et accepter l'ActiveX :
https://www.bitdefender.fr/ 
(pour le rapport ,qui est un doc IE , clik sur l'onglet "plus de détailles" : et à la fin du scan tu demandes à le sauvegarder sur ton bureau) 

--->fais un copier/coller et postes le rapport dans ta prochaine réponse ... 

Aide : En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE 
Dans la nouvelle fenêtre, clique sur j’accepte .
La fenêtre change encore, clique sur scanner .
Les signatures se chargent, etc ...

Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation) 
Et ici : http://www.commentcamarche.net/faq/sujet 8872 scanner en ligne avec bitdefender 

=====================================================

---> j'attends donc les différents rapports demandés ....

esfloria · Answer

arf je vais aller dormir je dors devant l'ordi demain je te post tout sa ... Bit defender va prendre 1h24 a tout analyser alors :(
en tout cas merci pour tout :D sa fait du bien d'avoir un bon ordi ^^

esfloria · Answer

Log Bitdefender :

BitDefender Online Scanner
	
Rapport d'analyse généré à: Wed, Jul 23, 2008 - 03:01:09

Voie d'analyse: A:\;C:\;D:\;
	
Statistiques

Temps
	

00:29:08

Fichiers
	

87677

Directoires
	

9066

Secteurs de boot
	

2

Archives
	

1495

Paquets programmes
	

7533
	
Résultats

Virus identifiés
	

1

Fichiers infectés
	

2

Fichiers suspects
	

0

Avertissements
	

0

Désinfectés
	

0

Fichiers effacés
	

2
	

 
Info sur les moteurs

Définition virus
	

1383074

Version des moteurs
	

AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
	

16

Archive des plugins
	

43

Unpack des plugins
	

7

E-mail plugins
	

6

Système plugins
	

5
	

 
	

 

Paramètres d'analyse

Première action
	

Désinfecté

Seconde Action
	

Supprimé

Heuristique
	

Oui

Acceptez les avertissements
	

Oui

Extensions analysées
	

exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions
	

 

Analyse d'emails
	

Oui

Analyse des Archives
	

Oui

Analyser paquets programmes
	

Oui

Analyse des fichiers
	

Oui

Analyse de boot
	

Oui
	

 
	 

Fichier analysé
	

 Statut

C:\Program Files\TheTurtle\TheTurtle.exe
	

Infecté par: Trojan.Generic.177970

C:\Program Files\TheTurtle\TheTurtle.exe
	

Supprimé

C:\System Volume Information\_restore{D2B78981-0133-4A5C-9134-1B9F0ECA5E39}\RP1\A0000074.exe
	

Infecté par: Trojan.Generic.177970

C:\System Volume Information\_restore{D2B78981-0133-4A5C-9134-1B9F0ECA5E39}\RP1\A0000074.exe
	

Supprimé
	

 Log TCleaner

-->- Recherche: 

C:\SmitFraudFix.exe: trouvé !
C:\SmitFraudfix: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\VirtumundoBeGone.exe: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\OtMoveIt2.exe: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\Navilog1.exe: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\DiagHelp: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\MsnFix: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\SmitFraudfix: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !

---------------------------------
-->- Suppression: 

C:\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Utilisateur\Bureau\VirtumundoBeGone.exe: supprimé !
C:\Documents and Settings\Utilisateur\Bureau\OtMoveIt2.exe: supprimé !
C:\Documents and Settings\Utilisateur\Bureau\Navilog1.exe: supprimé !
C:\Documents and Settings\Utilisateur\Bureau\ComboFix.exe: supprimé !
C:\SmitFraudfix: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Utilisateur\Bureau\DiagHelp: supprimé !
C:\Documents and Settings\Utilisateur\Bureau\MsnFix: supprimé !
C:\Documents and Settings\Utilisateur\Bureau\SmitFraudfix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !


 
	Voila

sKe69 · Answer

Salut .
Très bien ...

Retélécharges Hijackthis ( car effacer par ToolsCleaner2 ) :

Télécharges et installes le logiciel HijackThis : 
 
ici :ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici : http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

1-Cliquer sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin tu dois avoir un raccouci sur ton bureau et aussi un cheminement comme : "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe " .

Important :
Renommer le prg HijackThis : 
Rends toi sur ton PC ici "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe"<---cliques droit sur ce dernier et choisis "renommer" : tapes monjack et valides .

tuto pour utilisation 
Regardes ici, c'est parfaitement expliqué en images :
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 

2-!!Déconnectes toi et fermes toute tes applications en cours !!

Cliques sur le raccourci du bureau pour lancer le prg :
fais un scan "monjack" (ou HijackThis renommé) en cliquant sur : "Do a system scan and save a logfile" 

---> Postes le rapport généré pour contrôler  ...

esfloria · Answer

Yosh voila le Log de HiJack


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:21:55, on 23/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\acs.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Marmot Project\TheTurtle v5.0.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [getPlusUninstall] "C:\Program Files\NOS\bin\getPlus_HelperSvc.exe" /UninstallGet1
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [The Turtle] C:\Program Files\Marmot Project\TheTurtle v5.0.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

sKe69 · Answer

Bien ... 

on va vérifier quelque chose ...

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche : 
C:\Program Files\Marmot Project\TheTurtle v5.0.exe 

Cliques sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copies le dans ta prochaine réponse et attends la suite ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

esfloria · Answer

Euh .... dit moi il y a quoi de bizarre dans the Turtle ??? enfin tu veux verifier quoi ??

voila le resultat : 

AhnLab-V3 2008.7.23.0 2008.07.22 - 
AntiVir 7.8.1.11 2008.07.23 - 
Authentium 5.1.0.4 2008.07.23 - 
Avast 4.8.1195.0 2008.07.22 - 
AVG 8.0.0.130 2008.07.23 - 
BitDefender 7.2 2008.07.23 - 
CAT-QuickHeal 9.50 2008.07.22 - 
ClamAV 0.93.1 2008.07.23 - 
DrWeb 4.44.0.09170 2008.07.23 - 
eSafe 7.0.17.0 2008.07.22 - 
eTrust-Vet 31.6.5975 2008.07.22 - 
Ewido 4.0 2008.07.22 - 
F-Prot 4.4.4.56 2008.07.22 - 
F-Secure 7.60.13501.0 2008.07.23 - 
Fortinet 3.14.0.0 2008.07.23 - 
GData 2.0.7306.1023 2008.07.23 - 
Ikarus T3.1.1.34.0 2008.07.23 - 
Kaspersky 7.0.0.125 2008.07.23 - 
McAfee 5344 2008.07.22 - 
Microsoft 1.3704 2008.07.23 - 
NOD32v2 3290 2008.07.23 - 
Norman 5.80.02 2008.07.22 - 
Panda 9.0.0.4 2008.07.23 - 
PCTools 4.4.2.0 2008.07.22 - 
Prevx1 V2 2008.07.23 - 
Rising 20.54.22.00 2008.07.23 - 
Sophos 4.31.0 2008.07.23 - 
Sunbelt 3.1.1536.1 2008.07.18 - 
Symantec 10 2008.07.23 - 
TheHacker 6.2.96.387 2008.07.23 - 
TrendMicro 8.700.0.1004 2008.07.23 - 
VBA32 3.12.8.1 2008.07.22 - 
VIRobot 2008.7.23.1307 2008.07.23 - 
VirusBuster 4.5.11.0 2008.07.22 - 
Webwasher-Gateway 6.6.2 2008.07.23 - 
Information additionnelle 
File size: 724992 bytes 
MD5...: a3efd74c9996df1fa7ffbca301b1e43b 
SHA1..: f182a3f43d85934a067720009581e2524331e317 
SHA256: 174a81c0f265e17c51b242b7f347ca590b324a4e60613040150a16831065433b 
SHA512: 06a7cbed5489dd6d30f6b20cd6777fd710050bb7c8f6d0609801273141a45052
c6ed6f14f75275d1f3fd5c352267ffba956dc5597001d9e67eef07f04fd1dc3a 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x49898e
timedatestamp.....: 0x48562289 (Mon Jun 16 08:21:29 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2000 0x96994 0x97000 5.58 57d871272f9e4c5e48eef71a949e9f94
.sdata 0x9a000 0xaf 0x1000 0.44 78baad9b1c37f0b0caff52c531f29d45
.rsrc 0x9c000 0x165e0 0x17000 5.64 6e457607cfb68840e6638bbd6ee0fbd8
.reloc 0xb4000 0xc 0x1000 0.02 479116bf1370068e463fab64b9fc17c2

( 1 imports ) 
> mscoree.dll: _CorExeMain

( 0 exports )

sKe69 · Answer

C:\Program Files\Marmot Project\TheTurtle v5.0.exe 

--> OK ... mais pour Bitedender :

Statut 

C:\Program Files\TheTurtle\TheTurtle.exe 

Infecté par: Trojan.Generic.177970 

C:\Program Files\TheTurtle\TheTurtle.exe 

Supprimé 

Voilà pourquoi je vérifie ^^

--> dis moi maitenant comment va le PC , savoir si on peut finalisé ... encore des soucis ?

esfloria · Answer

En surface le PC a l'air bien, on a recupéré ce qui avait disparu (icone, gestionnaire, menu démarrer)
Apres on attendait tes conclusions  pour la partie un peu plus subtile.

sKe69 · Answer

Apres on attendait tes conclusions pour la partie un peu plus subtile.
--> mes conclusions sont les suivantes , on s'en est bien tiré vu dans l'état qu'il était au dépard  =)

Si tout est Ok , on va proccéder à un petit checkup :

( étape 1 à faire de suite ! et le reste dès que tu peux mais ne tardes pas trop ;) ) 

1-Restauration système 
*Désactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC 
*Réactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC 

( ce qui suit peut-être long, mais fort conseillé ...)
 
2-Nettoyage et Défragmentation de tes Disques 
*Nettoyage : 
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" 
Cliques sur le bouton "nettoyage de disque", OK 
tu le fais pour chacun de tes disques 

*Vérifications des erreurs : 
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" 
"Vérifier maintenant", une boîte s'ouvre, cocher les cases : 
-réparer automatiquement les erreurs... 
-rechercher et tenter une récupération... 
--->Démarrer, ok 
Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal 
tu le fais pour chacun de tes disques 

ensuite toujours dans le même onglet tu choisis : 
*Défragmentation : 
"défragmenter maintenant", OK 
une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK 
tu le fais pour chacun de tes disques 

une fois cela terminer , dis moi comment cela c'est passé ...

A tout'

Deimon · Answer

Salut sKe69 ! c'est pour te dire que tout c'est bien passer mais la defragmentation n'a presque rien fait du faite que j'en est fait une il y a pas trop longtemps ! Je voullais savoir ... on fait quoi maintenant ?
J'ai aussi lancer un AVG 8.0 pour voir un peu .... et il ma detecté 10 cookie jusqu'a maintenant ^^,

sKe69 · Answer

il ma detecté 10 cookie jusqu'a maintenant  --> rein de méchant , tu supprimes ... une fois celui-ci finis ,dis moi ce qu'il a dénicher pour contrôler ...

mais normalement tout est bon maintenant  ;)

Deimon · Answer

euh dit moi il va me proposer un log ou je dois les reecrire a la main ? xD

Deimon · Answer

"C:\Documents and Settings\Utilisateur\Cookies\utilisateur@advertising[1].txt";"Found Tracking cookie.Advertising";"Potentially dangerous object"
"C:\Documents and Settings\Utilisateur\Cookies\utilisateur@advertising[1].txt:\advertising.com.203aa218";"Found Tracking cookie.Advertising";"Potentially
"C:\Documents and Settings\Utilisateur\Cookies\utilisateur@advertising[1].txt:\advertising.com.b624fa46";"Found Tracking cookie.Advertising";"Potentially
"C:\Documents and Settings\Utilisateur\Cookies\utilisateur@advertising[1].txt:\advertising.com.f62113d5";"Found Tracking cookie.Advertising";"Potentially
C:\Documents and Settings\Utilisateur\Cookies\utilisateur@doubleclick[1].txt";"Found Tracking cookie.Doubleclick";"Potentially dangerous object"
"C:\Documents and Settings\Utilisateur\Cookies\utilisateur@doubleclick[1].txt:\doubleclick.net.bf396750";"Found Tracking cookie.Doubleclick";"Potentially
C:\Documents and Settings\Utilisateur\Cookies\utilisateur@mediaplex[1].txt";"Found Tracking cookie.Mediaplex";"Potentially dangerous object
"C:\Documents and Settings\Utilisateur\Cookies\utilisateur@mediaplex[1].txt:\mediaplex.com.f652b123";"Found Tracking cookie.Mediaplex";"Potentially dange
"C:\Documents and Settings\Utilisateur\Cookies\utilisateur@weborama[1].txt";"Found Tracking cookie.Weborama";"Potentially dangerous object"
C:\Documents and Settings\Utilisateur\Cookies\utilisateur@weborama[1].txt:\weborama.fr.30104bcb";"Found Tracking cookie.Weborama";"Potentially dangerous

Désolé c'est tout se que j'ai pu faire :/

Deimon · Answer

oki oki merciiiiiii !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! je vais etudier un peu plus les liens que tu m'as donné et si tu as des conseil essite pas a me les dire je suis tout ouie ^^
Merci beaucoup de m'avoir aider en tout cas ^^ 
A++

Deimon · Answer

Esfloria peux tu mettre stp le sujet resolu :p Merciii