virus, ordi bloqué Résolu

Question

Bonjour à tous,


Mon ordi est donc infecté par un virus mais je ne sais pas lequel. Voici l'historique, ce matin je démarre mon ordi et je me retrouve avec un tas de fenêres ouvertes sans que j'ai rien demandé : des icones se trouvent également sur mon bureau sans que je les ai installées. Un logiciel s'ouvre régulièrement : smart antivirus 2009.
De plus, je ne puis plus accéder à mon disque dur, je ne peux pas non plus accéder à mon panneau de configuration ou au reste.

J'ai un antivirus Avast qui a fait un scan puis qui m'a recommandé de faire un scan au démarrage, ce que j'ai fait. Résultat : 105 fichiers infectés, mais même après le scan, les fenêtres s'ouvrent encore. Avast continue de me trouver des virus comme ceux-ci : win32: pure Morph, Win32 : trojan-gen,virus qu'il est censé avoir déjà viré lors du scan au démarrage.

J'ai toutefois accès au net.

J'ai fait capture d'écran afin de vous montrer ce qui se passe :

https://imageshack.com/

https://imageshack.com/

J'espère vous avoir fournit les informations nécessaires.
Merci pour votre aide.

Cécile

sKe69 · Answer

Salut,

Infecté par un rogue ...

fais ceci pour commencer :

Télécharges et installes le logiciel HijackThis : 

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe 
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " . 

tuto pour utilisation :
Regardes ici, c'est parfaitement expliqué en images (merci balltrap34), 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 
( Ne fixes encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

2- !! Déconnectes toi et fermes toute tes applications en cours !! 

Cliques sur le raccourci du bureau pour lancer le prg : 
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile" 

---> Postes le rapport généré pour analyse ...

Beloune · Answer

Voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:22: VIRUS ALERT!, on 05/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\spoolsv.exe
C:\Documents and Settings\All Users\Application Datasnqrwdm\zqnojsnm.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINNT\system32undll32.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Smart Antivirus 2009\Smart Antivirus-2009.exe
C:\WINNT\system32\upkhsrib.exe
C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINNT\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: dkwqgnbe - {DC51F59F-D0BA-4CE7-8CDB-15ABF290546E} - C:\WINNT\dkwqgnbe.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [dc4da433] rundll32.exe "C:\WINNT\system32\mwulepif.dll",b
O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MessengerSkinner\MessengerSkinner.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [] C:\Documents and Settings\Administrateur\Application Data\Adobe\Player.exe
O4 - HKCU\..\Run: [Smart Antivirus-2009.exe] C:\Program Files\Smart Antivirus 2009\Smart Antivirus-2009.exe
O4 - HKCU\..\Run: [SysWebMsg] C:\WINNT\system32\upkhsrib.exe
O4 - HKLM\..\Policies\Explorer\Run: [qH4S9e3UFL] C:\Documents and Settings\All Users\Application Datasnqrwdm\zqnojsnm.exe
O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Betway Casino - {3063c161-2f7e-4225-ba73-08bc8f64c67e} - C:\Program Files\Betway\Casino\casinogame.exe
O9 - Extra button: Betway.com Poker - {4CBB5C71-1BA0-49ca-93CD-159AF8AA0CC9} - C:\Program Files\Betway\Poker\MPPoker.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O21 - SSODL: neksolda - {999898C0-95CB-4542-AB4B-2B4CD92168A3} - C:\WINNT
eksolda.dll
O21 - SSODL: xgpsarbm - {D4F5E21E-AF52-4EB8-B5BD-FEDA03A32AAC} - C:\WINNT\xgpsarbm.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe (file missing)
O23 - Service: Windows Tune service - Unknown owner - C:\WINNT	une.exe (file missing)

sKe69 · Answer

Plusieurs infections ...


1- Important :
Renommer le prg HijackThis (pour contrer l'infection Vundo): 
Rends toi sur ton PC ici "C:\ program files\Trend Micro\HijackThis\HijackThis.exe"<---cliques droit sur ce dernier et choisis "renommer" : tapes monjack et valides .
Puis cliques droit sur "monjack.exe" et choisis "envoyer vers" -> le bureau ( créer un raccourci ).

-!! Déconnectes toi et fermes toute tes applications en cours !!

Cliques sur le raccourci du bureau pour lancer le prg :
fais un scan "monjack" (ou HijackThis renommé) en cliquant sur : "Do a system scan and save a logfile" 

---> Postes le nouveau rapport généré pour analyse ...


Une fois cela fais , enchaine par ceci :

2- Télécharges SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Installes le soft sur ton bureau ( et pas ailleurs! ) .

!! Déconnectes toi, fermes toute tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!


Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
 
Utilisation ---> option 1 / Recherche : 
Double cliques sur l'icône "Smitfraudfix.exe" et sélectionnes 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.
 
Postes le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...

(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

Beloune · Answer

Voici le second rapport de hitjack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:38: VIRUS ALERT!, on 05/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\spoolsv.exe
C:\Documents and Settings\All Users\Application Datasnqrwdm\zqnojsnm.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINNT\system32undll32.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Smart Antivirus 2009\Smart Antivirus-2009.exe
C:\WINNT\system32\upkhsrib.exe
C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINNT\explorer.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5142FE17-20E6-4121-A925-A4C6385CDDAA} - (no file)
O2 - BHO: (no name) - {674855C3-B0B1-4413-9BB4-BFA6A9B5257B} - C:\WINNT\system32	uvsqpOf.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A6535458-7653-4220-BB9B-F08472D79F4F} - C:\WINNT\system32\xxywXOFV.dll
O3 - Toolbar: dkwqgnbe - {DC51F59F-D0BA-4CE7-8CDB-15ABF290546E} - C:\WINNT\dkwqgnbe.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [dc4da433] rundll32.exe "C:\WINNT\system32\mwulepif.dll",b
O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MessengerSkinner\MessengerSkinner.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [] C:\Documents and Settings\Administrateur\Application Data\Adobe\Player.exe
O4 - HKCU\..\Run: [Smart Antivirus-2009.exe] C:\Program Files\Smart Antivirus 2009\Smart Antivirus-2009.exe
O4 - HKCU\..\Run: [SysWebMsg] C:\WINNT\system32\upkhsrib.exe
O4 - HKLM\..\Policies\Explorer\Run: [qH4S9e3UFL] C:\Documents and Settings\All Users\Application Datasnqrwdm\zqnojsnm.exe
O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Betway Casino - {3063c161-2f7e-4225-ba73-08bc8f64c67e} - C:\Program Files\Betway\Casino\casinogame.exe
O9 - Extra button: Betway.com Poker - {4CBB5C71-1BA0-49ca-93CD-159AF8AA0CC9} - C:\Program Files\Betway\Poker\MPPoker.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - Winlogon Notify: tuvsqpOf - C:\WINNT\SYSTEM32	uvsqpOf.dll
O21 - SSODL: neksolda - {999898C0-95CB-4542-AB4B-2B4CD92168A3} - C:\WINNT
eksolda.dll
O21 - SSODL: xgpsarbm - {D4F5E21E-AF52-4EB8-B5BD-FEDA03A32AAC} - C:\WINNT\xgpsarbm.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe (file missing)
O23 - Service: Windows Tune service - Unknown owner - C:\WINNT	une.exe (file missing)

Beloune · Answer

Désolée pour la lenteur, ma barre des tâches était complètement bloquée, j'arrivais plus à avoir Firefox.

Cécile.

Beloune · Answer

Je me permet de faire remonter le sujet, si jamais quelqu'un peut me dire ce que je dois faire maintenant cela m'aiderait beaucoup.

Merci à tous.

Cécile

Beloune · Answer

Bonjour,


Est ce que quelqu'un pourrait prendre la relève de celui qui a commencé à m'aider s'il vous plait ? Qu'est ce que je dois faire maintenant, j'ai copier coller les deux rapports demandés. 

Je sais que vous êtes tous très occupés et sollicités mais cela m'aiderait vraiment, je ne peux plus rien faire sur mon ordi.

Merci beaucoup

Cécile.

Beloune · Answer

Je fais à nouveau remonter le sujet, j'ai vraiment besoin d'aide s'il vous plait, comme beaucoup je sais bien.

merci

Cécile

sKe69 · Answer

Re,

de retour ... ^^"

Suite de la manipe ( nettoyage ), fais exactement ce qui suit : 

Impératif : Démarrer en mode sans echec .

 /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ). 
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...
 
* Double-cliques sur SmitfraudFix.exe 

* Sélectionnes 2 et presses "Entrée" dans le menu pour supprimer les fichiers responsables de l'infection. 

--> Si besion :

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et presser Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection. 

( Le correctif déterminera si le fichier wininet.dll est infecté.)
 
* A la question: "Corriger le fichier infecté ?" répondre O (oui) et presser Entrée 
pour remplacer le fichier corrompu. 

* Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage ( sinon fais le manuellement ) 

Le rapport se trouve à la racine de C\: 
(dans le fichier "rapport.txt") 

Postes moi ce dernier rapport accompagné, dans la même réponse, d'un nouveau rapport 
hijackthis ( fais en mode normal ) et attends les instructions ...

Beloune · Answer

Merci, je fais ce que tu demandes de suite :-)

Beloune · Answer

Bon et bien après des essais sous F8 infructueux, j'ai tenté avec F5.

Mais on ne me demande pas quel compte je souhaite utiliser. Je ne pense pas d'ailleurs avoir créée un compte en plus de celui de l'administrateur... 
J'arrive bien au mode sans échec, j'arrive à lancer SmitFraudeFix.exe, mais ensuite tout est bloqué, le clavier ainsi que la souris. J'ai beau appuyer sur une touche comme il me le demande, cela ne fait rien.....

Qu'est ce que je fais pour remédier à cela du coup ?

Cécile

Beloune · Answer

Voici le rapport de Smit :

SmitFraudFix v2.356

Rapport fait à 17:58:26,81, 05/10/2008
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINNT\dkwqgnbe.dll deleted.
C:\WINNT
eksolda.dll deleted.


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINNT\fkebanrw.exe supprimé
C:\WINNT\xgpsarbm.dll supprimé
Deleting [HKEY_CLASSES_ROOT\CLSID\{D4F5E21E-AF52-4EB8-B5BD-FEDA03A32AAC}]
C:\Documents and Settings\Administrateur\Application Data\Microsoft\Internet Explorer\Quick Launch\Smart Antivirus-2009.lnk supprimé
C:\DOCUME~1\ADMINI~1\MENUDM~1\PROGRA~1\Smart Antivirus 2009 supprimé
C:\DOCUME~1\ADMINI~1\Bureau\Smart Antivirus-2009.lnk supprimé
C:\Program Files\akl\ supprimé
C:\Program Files\Smart Antivirus 2009\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2AE1BF48-DDB5-4B24-8FEE-2C524F9B207D}: DhcpNameServer=20.0.0.3
HKLM\SYSTEM\CCS\Services\Tcpip\..\{69ACFCD1-8985-4E52-9363-C60C4CED0BBA}: DhcpNameServer=20.0.0.3
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7D09135E-3814-4F7C-836D-438477635CD6}: DhcpNameServer=20.0.0.3
HKLM\SYSTEM\CCS\Services\Tcpip\..\{90849460-D80F-4747-9B44-9B9CEBF161D9}: DhcpNameServer=20.0.0.3
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2AE1BF48-DDB5-4B24-8FEE-2C524F9B207D}: DhcpNameServer=20.0.0.3
HKLM\SYSTEM\CS1\Services\Tcpip\..\{69ACFCD1-8985-4E52-9363-C60C4CED0BBA}: DhcpNameServer=20.0.0.3
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7D09135E-3814-4F7C-836D-438477635CD6}: DhcpNameServer=20.0.0.3
HKLM\SYSTEM\CS1\Services\Tcpip\..\{90849460-D80F-4747-9B44-9B9CEBF161D9}: DhcpNameServer=20.0.0.3
HKLM\SYSTEM\CS2\Services\Tcpip\..\{2AE1BF48-DDB5-4B24-8FEE-2C524F9B207D}: DhcpNameServer=20.0.0.3
HKLM\SYSTEM\CS2\Services\Tcpip\..\{62331D40-8737-4D9F-84F9-457156E60088}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{69ACFCD1-8985-4E52-9363-C60C4CED0BBA}: DhcpNameServer=20.0.0.3
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7D09135E-3814-4F7C-836D-438477635CD6}: DhcpNameServer=20.0.0.3
HKLM\SYSTEM\CS2\Services\Tcpip\..\{90849460-D80F-4747-9B44-9B9CEBF161D9}: DhcpNameServer=20.0.0.3
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2AE1BF48-DDB5-4B24-8FEE-2C524F9B207D}: DhcpNameServer=20.0.0.3
HKLM\SYSTEM\CS3\Services\Tcpip\..\{69ACFCD1-8985-4E52-9363-C60C4CED0BBA}: DhcpNameServer=20.0.0.3
HKLM\SYSTEM\CS3\Services\Tcpip\..\{7D09135E-3814-4F7C-836D-438477635CD6}: DhcpNameServer=20.0.0.3
HKLM\SYSTEM\CS3\Services\Tcpip\..\{90849460-D80F-4747-9B44-9B9CEBF161D9}: DhcpNameServer=20.0.0.3
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



Et le rapport de Hitjack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:03:56, on 05/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINNT\system32undll32.exe
C:\WINNT\system32\ctfmon.exe
C:\Documents and Settings\Administrateur\Application Data\Adobe\Player.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINNT\explorer.exe
C:\WINNT
otepad.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1675B072-6A01-4E8C-8996-82C37800B7FD} - C:\WINNT\system32\xxywXOFV.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5142FE17-20E6-4121-A925-A4C6385CDDAA} - (no file)
O2 - BHO: (no name) - {674855C3-B0B1-4413-9BB4-BFA6A9B5257B} - C:\WINNT\system32	uvsqpOf.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [dc4da433] rundll32.exe "C:\WINNT\system32\ftmcipjc.dll",b
O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MessengerSkinner\MessengerSkinner.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [] C:\Documents and Settings\Administrateur\Application Data\Adobe\Player.exe
O4 - HKCU\..\Run: [SysWebMsg] C:\WINNT\system32\upkhsrib.exe
O4 - HKLM\..\Policies\Explorer\Run: [qH4S9e3UFL] C:\Documents and Settings\All Users\Application Datasnqrwdm\zqnojsnm.exe
O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Betway Casino - {3063c161-2f7e-4225-ba73-08bc8f64c67e} - C:\Program Files\Betway\Casino\casinogame.exe
O9 - Extra button: Betway.com Poker - {4CBB5C71-1BA0-49ca-93CD-159AF8AA0CC9} - C:\Program Files\Betway\Poker\MPPoker.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - Winlogon Notify: tuvsqpOf - C:\WINNT\SYSTEM32	uvsqpOf.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe (file missing)
O23 - Service: Windows Tune service - Unknown owner - C:\WINNT	une.exe (file missing)

sKe69 · Answer

bien ... on continue car il y a du boulot ... ^^


1- Télécharges : - CCleaner 
https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ). 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage 
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


2-Vas dans panneau de config/ajout et suppression de prg . 
Regardes dans la liste si tu trouves un prg comme : " CID Help ", "Circle Developement" ou 
"Adverts" --->si ils s'y trouvent , supprimes les .


3-Télécharges Lop S&D :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2

Déconnetes toi et fermes toutes tes applications en cours .

Double cliques sur sur l'.exe que tu viens de télécharger pour lancer l'installe .

Une fois l'installation faite, cliques sur le raccourci pour lancer l'outil .  

Là,laisses toi guider: 
--->choisis l'option 1 (recherche) et valides.

(Tu ne fais pas l'option de nettoyage ( 2 ou 3) ).
 
Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
Postes ce rapport dans ta prochaine réponse pour analyse .

Tuto : https://sites.google.com/site/eric71mespages/lop.sd.exe

Beloune · Answer

Avant de coller le rapport, peux tu me dire de ce que je dois faire des raccourcis qui se trouvent sur mon bureau des applications suivantes : Malware defender, Protect your privacy et System error fixer ( Prog que je n'ai pas installés). Je précise aussi mais je pense que tu le sais déjà que mon fond d'écran est tout bleu comme un schtrourmpf :-). Voici le rapport : --------------------\ Lop S&D 4.2.4-5 XP/Vista Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2 X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.00GHz ) BIOS : Default System BIOS USER : Administrateur ( Administrator ) BOOT : Normal boot Antivirus : avast! antivirus 4.8.1201 [VPS 081004-0] 4.8.1201 (Not Activated) A:\ (USB) C:\ (Local Disk) - NTFS - Total : 38 Go Free : 9 Go D:\ (CD or DVD) E:\ (CD or DVD) - CDFS - Total : 0 Go Free : 0 Go "C:\Lop SD" ( MAJ : 02-10-2008|23:42 ) Option : [1] ( 05/10/2008|19:27 ) --------------------\ Listing des dossiers dans APPLIC~1 [04/10/2008|23:02] C:\DOCUME~1\ADMINI~1\APPLIC~1\Adobe [28/11/2007|20:22] C:\DOCUME~1\ADMINI~1\APPLIC~1\AdobeUM [19/06/2007|12:53] C:\DOCUME~1\ADMINI~1\APPLIC~1\Apple Computer [28/01/2007|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\Azureus [02/09/2008|21:18] C:\DOCUME~1\ADMINI~1\APPLIC~1\dvdcss [12/09/2007|14:03] C:\DOCUME~1\ADMINI~1\APPLIC~1\Groove Games [27/03/2008|20:07] C:\DOCUME~1\ADMINI~1\APPLIC~1\gtk-2.0 [02/02/2007|16:42] C:\DOCUME~1\ADMINI~1\APPLIC~1\Help [28/01/2007|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\Identities [19/06/2007|09:08] C:\DOCUME~1\ADMINI~1\APPLIC~1\LG Electronics [16/06/2008|20:32] C:\DOCUME~1\ADMINI~1\APPLIC~1\Macromedia [08/07/2007|16:27] C:\DOCUME~1\ADMINI~1\APPLIC~1\MessengerSkinner [18/06/2008|14:07] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microgaming [15/06/2008|14:48] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft [27/08/2008|12:44] C:\DOCUME~1\ADMINI~1\APPLIC~1\Mozilla [06/07/2007|18:55] C:\DOCUME~1\ADMINI~1\APPLIC~1\Notepad++ [05/02/2007|21:12] C:\DOCUME~1\ADMINI~1\APPLIC~1\Nvu [13/02/2007|17:24] C:\DOCUME~1\ADMINI~1\APPLIC~1\Odyssee_Sib [06/02/2007|09:55] C:\DOCUME~1\ADMINI~1\APPLIC~1\OpenOffice.org2 [28/01/2007|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\Opera [07/07/2008|21:11] C:\DOCUME~1\ADMINI~1\APPLIC~1\PacificPoker4 [11/03/2008|21:33] C:\DOCUME~1\ADMINI~1\APPLIC~1\Real [23/02/2007|23:21] C:\DOCUME~1\ADMINI~1\APPLIC~1\SecondLife [28/01/2007|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\Sun [11/06/2007|14:20] C:\DOCUME~1\ADMINI~1\APPLIC~1\TaoUSign [05/10/2008|11:56] C:\DOCUME~1\ADMINI~1\APPLIC~1\TmpRecentIcons [28/01/2007|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\TuneUp Software [04/10/2008|00:45] C:\DOCUME~1\ADMINI~1\APPLIC~1\uTorrent [28/01/2007|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\Visicom Media [31/07/2007|23:11] C:\DOCUME~1\ADMINI~1\APPLIC~1\vlc [03/06/2007|20:00] C:\DOCUME~1\ADMINI~1\APPLIC~1\X-Chat 2 [17/11/2006|10:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe [02/05/2007|22:48] C:\DOCUME~1\ALLUSE~1\APPLIC~1\AOL Downloads [13/05/2008|15:16] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple [15/06/2007|17:44] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer [11/07/2007|09:11] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Grisoft [11/07/2008|20:40] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MailFrontier [19/11/2007|20:37] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft [06/02/2007|11:05] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MSScanAppDataDir [02/02/2007|19:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\QuickTime [05/10/2008|17:38] C:\DOCUME~1\ALLUSE~1\APPLIC~1 snqrwdm [15/05/2008|17:17] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sandlot Games [16/05/2008|00:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP [30/01/2007|10:04] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TuneUp Software [31/01/2008|12:32] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage [06/07/2007|12:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WindowsLiveInstaller [19/11/2007|20:17] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller [06/07/2007|12:50] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft [28/01/2007|11:14] C:\DOCUME~1\FABIAN~1\APPLIC~1\Microsoft [20/07/2004|11:59] C:\DOCUME~1\GX2601\APPLIC~1\Identities [27/01/2007|14:28] C:\DOCUME~1\GX2601\APPLIC~1\Macromedia [27/01/2007|14:50] C:\DOCUME~1\GX2601\APPLIC~1\Microsoft [27/01/2007|14:27] C:\DOCUME~1\GX2601\APPLIC~1\Mozilla [27/01/2007|14:47] C:\DOCUME~1\GX2601\APPLIC~1\OpenOffice.org2 [27/01/2007|11:58] C:\DOCUME~1\GX2601\APPLIC~1\TuneUp Software [11/06/2007|10:16] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft [20/11/2007|10:39] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft --------------------\ Tâches planifiées dans C:\WINNT asks [02/10/2008 10:51][--a------] C:\WINNT asks\AppleSoftwareUpdate.job [03/10/2008 17:15][--a------] C:\WINNT asks\Maintenance en 1 clic.job [05/10/2008 17:45][--ah-----] C:\WINNT asks\SA.DAT [21/08/2002 22:47][-r-h-c---] C:\WINNT asks\desktop.ini --------------------\ Listing des dossiers dans C:\Program Files [20/07/2004|11:52] C:\Program Files\Accessoires [12/09/2007|14:07] C:\Program Files\Activision [17/11/2006|10:49] C:\Program Files\Adobe [24/01/2007|18:27] C:\Program Files\Alwil Software [20/07/2004|15:57] C:\Program Files\Analog Devices [14/05/2008|09:39] C:\Program Files\Apple Software Update [24/01/2007|17:28] C:\Program Files\ATI Technologies [17/06/2008|13:01] C:\Program Files\Betway [13/05/2008|15:21] C:\Program Files\Bonjour [25/03/2008|19:56] C:\Program Files\Bullfrog [05/10/2008|19:18] C:\Program Files\CCleaner [03/06/2008|09:13] C:\Program Files\Codemasters [20/07/2004|16:19] C:\Program Files\Common Files [20/07/2004|11:53] C:\Program Files\ComPlus Applications [17/11/2007|08:45] C:\Program Files\Corel [21/09/2007|07:21] C:\Program Files\CyberLink [26/03/2008|02:14] C:\Program Files\DAEMON Tools [12/05/2007|16:00] C:\Program Files\DaemonTools_WhenUSave_Installer [29/01/2007|15:04] C:\Program Files\directx [27/09/2008|08:11] C:\Program Files\EA GAMES [17/09/2008|10:13] C:\Program Files\eMule [10/09/2008|17:31] C:\Program Files\Enjoy 6e [19/06/2008|14:54] C:\Program Files\Everest Poker [18/06/2007|22:15] C:\Program Files\Everest Poker.net [10/09/2008|17:31] C:\Program Files\Fichiers communs [21/05/2008|12:54] C:\Program Files\Full Tilt Poker [08/09/2007|09:08] C:\Program Files\FusionSoft DVD Player XP [16/05/2008|11:34] C:\Program Files\Gamenext [15/05/2008|17:17] C:\Program Files\GamesBar [12/05/2007|21:11] C:\Program Files\Grisoft [09/09/2007|15:29] C:\Program Files\Groove Games [15/02/2007|12:40] C:\Program Files\Guitar Pro 5 [27/10/2004|16:18] C:\Program Files\Hewlett-Packard [19/01/2008|08:59] C:\Program Files\Hijackthis Version Fran‡aise [11/09/2008|09:49] C:\Program Files\Incomplete [04/10/2008|23:08] C:\Program Files\Inet Delivery [27/01/2007|10:52] C:\Program Files\Infogrames [21/05/2008|12:54] C:\Program Files\InstallShield Installation Information [20/07/2004|16:00] C:\Program Files\Intel [16/04/2008|07:51] C:\Program Files\Internet Explorer [31/07/2008|11:31] C:\Program Files\iPod [31/07/2008|11:31] C:\Program Files\iTunes [27/09/2008|08:11] C:\Program Files\IZArc [24/01/2007|22:48] C:\Program Files\Java [20/07/2004|11:52] C:\Program Files\Lecteur Windows Media [02/09/2007|17:14] C:\Program Files\LG Electronics [02/09/2007|17:13] C:\Program Files\LG PC Suite [11/09/2008|09:48] C:\Program Files\LimeWire [06/01/2008|17:39] C:\Program Files\Macrogaming [12/05/2007|19:15] C:\Program Files\MagicISO [06/07/2007|12:24] C:\Program Files\Messenger [26/01/2008|15:24] C:\Program Files\MessengerSkinner [20/07/2004|11:55] C:\Program Files\microsoft frontpage [09/12/2007|17:48] C:\Program Files\Microsoft Games [06/02/2007|10:32] C:\Program Files\Microsoft Office [19/11/2007|20:59] C:\Program Files\Microsoft SQL Server Compact Edition [06/02/2007|10:32] C:\Program Files\Microsoft Visual Studio [22/11/2007|10:28] C:\Program Files\Microsoft Works [06/02/2007|10:31] C:\Program Files\Microsoft.NET [19/01/2008|19:50] C:\Program Files\ModTheSims2.com [06/07/2007|12:24] C:\Program Files\Movie Maker [05/10/2008|19:25] C:\Program Files\Mozilla Firefox [24/01/2007|17:53] C:\Program Files\MSN [24/01/2007|17:52] C:\Program Files\MSN Gaming Zone [06/07/2007|12:20] C:\Program Files\NetMeeting [05/10/2008|10:58] C:\Program Files gksggc [10/03/2008|18:41] C:\Program Files\Nobilis [06/07/2007|17:55] C:\Program Files\Notepad++ [19/03/2008|14:45] C:\Program Files\NRJ [16/04/2008|08:11] C:\Program Files\NVIDIA Corporation [27/08/2008|22:05] C:\Program Files\Opera [06/07/2007|12:20] C:\Program Files\Outlook Express [30/10/2007|16:02] C:\Program Files\PacificPoker [08/07/2008|20:26] C:\Program Files\PacificPoker4 [06/01/2008|17:38] C:\Program Files\Philips ToUcam Camera [05/02/2007|22:45] C:\Program Files\PhotoFiltre [31/07/2008|11:27] C:\Program Files\QuickTime [11/03/2008|21:30] C:\Program Files\Real [25/01/2007|10:40] C:\Program Files\Realtek AC97 [24/01/2007|17:57] C:\Program Files\Services en ligne [06/02/2007|11:15] C:\Program Files\Sierra On-Line [02/10/2008|18:44] C:\Program Files\SimPE [11/04/2008|20:36] C:\Program Files\Sims2Pack Clean Installer [25/01/2007|17:25] C:\Program Files\Slitherine [10/04/2008|17:27] C:\Program Files\Spyware-Secure [30/01/2007|15:46] C:\Program Files\Strategy First [04/05/2007|17:32] C:\Program Files\TGTSoft [05/10/2008|11:19] C:\Program Files\Trend Micro [18/07/2007|11:39] C:\Program Files\Trymedia [08/09/2007|13:38] C:\Program Files\Ubisoft [06/02/2007|19:18] C:\Program Files\Ulead Systems [20/07/2004|12:20] C:\Program Files\Uninstall Information [11/09/2008|09:57] C:\Program Files\uTorrent [17/11/2006|10:47] C:\Program Files\VideoLAN [24/01/2007|23:07] C:\Program Files\Visicom Media [03/06/2008|09:13] C:\Program Files\Windows Live [19/03/2008|14:48] C:\Program Files\Windows Media Components [31/01/2008|00:47] C:\Program Files\Windows Media Connect 2 [31/01/2008|00:47] C:\Program Files\Windows Media Player [06/07/2007|12:20] C:\Program Files\Windows NT [19/11/2007|20:11] C:\Program Files\WindowsUpdate [30/05/2007|09:39] C:\Program Files\WinRAR [06/02/2007|10:45] C:\Program Files\WinZip [24/01/2007|18:00] C:\Program Files\xerox [18/06/2007|20:45] C:\Program Files\Yahoo! --------------------\ Listing des dossiers dans C:\Program Files\Fichiers communs [06/02/2007|19:17] C:\Program Files\Fichiers communs\Adaptec Shared [17/11/2006|10:50] C:\Program Files\Fichiers communs\Adobe [13/05/2008|15:16] C:\Program Files\Fichiers communs\Apple [27/01/2007|20:47] C:\Program Files\Fichiers communs\Blizzard Entertainment [12/05/2007|23:09] C:\Program Files\Fichiers communs\delsim [06/02/2007|10:32] C:\Program Files\Fichiers communs\DESIGNER [01/05/2008|13:39] C:\Program Files\Fichiers communs\DirectX [20/02/2007|11:31] C:\Program Files\Fichiers communs\InstallShield [24/01/2007|22:45] C:\Program Files\Fichiers communs\Java [22/11/2007|10:26] C:\Program Files\Fichiers communs\Microsoft Shared [24/01/2007|17:56] C:\Program Files\Fichiers communs\MSSoap [15/05/2008|17:16] C:\Program Files\Fichiers communs\Oberon Media [20/07/2004|12:43] C:\Program Files\Fichiers communs\ODBC [11/03/2008|21:31] C:\Program Files\Fichiers communs\Real [14/06/2005|14:36] C:\Program Files\Fichiers communs\Services [06/02/2007|19:18] C:\Program Files\Fichiers communs\Smith Micro Shared [24/01/2007|17:47] C:\Program Files\Fichiers communs\SpeechEngines [06/07/2007|12:19] C:\Program Files\Fichiers communs\System [10/09/2008|17:31] C:\Program Files\Fichiers communs\Thraex Software [19/11/2007|20:37] C:\Program Files\Fichiers communs\WindowsLiveInstaller [11/03/2008|21:31] C:\Program Files\Fichiers communs\xing shared --------------------\ Process ( 37 Processes ) ... OK ! --------------------\ Recherche avec S_Lop Aucun fichier / dossier Lop trouvé ! --------------------\ Recherche de Fichiers / Dossiers Lop C:\DOCUME~1\ADMINI~1\Cookies\administrateur@advertising[2].txt C:\DOCUME~1\ADMINI~1\Cookies\administrateur@adin.bigpoint[1].txt C:\DOCUME~1\ADMINI~1\Cookies\administrateur@pacificpoker[2].txt --------------------\ Verification du Registre ..... OK ! --------------------\ Verification du fichier Hosts Fichier Hosts PROPRE --------------------\ Recherche de fichiers avec Catchme catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-05 19:32:51 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden files ... C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\Microsoft\Windows\GameExplorer\{DFEF49D9-FC95-4301-99B9-2FB91C6ABA06}\PlayTasks\1\Les Sims™ 2 : Boit@Look.lnk 1087 bytes hidden from API scan completed successfully hidden processes: 0 hidden files: 1 --------------------\ Recherche d'autres infections C:\Program Files\MessengerSkinner C:\Program Files\MessengerSkinner\download C:\Program Files\MessengerSkinner\MessengerSkinner.exe C:\Program Files\MessengerSkinner\MessengerSkinner.url C:\Program Files\MessengerSkinner esources C:\Program Files\MessengerSkinner\uninst.exe C:\Program Files\MessengerSkinner\updates C:\DOCUME~1\ADMINI~1\APPLIC~1\MessengerSkinner C:\DOCUME~1\ADMINI~1\APPLIC~1\MessengerSkinner\Userdata C:\WINNT\Pack.epk C:\WINNT\System32 vs2.inf C:\WINNT\System32\ecyqcku.dat C:\WINNT\System32\ecyqcku.exe C:\WINNT\System32\ecyqcku_nav.dat C:\WINNT\System32\ecyqcku_navps.dat C:\WINNT\System32\egrkhsnprz.dat C:\WINNT\System32\egrkhsnprz_nav.dat C:\WINNT\System32\egrkhsnprz_navps.dat C:\WINNT\System32\knzdtbgkq.dat C:\WINNT\System32\knzdtbgkq_nav.dat C:\WINNT\System32\knzdtbgkq_navps.dat C:\WINNT\System32 bwbejwsh.dat C:\WINNT\System32 bwbejwsh_nav.dat C:\WINNT\System32 bwbejwsh_navps.dat [b]==> EGDACCESS <==/b C:\WINNT\system32\VFOXwyxx.ini C:\WINNT\system32\VFOXwyxx.ini2 [b]==> VUNDO <==/b --------------------\ ROOTKIT !! Rootkit Rustock ! .. [HKLM\..\CurrentControlSet\Enum\Root\LEGACY_PE386] Rootkit Rustock ! .. [HKLM\..\CurrentControlSet\Enum\Root\Pe386] Rootkit Rustock ! .. [HKLM\..\ControlSet001\Enum\Root\LEGACY_PE386] Rootkit Rustock ! .. [HKLM\..\ControlSet001\Enum\Root\Pe386] Rootkit Rustock ! .. [HKLM\..\ControlSet003\Enum\Root\LEGACY_PE386] Rootkit Rustock ! .. [HKLM\..\ControlSet003\Enum\Root\Pe386] --------------------\ ROGUES .. C:\PROGRA~1\Spyware-Secure [F:19][D:13]-> C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp [F:73][D:0]-> C:\DOCUME~1\ADMINI~1\Cookies [F:268][D:4]-> C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMPOR~1\content.IE5 1 - "C:\Lop SD\LopR_1.txt" - 05/10/2008|19:36 - Option : [1] --------------------\ Fin du rapport a 19:36:22

sKe69 · Answer

Avant de coller le rapport, peux tu me dire de ce que je dois faire des raccourcis qui se trouvent sur mon bureau des applications suivantes : Malware defender, Protect your privacy et System error fixer ( Prog que je n'ai pas installés).

 n'y touche pas ... ils partirons d'eux même au fur et à mesure du traitement ... et il y a du boulot ! ( il y a d'autres infections à traiter avant ... le plus gros poisson à la fin ^^ )


la suite :

! Déconnetes toi et fermes toutes tes applications en cours !

Relances Lop S&D ,
 
--->choisis l'option 2 (nettoyage) et valides ...

->ne touche à rien pendant que l'outil travail .
 
Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
Postes ce rapport dans ta prochaine réponse + un nouveau rapport Hijackthis pour analyse et attends la suite...

Beloune · Answer

Pas de soucis, je suis tout ouïe, si je puis dire. Voici le rapport de Lop : --------------------\ Lop S&D 4.2.4-5 XP/Vista Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2 X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.00GHz ) BIOS : Default System BIOS USER : Administrateur ( Administrator ) BOOT : Normal boot Antivirus : avast! antivirus 4.8.1201 [VPS 081004-0] 4.8.1201 (Not Activated) A:\ (USB) C:\ (Local Disk) - NTFS - Total : 38 Go Free : 9 Go D:\ (CD or DVD) E:\ (CD or DVD) - CDFS - Total : 0 Go Free : 0 Go "C:\Lop SD" ( MAJ : 02-10-2008|23:42 ) Option : [2] ( 05/10/2008|19:57 ) \\\\\\\\\\\\\\\ SUPPRESSION Supprime! - C:\DOCUME~1\ADMINI~1\Cookies\administrateur@advertising[2].txt Supprime! - C:\DOCUME~1\ADMINI~1\Cookies\administrateur@adin.bigpoint[1].txt Supprime! - C:\DOCUME~1\ADMINI~1\Cookies\administrateur@pacificpoker[2].txt \\\\\\\\\\\\\\\ --------------------\ Listing des dossiers dans APPLIC~1 [04/10/2008|23:02] C:\DOCUME~1\ADMINI~1\APPLIC~1\Adobe [28/11/2007|20:22] C:\DOCUME~1\ADMINI~1\APPLIC~1\AdobeUM [19/06/2007|12:53] C:\DOCUME~1\ADMINI~1\APPLIC~1\Apple Computer [28/01/2007|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\Azureus [02/09/2008|21:18] C:\DOCUME~1\ADMINI~1\APPLIC~1\dvdcss [12/09/2007|14:03] C:\DOCUME~1\ADMINI~1\APPLIC~1\Groove Games [27/03/2008|20:07] C:\DOCUME~1\ADMINI~1\APPLIC~1\gtk-2.0 [02/02/2007|16:42] C:\DOCUME~1\ADMINI~1\APPLIC~1\Help [28/01/2007|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\Identities [19/06/2007|09:08] C:\DOCUME~1\ADMINI~1\APPLIC~1\LG Electronics [16/06/2008|20:32] C:\DOCUME~1\ADMINI~1\APPLIC~1\Macromedia [08/07/2007|16:27] C:\DOCUME~1\ADMINI~1\APPLIC~1\MessengerSkinner [18/06/2008|14:07] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microgaming [15/06/2008|14:48] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft [27/08/2008|12:44] C:\DOCUME~1\ADMINI~1\APPLIC~1\Mozilla [06/07/2007|18:55] C:\DOCUME~1\ADMINI~1\APPLIC~1\Notepad++ [05/02/2007|21:12] C:\DOCUME~1\ADMINI~1\APPLIC~1\Nvu [13/02/2007|17:24] C:\DOCUME~1\ADMINI~1\APPLIC~1\Odyssee_Sib [06/02/2007|09:55] C:\DOCUME~1\ADMINI~1\APPLIC~1\OpenOffice.org2 [28/01/2007|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\Opera [07/07/2008|21:11] C:\DOCUME~1\ADMINI~1\APPLIC~1\PacificPoker4 [11/03/2008|21:33] C:\DOCUME~1\ADMINI~1\APPLIC~1\Real [23/02/2007|23:21] C:\DOCUME~1\ADMINI~1\APPLIC~1\SecondLife [28/01/2007|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\Sun [11/06/2007|14:20] C:\DOCUME~1\ADMINI~1\APPLIC~1\TaoUSign [05/10/2008|11:56] C:\DOCUME~1\ADMINI~1\APPLIC~1\TmpRecentIcons [28/01/2007|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\TuneUp Software [04/10/2008|00:45] C:\DOCUME~1\ADMINI~1\APPLIC~1\uTorrent [28/01/2007|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\Visicom Media [31/07/2007|23:11] C:\DOCUME~1\ADMINI~1\APPLIC~1\vlc [03/06/2007|20:00] C:\DOCUME~1\ADMINI~1\APPLIC~1\X-Chat 2 [17/11/2006|10:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe [02/05/2007|22:48] C:\DOCUME~1\ALLUSE~1\APPLIC~1\AOL Downloads [13/05/2008|15:16] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple [15/06/2007|17:44] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer [11/07/2007|09:11] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Grisoft [11/07/2008|20:40] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MailFrontier [19/11/2007|20:37] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft [06/02/2007|11:05] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MSScanAppDataDir [02/02/2007|19:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\QuickTime [05/10/2008|17:38] C:\DOCUME~1\ALLUSE~1\APPLIC~1 snqrwdm [15/05/2008|17:17] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sandlot Games [16/05/2008|00:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP [30/01/2007|10:04] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TuneUp Software [31/01/2008|12:32] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage [06/07/2007|12:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WindowsLiveInstaller [19/11/2007|20:17] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller [06/07/2007|12:50] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft [28/01/2007|11:14] C:\DOCUME~1\FABIAN~1\APPLIC~1\Microsoft [20/07/2004|11:59] C:\DOCUME~1\GX2601\APPLIC~1\Identities [27/01/2007|14:28] C:\DOCUME~1\GX2601\APPLIC~1\Macromedia [27/01/2007|14:50] C:\DOCUME~1\GX2601\APPLIC~1\Microsoft [27/01/2007|14:27] C:\DOCUME~1\GX2601\APPLIC~1\Mozilla [27/01/2007|14:47] C:\DOCUME~1\GX2601\APPLIC~1\OpenOffice.org2 [27/01/2007|11:58] C:\DOCUME~1\GX2601\APPLIC~1\TuneUp Software [11/06/2007|10:16] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft [20/11/2007|10:39] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft --------------------\ Tâches planifiées dans C:\WINNT asks [02/10/2008 10:51][--a------] C:\WINNT asks\AppleSoftwareUpdate.job [03/10/2008 17:15][--a------] C:\WINNT asks\Maintenance en 1 clic.job [05/10/2008 17:45][--ah-----] C:\WINNT asks\SA.DAT [21/08/2002 22:47][-r-h-c---] C:\WINNT asks\desktop.ini --------------------\ Listing des dossiers dans C:\Program Files [20/07/2004|11:52] C:\Program Files\Accessoires [12/09/2007|14:07] C:\Program Files\Activision [17/11/2006|10:49] C:\Program Files\Adobe [24/01/2007|18:27] C:\Program Files\Alwil Software [20/07/2004|15:57] C:\Program Files\Analog Devices [14/05/2008|09:39] C:\Program Files\Apple Software Update [24/01/2007|17:28] C:\Program Files\ATI Technologies [17/06/2008|13:01] C:\Program Files\Betway [13/05/2008|15:21] C:\Program Files\Bonjour [25/03/2008|19:56] C:\Program Files\Bullfrog [05/10/2008|19:18] C:\Program Files\CCleaner [03/06/2008|09:13] C:\Program Files\Codemasters [20/07/2004|16:19] C:\Program Files\Common Files [20/07/2004|11:53] C:\Program Files\ComPlus Applications [17/11/2007|08:45] C:\Program Files\Corel [21/09/2007|07:21] C:\Program Files\CyberLink [26/03/2008|02:14] C:\Program Files\DAEMON Tools [12/05/2007|16:00] C:\Program Files\DaemonTools_WhenUSave_Installer [29/01/2007|15:04] C:\Program Files\directx [27/09/2008|08:11] C:\Program Files\EA GAMES [17/09/2008|10:13] C:\Program Files\eMule [10/09/2008|17:31] C:\Program Files\Enjoy 6e [19/06/2008|14:54] C:\Program Files\Everest Poker [18/06/2007|22:15] C:\Program Files\Everest Poker.net [10/09/2008|17:31] C:\Program Files\Fichiers communs [21/05/2008|12:54] C:\Program Files\Full Tilt Poker [08/09/2007|09:08] C:\Program Files\FusionSoft DVD Player XP [16/05/2008|11:34] C:\Program Files\Gamenext [15/05/2008|17:17] C:\Program Files\GamesBar [12/05/2007|21:11] C:\Program Files\Grisoft [09/09/2007|15:29] C:\Program Files\Groove Games [15/02/2007|12:40] C:\Program Files\Guitar Pro 5 [27/10/2004|16:18] C:\Program Files\Hewlett-Packard [19/01/2008|08:59] C:\Program Files\Hijackthis Version Fran‡aise [11/09/2008|09:49] C:\Program Files\Incomplete [04/10/2008|23:08] C:\Program Files\Inet Delivery [27/01/2007|10:52] C:\Program Files\Infogrames [21/05/2008|12:54] C:\Program Files\InstallShield Installation Information [20/07/2004|16:00] C:\Program Files\Intel [16/04/2008|07:51] C:\Program Files\Internet Explorer [31/07/2008|11:31] C:\Program Files\iPod [31/07/2008|11:31] C:\Program Files\iTunes [27/09/2008|08:11] C:\Program Files\IZArc [24/01/2007|22:48] C:\Program Files\Java [20/07/2004|11:52] C:\Program Files\Lecteur Windows Media [02/09/2007|17:14] C:\Program Files\LG Electronics [02/09/2007|17:13] C:\Program Files\LG PC Suite [11/09/2008|09:48] C:\Program Files\LimeWire [06/01/2008|17:39] C:\Program Files\Macrogaming [12/05/2007|19:15] C:\Program Files\MagicISO [06/07/2007|12:24] C:\Program Files\Messenger [26/01/2008|15:24] C:\Program Files\MessengerSkinner [20/07/2004|11:55] C:\Program Files\microsoft frontpage [09/12/2007|17:48] C:\Program Files\Microsoft Games [06/02/2007|10:32] C:\Program Files\Microsoft Office [19/11/2007|20:59] C:\Program Files\Microsoft SQL Server Compact Edition [06/02/2007|10:32] C:\Program Files\Microsoft Visual Studio [22/11/2007|10:28] C:\Program Files\Microsoft Works [06/02/2007|10:31] C:\Program Files\Microsoft.NET [19/01/2008|19:50] C:\Program Files\ModTheSims2.com [06/07/2007|12:24] C:\Program Files\Movie Maker [05/10/2008|19:37] C:\Program Files\Mozilla Firefox [24/01/2007|17:53] C:\Program Files\MSN [24/01/2007|17:52] C:\Program Files\MSN Gaming Zone [06/07/2007|12:20] C:\Program Files\NetMeeting [05/10/2008|10:58] C:\Program Files gksggc [10/03/2008|18:41] C:\Program Files\Nobilis [06/07/2007|17:55] C:\Program Files\Notepad++ [19/03/2008|14:45] C:\Program Files\NRJ [16/04/2008|08:11] C:\Program Files\NVIDIA Corporation [27/08/2008|22:05] C:\Program Files\Opera [06/07/2007|12:20] C:\Program Files\Outlook Express [30/10/2007|16:02] C:\Program Files\PacificPoker [08/07/2008|20:26] C:\Program Files\PacificPoker4 [06/01/2008|17:38] C:\Program Files\Philips ToUcam Camera [05/02/2007|22:45] C:\Program Files\PhotoFiltre [31/07/2008|11:27] C:\Program Files\QuickTime [11/03/2008|21:30] C:\Program Files\Real [25/01/2007|10:40] C:\Program Files\Realtek AC97 [24/01/2007|17:57] C:\Program Files\Services en ligne [06/02/2007|11:15] C:\Program Files\Sierra On-Line [02/10/2008|18:44] C:\Program Files\SimPE [11/04/2008|20:36] C:\Program Files\Sims2Pack Clean Installer [25/01/2007|17:25] C:\Program Files\Slitherine [10/04/2008|17:27] C:\Program Files\Spyware-Secure [30/01/2007|15:46] C:\Program Files\Strategy First [04/05/2007|17:32] C:\Program Files\TGTSoft [05/10/2008|11:19] C:\Program Files\Trend Micro [18/07/2007|11:39] C:\Program Files\Trymedia [08/09/2007|13:38] C:\Program Files\Ubisoft [06/02/2007|19:18] C:\Program Files\Ulead Systems [20/07/2004|12:20] C:\Program Files\Uninstall Information [11/09/2008|09:57] C:\Program Files\uTorrent [17/11/2006|10:47] C:\Program Files\VideoLAN [24/01/2007|23:07] C:\Program Files\Visicom Media [03/06/2008|09:13] C:\Program Files\Windows Live [19/03/2008|14:48] C:\Program Files\Windows Media Components [31/01/2008|00:47] C:\Program Files\Windows Media Connect 2 [31/01/2008|00:47] C:\Program Files\Windows Media Player [06/07/2007|12:20] C:\Program Files\Windows NT [19/11/2007|20:11] C:\Program Files\WindowsUpdate [30/05/2007|09:39] C:\Program Files\WinRAR [06/02/2007|10:45] C:\Program Files\WinZip [24/01/2007|18:00] C:\Program Files\xerox [18/06/2007|20:45] C:\Program Files\Yahoo! --------------------\ Listing des dossiers dans C:\Program Files\Fichiers communs [06/02/2007|19:17] C:\Program Files\Fichiers communs\Adaptec Shared [17/11/2006|10:50] C:\Program Files\Fichiers communs\Adobe [13/05/2008|15:16] C:\Program Files\Fichiers communs\Apple [27/01/2007|20:47] C:\Program Files\Fichiers communs\Blizzard Entertainment [12/05/2007|23:09] C:\Program Files\Fichiers communs\delsim [06/02/2007|10:32] C:\Program Files\Fichiers communs\DESIGNER [01/05/2008|13:39] C:\Program Files\Fichiers communs\DirectX [20/02/2007|11:31] C:\Program Files\Fichiers communs\InstallShield [24/01/2007|22:45] C:\Program Files\Fichiers communs\Java [22/11/2007|10:26] C:\Program Files\Fichiers communs\Microsoft Shared [24/01/2007|17:56] C:\Program Files\Fichiers communs\MSSoap [15/05/2008|17:16] C:\Program Files\Fichiers communs\Oberon Media [20/07/2004|12:43] C:\Program Files\Fichiers communs\ODBC [11/03/2008|21:31] C:\Program Files\Fichiers communs\Real [14/06/2005|14:36] C:\Program Files\Fichiers communs\Services [06/02/2007|19:18] C:\Program Files\Fichiers communs\Smith Micro Shared [24/01/2007|17:47] C:\Program Files\Fichiers communs\SpeechEngines [06/07/2007|12:19] C:\Program Files\Fichiers communs\System [10/09/2008|17:31] C:\Program Files\Fichiers communs\Thraex Software [19/11/2007|20:37] C:\Program Files\Fichiers communs\WindowsLiveInstaller [11/03/2008|21:31] C:\Program Files\Fichiers communs\xing shared --------------------\ Process ( 36 Processes ) ... OK ! --------------------\ Recherche avec S_Lop Aucun fichier / dossier Lop trouvé ! --------------------\ Recherche de Fichiers / Dossiers Lop Aucun fichier / dossier Lop trouvé ! --------------------\ Verification du Registre ..... OK ! --------------------\ Verification du fichier Hosts Fichier Hosts PROPRE --------------------\ Recherche de fichiers avec Catchme catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-05 20:02:36 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden files ... C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\Microsoft\Windows\GameExplorer\{DFEF49D9-FC95-4301-99B9-2FB91C6ABA06}\PlayTasks\1\Les Sims™ 2 : Boit@Look.lnk 1087 bytes hidden from API scan completed successfully hidden processes: 0 hidden files: 1 --------------------\ Recherche d'autres infections C:\Program Files\MessengerSkinner C:\Program Files\MessengerSkinner\download C:\Program Files\MessengerSkinner\MessengerSkinner.exe C:\Program Files\MessengerSkinner\MessengerSkinner.url C:\Program Files\MessengerSkinner esources C:\Program Files\MessengerSkinner\uninst.exe C:\Program Files\MessengerSkinner\updates C:\DOCUME~1\ADMINI~1\APPLIC~1\MessengerSkinner C:\DOCUME~1\ADMINI~1\APPLIC~1\MessengerSkinner\Userdata C:\WINNT\Pack.epk C:\WINNT\System32 vs2.inf C:\WINNT\System32\ecyqcku.dat C:\WINNT\System32\ecyqcku.exe C:\WINNT\System32\ecyqcku_nav.dat C:\WINNT\System32\ecyqcku_navps.dat C:\WINNT\System32\egrkhsnprz.dat C:\WINNT\System32\egrkhsnprz_nav.dat C:\WINNT\System32\egrkhsnprz_navps.dat C:\WINNT\System32\knzdtbgkq.dat C:\WINNT\System32\knzdtbgkq_nav.dat C:\WINNT\System32\knzdtbgkq_navps.dat C:\WINNT\System32 bwbejwsh.dat C:\WINNT\System32 bwbejwsh_nav.dat C:\WINNT\System32 bwbejwsh_navps.dat [b]==> EGDACCESS <==/b C:\WINNT\system32\VFOXwyxx.ini C:\WINNT\system32\VFOXwyxx.ini2 [b]==> VUNDO <==/b --------------------\ ROOTKIT !! Rootkit Rustock ! .. [HKLM\..\CurrentControlSet\Enum\Root\LEGACY_PE386] Rootkit Rustock ! .. [HKLM\..\CurrentControlSet\Enum\Root\Pe386] Rootkit Rustock ! .. [HKLM\..\ControlSet001\Enum\Root\LEGACY_PE386] Rootkit Rustock ! .. [HKLM\..\ControlSet001\Enum\Root\Pe386] Rootkit Rustock ! .. [HKLM\..\ControlSet003\Enum\Root\LEGACY_PE386] Rootkit Rustock ! .. [HKLM\..\ControlSet003\Enum\Root\Pe386] --------------------\ ROGUES .. C:\PROGRA~1\Spyware-Secure [F:19][D:13]-> C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp [F:70][D:0]-> C:\DOCUME~1\ADMINI~1\Cookies [F:268][D:4]-> C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMPOR~1\content.IE5 1 - "C:\Lop SD\LopR_1.txt" - 05/10/2008|19:36 - Option : [1] 2 - "C:\Lop SD\LopR_2.txt" - 05/10/2008|20:06 - Option : [2] --------------------\ Fin du rapport a 20:06:07 Et celui de Hitjack : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:08:04, on 05/10/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\Ati2evxx.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe C:\Program Files\DAEMON Tools\daemon.exe C:\Program Files\QuickTime\QTTask.exe C:\Program Files\iTunes\iTunesHelper.exe C:\WINNT\system32 undll32.exe C:\WINNT\system32\ctfmon.exe C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\System32\svchost.exe C:\Program Files\iPod\bin\iPodService.exe C:\WINNT\explorer.exe C:\WINNT\system32\NOTEPAD.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\monjack.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1675B072-6A01-4E8C-8996-82C37800B7FD} - C:\WINNT\system32\xxywXOFV.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer pbrowserrecordplugin.dll O2 - BHO: (no name) - {5142FE17-20E6-4121-A925-A4C6385CDDAA} - (no file) O2 - BHO: (no name) - {674855C3-B0B1-4413-9BB4-BFA6A9B5257B} - C:\WINNT\system32 uvsqpOf.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" -osboot O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [dc4da433] rundll32.exe "C:\WINNT\system32\ftmcipjc.dll",b O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MessengerSkinner\MessengerSkinner.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe O4 - HKCU\..\Run: [] C:\Documents and Settings\Administrateur\Application Data\Adobe\Player.exe O4 - HKLM\..\Policies\Explorer\Run: [qH4S9e3UFL] C:\Documents and Settings\All Users\Application Data snqrwdm\zqnojsnm.exe O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ? O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Betway Casino - {3063c161-2f7e-4225-ba73-08bc8f64c67e} - C:\Program Files\Betway\Casino\casinogame.exe O9 - Extra button: Betway.com Poker - {4CBB5C71-1BA0-49ca-93CD-159AF8AA0CC9} - C:\Program Files\Betway\Poker\MPPoker.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing) O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/... O20 - Winlogon Notify: tuvsqpOf - C:\WINNT\SYSTEM32 uvsqpOf.dll O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe (file missing) O23 - Service: Windows Tune service - Unknown owner - C:\WINNT une.exe (file missing)

sKe69 · Answer

On continue ...

Télécharges Navilog1 sur ton bureau : 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

!! Déconnectes toi,désactives tes défences( anti-virus,anti-spyware ) et fermes bien toutes tes applications le temps de la manipe !!
  
Ensuite double clique sur navilog1.exe pour lancer l'installation. 
Une fois l'installation terminée, le fix s'exécutera automatiquement. 
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). 

Laisses-toi guider. Au menu principal, choisis 1 et valides. 
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
 
Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 

Appuies sur une touche comme demandé, le bloc-note va s'ouvrir. 
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite . 

(Le rapport est en outre sauvegardé à la racine du disque "C\:fixnavi.txt" ) 

TUTO (aide)  : http://www.malekal.com/Adware.Magic_Control.php#mozTocId595901

Beloune · Answer

Et hop continuons ...

Un rapport :

Search Navipromo version 3.6.6 commencé le 05/10/2008 à 20:16:46,10

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Administrateur" 

Mise à jour le 29.09.2008 à 17h30 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

MessengerSkinner

*** Recherche dossiers dans "C:\WINNT" ***

C:\WINNT\mslagent trouvé !

*** Recherche dossiers dans "C:\Program Files" ***

...\MessengerSkinner trouvé !

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\applic~1" *** 

...\MessengerSkinner trouvé !

*** Recherche dossiers dans "C:\DOCUME~1\FABIAN~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\GX2601\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\FABIAN~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\GX2601\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\GX2601\menudm~1\progra~1" *** 


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\WINNT\system32\ecyqcku.dat
C:\WINNT\system32\ecyqcku.exe
C:\WINNT\system32\ecyqcku_nav.dat
C:\WINNT\system32\ecyqcku_navps.dat


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINNT\system32" *

Fichiers trouvés :

afcoqx.exe trouvé ! 
awoioaq.exe trouvé ! 
bnyweu.exe trouvé ! 
cfziyg.exe trouvé ! 
dalgsd.exe trouvé ! 
gwykgakus.exe trouvé ! 
hkcjci.exe trouvé ! 
kcegcgw.exe trouvé ! 
lqtemcjf.exe trouvé ! 
mgeflmunu.exe trouvé ! 
msauw.exe trouvé ! 
qcqcim.exe trouvé ! 
qqiouog.exe trouvé ! 
skuyuewiy.exe trouvé ! 
uyowook.exe trouvé ! 
uyrumw.exe trouvé ! 
vcalpj.exe trouvé ! 
vdsihwykz.exe trouvé ! 
vobfgqt.exe trouvé ! 
wekwgse.exe trouvé ! 
wemsksoq.exe trouvé ! 
wmueq.exe trouvé ! 
wzhbrnbhq.exe trouvé ! 
xmhtnp.exe trouvé ! 

Fichiers suspects :

awckg.exe trouvé ! 
cyqqa.exe trouvé ! 
soumwkg.exe trouvé ! 
uouie.exe trouvé ! 
wiisaqc.exe trouvé ! 

* Recherche dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\FABIAN~1\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\GX2601\locals~1\applic~1" * 



*** Recherche fichiers *** 


C:\WINNT\pack.epk trouvé !
C:\WINNT\system32
vs2.inf trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINNT\system32" :

egrkhsnprz.dat trouvé !
egrkhsnprz_nav.dat trouvé !
egrkhsnprz_navps.dat trouvé !
knzdtbgkq.dat trouvé !
knzdtbgkq_nav.dat trouvé !
knzdtbgkq_navps.dat trouvé !
tbwbejwsh.dat trouvé !
tbwbejwsh_nav.dat trouvé !
tbwbejwsh_navps.dat trouvé !

* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\FABIAN~1\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\GX2601\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

C:\WINNT\system32\VFOXwyxx.ini2 trouvé ! infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 05/10/2008 à 20:24:06,95 ***

sKe69 · Answer

la suite :

!! Déconnectes toi, désactives tes défenses ( anti-virus,anti-spyware ) et fermes bien toutes tes applications le temps de la manipe !!

--->Double-cliques sur le raccourci Navilog1 

Arriver au menu principal, choisir l'option 2 et valider (nettoyage "automatique" ). 

Le fix demandera ensuite de "redémarrer le PC", fermer toutes les fenêtres ouvertes
et appuyer sur une touche comme demandé.( important : si le PC ne redémarre pas automatiquement, le faire manuellement ) 
Au redémarrage du PC, choisir la session habituelle si nécessaire. 

Patienter jusqu'au message : "Nettoyage Terminé le ..."
 
Le bureau revient, puis le bloc-note s'ouvre .  
Sauvegarder ce rapport de manière à le retrouver, puis fermer le bloc-note ... 
(Le rapport sera en outre sauvegardé à la racine du disque "C\:cleannavi.txt")
 
Postes ce rapport dans ta nouvelle réponse accompagné d'un nouveau rapport hijacthis pour analyse et attends la suite ... 

(PS : Si le bureau ne réapparaît pas, faire CTRL+ALT+SUPPR pour ouvrir le gestionnaire de tâches. 
Choisir l'onglet processus. Cliquer en haut à gauche sur fichiers et choisir exécuter, 
Taper explorer et valider.)

Beloune · Answer

et hop la :

Rapport Cleanavi ::Clean Navipromo version 3.6.6 commencé le 05/10/2008 à 20:40:09,10

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Administrateur" 

Mise à jour le 29.09.2008 à 17h30 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur

*** Creation backups fichiers trouvés par Catchme *** 

Copie vers "C:\Program Files
avilog1\Backupnavi"

Copie C:\WINNT\system32\ecyqcku.dat réalisée avec succès ! 
Copie C:\WINNT\system32\ecyqcku.exe réalisée avec succès ! 
Copie C:\WINNT\system32\ecyqcku_nav.dat réalisée avec succès ! 
Copie C:\WINNT\system32\ecyqcku_navps.dat réalisée avec succès ! 

*** Suppression des fichiers trouvés avec Catchme ***

C:\WINNT\system32\ecyqcku.dat supprimé ! 
C:\WINNT\system32\ecyqcku.exe supprimé ! 
C:\WINNT\system32\ecyqcku_nav.dat supprimé ! 
C:\WINNT\system32\ecyqcku_navps.dat supprimé ! 
 
** 2ème passage avec résultats Catchme ** 

* Dans "C:\WINNT\system32" *


C:\WINNT\prefetch\ecyqcku*.pf trouvé ! 
Copie C:\WINNT\prefetch\ecyqcku*.pf réalisée avec succès !
C:\WINNT\prefetch\ecyqcku*.pf supprimé !


* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" * 



*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINNT\System32" *


afcoqx.exe trouvé ! 
Copie afcoqx.exe réalisée avec succès !
afcoqx.exe supprimé !

awoioaq.exe trouvé ! 
Copie awoioaq.exe réalisée avec succès !
awoioaq.exe supprimé !

bnyweu.exe trouvé ! 
Copie bnyweu.exe réalisée avec succès !
bnyweu.exe supprimé !

cfziyg.exe trouvé ! 
Copie cfziyg.exe réalisée avec succès !
cfziyg.exe supprimé !

dalgsd.exe trouvé ! 
Copie dalgsd.exe réalisée avec succès !
dalgsd.exe supprimé !

gwykgakus.exe trouvé ! 
Copie gwykgakus.exe réalisée avec succès !
gwykgakus.exe supprimé !

hkcjci.exe trouvé ! 
Copie hkcjci.exe réalisée avec succès !
hkcjci.exe supprimé !

kcegcgw.exe trouvé ! 
Copie kcegcgw.exe réalisée avec succès !
kcegcgw.exe supprimé !

lqtemcjf.exe trouvé ! 
Copie lqtemcjf.exe réalisée avec succès !
lqtemcjf.exe supprimé !

mgeflmunu.exe trouvé ! 
Copie mgeflmunu.exe réalisée avec succès !
mgeflmunu.exe supprimé !

msauw.exe trouvé ! 
Copie msauw.exe réalisée avec succès !
msauw.exe supprimé !

qcqcim.exe trouvé ! 
Copie qcqcim.exe réalisée avec succès !
qcqcim.exe supprimé !

qqiouog.exe trouvé ! 
Copie qqiouog.exe réalisée avec succès !
qqiouog.exe supprimé !

skuyuewiy.exe trouvé ! 
Copie skuyuewiy.exe réalisée avec succès !
skuyuewiy.exe supprimé !

uyowook.exe trouvé ! 
Copie uyowook.exe réalisée avec succès !
uyowook.exe supprimé !

uyrumw.exe trouvé ! 
Copie uyrumw.exe réalisée avec succès !
uyrumw.exe supprimé !

vcalpj.exe trouvé ! 
Copie vcalpj.exe réalisée avec succès !
vcalpj.exe supprimé !

vdsihwykz.exe trouvé ! 
Copie vdsihwykz.exe réalisée avec succès !
vdsihwykz.exe supprimé !

vobfgqt.exe trouvé ! 
Copie vobfgqt.exe réalisée avec succès !
vobfgqt.exe supprimé !

wekwgse.exe trouvé ! 
Copie wekwgse.exe réalisée avec succès !
wekwgse.exe supprimé !

wemsksoq.exe trouvé ! 
Copie wemsksoq.exe réalisée avec succès !
wemsksoq.exe supprimé !

wmueq.exe trouvé ! 
Copie wmueq.exe réalisée avec succès !
wmueq.exe supprimé !

wzhbrnbhq.exe trouvé ! 
Copie wzhbrnbhq.exe réalisée avec succès !
wzhbrnbhq.exe supprimé !

xmhtnp.exe trouvé ! 
Copie xmhtnp.exe réalisée avec succès !
xmhtnp.exe supprimé !


* Suppression dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" * 



* Suppression dans "C:\DOCUME~1\FABIAN~1\locals~1\applic~1" * 


* Suppression dans "C:\DOCUME~1\GX2601\locals~1\applic~1" * 



*** Suppression dossiers dans "C:\WINNT" ***

C:\WINNT\mslagent ...suppression... 
C:\WINNT\mslagent supprimé ! 


*** Suppression dossiers dans "C:\Program Files" ***

...\MessengerSkinner ...suppression... 
...\MessengerSkinner supprimé ! 


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\applic~1" *** 

...\MessengerSkinner ...suppression... 
...\MessengerSkinner supprimé ! 


*** Suppression dossiers dans "C:\DOCUME~1\FABIAN~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\GX2601\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\FABIAN~1\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\GX2601\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\GX2601\menudm~1\progra~1" *** 



*** Suppression fichiers ***

C:\WINNT\pack.epk supprimé !
C:\WINNT\system32
vs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINNT\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINNT\system32" *


egrkhsnprz.dat trouvé ! 
Copie egrkhsnprz.dat réalisée avec succès !
egrkhsnprz.dat supprimé !

egrkhsnprz_nav.dat trouvé ! 
Copie egrkhsnprz_nav.dat réalisée avec succès !
egrkhsnprz_nav.dat supprimé !

egrkhsnprz_navps.dat trouvé ! 
Copie egrkhsnprz_navps.dat réalisée avec succès !
egrkhsnprz_navps.dat supprimé !

knzdtbgkq.dat trouvé ! 
Copie knzdtbgkq.dat réalisée avec succès !
knzdtbgkq.dat supprimé !

knzdtbgkq_nav.dat trouvé ! 
Copie knzdtbgkq_nav.dat réalisée avec succès !
knzdtbgkq_nav.dat supprimé !

knzdtbgkq_navps.dat trouvé ! 
Copie knzdtbgkq_navps.dat réalisée avec succès !
knzdtbgkq_navps.dat supprimé !

tbwbejwsh.dat trouvé ! 
Copie tbwbejwsh.dat réalisée avec succès !
tbwbejwsh.dat supprimé !

tbwbejwsh_nav.dat trouvé ! 
Copie tbwbejwsh_nav.dat réalisée avec succès !
tbwbejwsh_nav.dat supprimé !

tbwbejwsh_navps.dat trouvé ! 
Copie tbwbejwsh_navps.dat réalisée avec succès !
tbwbejwsh_navps.dat supprimé !


* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" * 


* Dans "C:\DOCUME~1\FABIAN~1\locals~1\applic~1" * 


* Dans "C:\DOCUME~1\GX2601\locals~1\applic~1" * 


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Fichiers suspects non supprimés par Navilog1 ***
!! Fichiers légitimes possibles, à contrôler avant suppression !!

Fichiers suspects dans "C:\WINNT\system32" :

awckg.exe trouvé !
cyqqa.exe trouvé !
soumwkg.exe trouvé !
uouie.exe trouvé !
wiisaqc.exe trouvé !

*** Nettoyage terminé le 05/10/2008 à 20:46:19,26 ***



Rapport Hitjack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:50:48, on 05/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\wscntfy.exe
C:\WINNT
otepad.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINNT\system32undll32.exe
C:\WINNT\system32\ctfmon.exe
C:\Documents and Settings\Administrateur\Application Data\Adobe\Player.exe
C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5142FE17-20E6-4121-A925-A4C6385CDDAA} - (no file)
O2 - BHO: (no name) - {674855C3-B0B1-4413-9BB4-BFA6A9B5257B} - C:\WINNT\system32	uvsqpOf.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {89EAFF2C-EA75-4E0C-A198-686CE6A8C403} - C:\WINNT\system32\xxywXOFV.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [dc4da433] rundll32.exe "C:\WINNT\system32\ftmcipjc.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [] C:\Documents and Settings\Administrateur\Application Data\Adobe\Player.exe
O4 - HKLM\..\Policies\Explorer\Run: [qH4S9e3UFL] C:\Documents and Settings\All Users\Application Datasnqrwdm\zqnojsnm.exe
O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Betway Casino - {3063c161-2f7e-4225-ba73-08bc8f64c67e} - C:\Program Files\Betway\Casino\casinogame.exe
O9 - Extra button: Betway.com Poker - {4CBB5C71-1BA0-49ca-93CD-159AF8AA0CC9} - C:\Program Files\Betway\Poker\MPPoker.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - Winlogon Notify: tuvsqpOf - C:\WINNT\SYSTEM32	uvsqpOf.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe (file missing)
O23 - Service: Windows Tune service - Unknown owner - C:\WINNT	une.exe (file missing)

sKe69 · Answer

Bien ... on avance ...

dans l'ordre :

1- refais un coup de CCleaner (registre compris ) .


2- Télécharges ToolBar S&D ( de Eric_71/Team IDN ) :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !! 

* double-cliques sur l'.exe pour lancer l'installe et laisses toi guider ... 
* Une fois fait, cliques sur le raccourci créé sur ton bureau pour lancer l'outil . 
* Choisis l'option 1 ( "recherche") et tapes "entrée" .
* Une fois le scan finit , un rapport va apparaître, copie/colles l'intégralité 
de son contenu dans ta prochaine réponse ...
( le rapport est en outre sauvegardé ici -> C:\TB.txt )

Beloune · Answer

et voilà :

 -----------\  ToolBar S&D 1.2.2   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Uniprocessor Free :                 Intel(R) Celeron(R) CPU 2.00GHz )
   BIOS : Default System BIOS
   USER : Administrateur ( Administrator )
   BOOT : Normal boot
   Antivirus : avast! antivirus 4.8.1201 [VPS 081004-0] 4.8.1201 (Not Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total : 38 Go Free : 9 Go
   D:\ (CD or DVD)
   E:\ (CD or DVD) - CDFS - Total : 0 Go Free : 0 Go

   "C:\ToolBar SD" ( MAJ : 04-10-2008|21:00 )
   Option : [1] ( 05/10/2008|21:13 )

   -----------\  Recherche de Fichiers / Dossiers ...

   C:\Program Files\GamesBar
   C:\Program Files\GamesBar\Localization-French.ini
   C:\WINNT\iun6002.exe

   -----------\  Extensions

   (Administrateur) - {29c4afe1-db19-4298-8785-fcc94d1d6c1d} => splitbrowser
   (Administrateur) - {29c4afe1-db19-4298-8785-fcc94d1d6c1d} => splitbrowser
   (Administrateur) - {33A8946C-B859-4f7d-8382-ADAB29623DEE} => chrome
   (Administrateur) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar
   (Administrateur) - {6c45b940-ae5a-11db-abbd-0800200c9a66} => baby_blue_-_bb-1.0.0-fx
   (Administrateur) - {88060a48-addf-4060-87db-c9aec3e5615a} => phoenity_firefox-1.5.915-fx
   (Administrateur) - {cc6ef5ab-35be-4300-bd07-d12850fc97ff} => curacao
   (Administrateur) - {FDE3FEE9-893E-4cc7-A814-60E0DE7B2E01} => chrome

   (GX2601) - {075538f3-a7a9-498a-8e0d-12f2e2ff862a} => pink_paula_pp_2.0-1.0.2-fx
   (GX2601) - {1BF7AC8B-3EE4-46be-AD8B-7F1FA1F3E15D} => metal_lion_-_brushed_ice-1.6.5-fx
   (GX2601) - {a02c0c70-605c-11da-8cd6-0800200c9a66} => pimpzilla-3.41-fx


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\windows\system32\blank.htm"
   "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
   "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Local Page"="C:\windows\system32\blank.htm"


   --------------------\  Recherche d'autres infections

   C:\WINNT\system32\VFOXwyxx.ini
   C:\WINNT\system32\VFOXwyxx.ini2
   [b]==> VUNDO <==/b
 
   --------------------\  ROOTKIT !!

   Rootkit Rustock ! .. [HKLM\..\CurrentControlSet\Enum\Root\LEGACY_PE386]
   Rootkit Rustock ! .. [HKLM\..\CurrentControlSet\Enum\Root\Pe386]
   Rootkit Rustock ! .. [HKLM\..\ControlSet001\Enum\Root\LEGACY_PE386]
   Rootkit Rustock ! .. [HKLM\..\ControlSet001\Enum\Root\Pe386]
   Rootkit Rustock ! .. [HKLM\..\ControlSet003\Enum\Root\LEGACY_PE386]
   Rootkit Rustock ! .. [HKLM\..\ControlSet003\Enum\Root\Pe386]

   --------------------\  ROGUES ..

   C:\PROGRA~1\Spyware-Secure




   1 - "C:\ToolBar SD\TB_1.txt" - 05/10/2008|21:17 - Option : [1]

   -----------\  Fin du rapport a 21:17:42,56

sKe69 · Answer

Ok ... la suite :

1- Nettoyage avec ToolBar S&D :

!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !!  

Relances Toolbar-S&D en double-cliquant sur le raccourci. 
-->Tapes sur l'option 2 ( "nettoyage" ) puis tapes sur "Entrée". 
Note : ne touches à rien lors de la suppression ! 
Un rapport sera généré à la fin du processus : postes son contenu dans ta prochaine réponse
pour analyse ... 


Une fois ce rapport posté ,fais exactement ce qui suit :


2- Télécharges SDFix sur ton bureau :
ici http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.
ou ici http://sdfix.net/SDFix.exe
 
--> Double-cliques sur SDFix.exe et choisis "Install" .

( tuto ici : https://www.malekal.com/slenfbot-still-an-other-irc-bot/ )

Puis une fois l'installe faite ,

Impératif : Démarrer en mode sans echec .

 /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ). 
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...
 
Ouvres le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double cliques sur RunThis.bat pour lancer le script. 
--->Tapes Y pour lancer le script ... 
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé . 

Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier C:\SDFix sous le nom "Report.txt".
Postes ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport Hijakcthis pour analyse ...

Beloune · Answer

voici le rapport.
Pour le redémarrage en mode sans échec je promets rien, vu ce que cela à donné cet après-midi... mais je tente.


   -----------\  ToolBar S&D 1.2.2   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Uniprocessor Free :                 Intel(R) Celeron(R) CPU 2.00GHz )
   BIOS : Default System BIOS
   USER : Administrateur ( Administrator )
   BOOT : Normal boot
   Antivirus : avast! antivirus 4.8.1201 [VPS 081004-0] 4.8.1201 (Not Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total : 38 Go Free : 9 Go
   D:\ (CD or DVD)
   E:\ (CD or DVD) - CDFS - Total : 0 Go Free : 0 Go

   "C:\ToolBar SD" ( MAJ : 04-10-2008|21:00 )
   Option : [2] ( 05/10/2008|21:38 )

   -----------\ SUPPRESSION

   Supprime! - C:\Program Files\GamesBar\Localization-French.ini
   Supprime! - C:\WINNT\iun6002.exe
   Supprime! - C:\Program Files\GamesBar

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  Extensions

   (Administrateur) - {29c4afe1-db19-4298-8785-fcc94d1d6c1d} => splitbrowser
   (Administrateur) - {29c4afe1-db19-4298-8785-fcc94d1d6c1d} => splitbrowser
   (Administrateur) - {33A8946C-B859-4f7d-8382-ADAB29623DEE} => chrome
   (Administrateur) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar
   (Administrateur) - {6c45b940-ae5a-11db-abbd-0800200c9a66} => baby_blue_-_bb-1.0.0-fx
   (Administrateur) - {88060a48-addf-4060-87db-c9aec3e5615a} => phoenity_firefox-1.5.915-fx
   (Administrateur) - {cc6ef5ab-35be-4300-bd07-d12850fc97ff} => curacao
   (Administrateur) - {FDE3FEE9-893E-4cc7-A814-60E0DE7B2E01} => chrome

   (GX2601) - {075538f3-a7a9-498a-8e0d-12f2e2ff862a} => pink_paula_pp_2.0-1.0.2-fx
   (GX2601) - {1BF7AC8B-3EE4-46be-AD8B-7F1FA1F3E15D} => metal_lion_-_brushed_ice-1.6.5-fx
   (GX2601) - {a02c0c70-605c-11da-8cd6-0800200c9a66} => pimpzilla-3.41-fx


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\windows\system32\blank.htm"
   "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="https://www.msn.com/fr-fr/"
   "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Local Page"="C:\windows\system32\blank.htm"


   --------------------\  Recherche d'autres infections

   C:\WINNT\system32\VFOXwyxx.ini
   C:\WINNT\system32\VFOXwyxx.ini2
   [b]==> VUNDO <==/b
 
   --------------------\  ROOTKIT !!

   Rootkit Rustock ! .. [HKLM\..\CurrentControlSet\Enum\Root\LEGACY_PE386]
   Rootkit Rustock ! .. [HKLM\..\CurrentControlSet\Enum\Root\Pe386]
   Rootkit Rustock ! .. [HKLM\..\ControlSet001\Enum\Root\LEGACY_PE386]
   Rootkit Rustock ! .. [HKLM\..\ControlSet001\Enum\Root\Pe386]
   Rootkit Rustock ! .. [HKLM\..\ControlSet003\Enum\Root\LEGACY_PE386]
   Rootkit Rustock ! .. [HKLM\..\ControlSet003\Enum\Root\Pe386]

   --------------------\  ROGUES ..

   C:\PROGRA~1\Spyware-Secure




   1 - "C:\ToolBar SD\TB_1.txt" - 05/10/2008|21:17 - Option : [1]
   2 - "C:\ToolBar SD\TB_2.txt" - 05/10/2008|21:42 - Option : [2]

   -----------\  Fin du rapport a 21:42:53,85

sKe69 · Answer

Pour le redémarrage en mode sans échec je promets rien, vu ce que cela à donné cet après-midi... mais je tente.

-> faut y arriver lol , c'est impératif pour cet outil ! Si tu rencontres un soucis , dis le moi ....

Beloune · Answer

bin ça ne marche pas. L'ordi redémarre bien en mode sans échec, j'arrive à lancer SDFIX, mais une fois lancé, quand il faut que je tape "Y" c'est bloqué, plus de clavier, plus de souris....

J'ai essayé avec F8 et avec F5... je fais quoi alors ?

sKe69 · Answer

Télécharges ceci : 
https://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe 

double clique dessus ( cela répare la clé safeboot qui gère le mode sans echec ).



ensuite retentes la manipe de SDFix ...

Beloune · Answer

désolée ça ne fonctionne toujours pas. Tant que je ne touche pas au clavier, la souris fonctionne, mais dès que je veux taper la lettre demandée, plus rien....

sKe69 · Answer

On va proccèder autrement :

ici pas besoin de toucher au clavier en mode sans échec :


Télécharges MalwareByte's : 
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php
 
Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

Potasses le tuto pour te familiariser avec le prg : https://forum.pcastuces.com/sujet.asp?f=31&s=3 
( cela dis, il est très simple d'utilisation ).

Impératif : Démarrer en mode sans echec .

 /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ). 
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...
 
Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! )  et supprimes tout ce qu'il peut trouver, c'est à dire :
-->Laisses le scan se terminer,puis à la fin tu cliques sur "résultat" . 
-->Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

Redémarres ton PC ( mode normal ). 

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...

Beloune · Answer

bon c'est en train de scanner. ( J'ai un Mac dans le salon, et mon pc est dans la chambre... pratique le Mac, pas de virus :-D)

Dès que c'est fini je te poste les rapports.

Mais si tu veux aller te coucher, n'hésites pas à me le dire, on finira... demain, ou quand tu pourras.

sKe69 · Answer

re,

On verra bien quand finira le scan ^^... postes les rapports demandés et au pire, je te réponderais demain matin ...

Beloune · Answer

scan enfin terminé. Par contre Malware n'a pas tout supprimé, il devait redémarrer et supprimer lors du démarrage mais je ne suis pas certaine qu'il l'a bien fait. En attendant voici les deux rapports, je te dis à demain, je vais me coucher, je n'en peux plus ( suis enceinte et d'hab à cette heure là je dors déjà :-D)

Rapport Malware :

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1230
Windows 5.1.2600 Service Pack 2

06/10/2008 00:20:21
mbam-log-2008-10-06 (00-20-21).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|)
Eléments examinés: 127345
Temps écoulé: 1 hour(s), 34 minute(s), 32 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 38
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 5
Fichier(s) infecté(s): 86

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINNT\system32\xxywXOFV.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINNT\system32	uvsqpOf.dll (Trojan.Vundo) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{674855c3-b0b1-4413-9bb4-bfa6a9b5257b} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify	uvsqpof (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{674855c3-b0b1-4413-9bb4-bfa6a9b5257b} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d0773cdd-9a46-4b46-8a4c-285eb7e9f161} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{d0773cdd-9a46-4b46-8a4c-285eb7e9f161} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0b682cc1-fb40-4006-a5dd-99edd3c9095d} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{54645654-2225-4455-44a1-9f4543d34545} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5c7f15e1-f31a-44fd-aa1a-2ec63aaffd3a} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5142fe17-20e6-4121-a925-a4c6385cddaa} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER	ypelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Servicesdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Security Tools (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Helper (Spyware.Banker) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dc4da433 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{674855c3-b0b1-4413-9bb4-bfa6a9b5257b} (Trojan.Vundo) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\winnt\system32\xxywxofv -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\winnt\system32\xxywxofv  -> Delete on reboot.

Dossier(s) infecté(s):
C:\Program Files\Fichiers communs\delsim (Dialer) -> Quarantined and deleted successfully.
C:\Casino (Adware.Casino) -> Quarantined and deleted successfully.
C:\Program Files\Inet Delivery (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Program Files\Spyware-Secure (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
C:\WINNT\system32\smp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINNT\system32	uvsqpOf.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINNT\system32\xxywXOFV.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINNT\system32\VFOXwyxx.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINNT\system32\VFOXwyxx.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINNT\system32\ftmcipjc.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINNT\system32\cjpicmtf.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\OLOQO7VY\upd105320[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Program Files\eMule\emule.exe (Rogue.Fake!emule.exe) -> Quarantined and deleted successfully.
C:\Program Files\eMule\LinkCreator.exe (Rogue.Fake!emule.exe) -> Quarantined and deleted successfully.
C:\Program Files\Everest Poker\casino.exe (Adware.Adorable casino) -> Quarantined and deleted successfully.
C:\Program Files\Everest Poker\gvcrt.dll (Adware.Adorable casino) -> Quarantined and deleted successfully.
C:\Program Files\Everest Poker\gvmain.exe (Adware.Adorable casino) -> Quarantined and deleted successfully.
C:\Program Files\Everest Poker.net\casino.exe (Adware.Adorable casino) -> Quarantined and deleted successfully.
C:\Program Files\Everest Poker.net\gvcrt.dll (Adware.Adorable casino) -> Quarantined and deleted successfully.
C:\Program Files\Everest Poker.net\gvmain.exe (Adware.Adorable casino) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8659E705-02D8-4977-9E3B-8DB04E9D3C88}\RP537\A0146637.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8659E705-02D8-4977-9E3B-8DB04E9D3C88}\RP537\A0146781.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8659E705-02D8-4977-9E3B-8DB04E9D3C88}\RP537\A0146786.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8659E705-02D8-4977-9E3B-8DB04E9D3C88}\RP537\A0149813.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINNT\eepa.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINNT\system32\urqnKDWn.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Program Files\Inet Delivery\inetdl.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Program Files\Inet Delivery\intdel.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINNT\system32\smp\msrc.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur\Application Data\TmpRecentIcons\Smart Antivirus-2009.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur\Bureau\Protect Your Privacy.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur\Bureau\Malware Defender.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur\Bureau\System Error Fixer.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur\Application Data\Adobe\Player.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\a.bat (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINNT\base64.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINNT\FVProtect.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINNT\userconfig9x.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINNT\winsystem.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINNT\zip1.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINNT\zip2.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINNT\zip3.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINNT\zipped.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINNT\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\iTunesMusic.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\akttzn.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\anticipator.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\awtoolb.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\bsva-egihsg52.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\dpcproxy.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\emesx.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\hoproxy.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\hxiwlgpm.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\hxiwlgpm.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\medup012.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\medup020.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\msgp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\msnbho.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\msvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\mtr2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\mwin32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32
etode.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32
ewsd32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\ps1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\psof1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\psoft1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32egc64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32egm64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\Rundl1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\sncntr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\ssurf022.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\ssvchost.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\ssvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\sysreq.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32	aack.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32	aack.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32	emp#01.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32	hun.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32	hun32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\VBIEWER.OCX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\vcatchpi.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\winlogonpc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\winsystem.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\WINWGPX.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32:lzx32.sys (Rootkit.ADS) -> Quarantined and deleted successfully.
C:\WINNT\system32\vbsys2.dll (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur\Local Settings\Temp\sft_ver1.1454.0.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.


Rapport Hitjack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:25:13, on 06/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINNT\system32\wscntfy.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [qH4S9e3UFL] C:\Documents and Settings\All Users\Application Datasnqrwdm\zqnojsnm.exe
O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Betway Casino - {3063c161-2f7e-4225-ba73-08bc8f64c67e} - C:\Program Files\Betway\Casino\casinogame.exe
O9 - Extra button: Betway.com Poker - {4CBB5C71-1BA0-49ca-93CD-159AF8AA0CC9} - C:\Program Files\Betway\Poker\MPPoker.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe (file missing)
O23 - Service: Windows Tune service - Unknown owner - C:\WINNT	une.exe (file missing)

sKe69 · Answer

Très bien ... la suite pour demain donc :


dans l'ordre,

1- Supprimes tout ce qui se trouve dans la quarantaine de Malwarebytes ( via celle-ci ).


2- Refais un coup de CCleaner ( registre compris ).


3- fais exactement ce qui suit :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !): 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 


--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après  !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques sur l'icône "combofix.exe" pour lancer l'outil . 

Appuyes sur la touche Y (Yes) pour démarrer le scan . 

Notes importantes : 
-> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment  : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée dans: C:\Combofix.txt 
 
Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...


************************

Bonne nuit ....=)

Beloune · Answer

Bonjour,

j'espère que ta nuit fut bonne.

Voici les rapports :

Combofix :

ComboFix 08-10-05.05 - Administrateur 2008-10-06 7:47:44.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.729 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Administrateur\Application Data\Adobe\crc.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\WINNT\jestertb.dll
C:\WINNT\system32\fipeluwm.ini
C:\WINNT\system32\Microsoft\backup.ftp
C:\WINNT\system32\Microsoft\backup.tftp
C:\WINNT\system32\MSINET.oca
C:\WINNT\system32\ulmegydr.ini
C:\WINNT\Web\default.htt

----- BITS: Il y a peut-être des sites infectés -----

hxxp://78.157.143.198
hxxp://78.157.142.26
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_WINDOWS_TUNE_SERVICE
-------\Service_IAS
-------\Service_Windows Tune service

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-06 au 2008-10-06 ))))))))))))))))))))))))))))))))))))
.

2008-10-05 22:36 . 2008-10-05 22:36 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-05 22:36 . 2008-10-05 22:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-05 22:36 . 2008-10-05 22:36 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-10-05 22:36 . 2008-09-10 00:04 38,528 --a------ C:\WINNT\system32\drivers\mbamswissarmy.sys
2008-10-05 22:36 . 2008-09-10 00:03 17,200 --a------ C:\WINNT\system32\drivers\mbam.sys
2008-10-05 21:53 . 2008-10-04 03:11 <REP> d-------- C:\SDFix
2008-10-05 21:15 . 2008-10-05 21:40 2,212 --a------ C:\Documents and Settings\Orph.egd
2008-10-05 21:13 . 2008-10-05 21:42 <REP> d-------- C:\ToolBar SD
2008-10-05 20:15 . 2008-10-05 20:46 <REP> d-------- C:\Program Files\Navilog1
2008-10-05 19:27 . 2008-10-05 20:06 <REP> d-------- C:\Lop SD
2008-10-05 11:56 . 2008-10-05 18:00 2,204 --a------ C:\WINNT\system32\tmp.reg
2008-10-05 11:19 . 2008-10-05 11:19 <REP> d-------- C:\Program Files\Trend Micro
2008-10-05 08:35 . 2008-10-05 08:35 275,968 --a------ C:\WINNT\system32\kaqkkgk.exe
2008-10-04 23:07 . 2008-10-05 10:58 <REP> d-------- C:\Program Files\ngksggc
2008-10-04 23:07 . 2008-10-05 17:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\rsnqrwdm
2008-10-03 06:04 . 2008-10-03 06:04 319,488 --a------ C:\WINNT\system32\uaiqq.exe
2008-09-27 08:11 . 2008-09-27 08:11 <REP> d-------- C:\Program Files\IZArc
2008-09-18 14:22 . 2008-09-18 14:22 203,776 --a------ C:\WINNT\system32\clrviddc.dll
2008-09-16 20:25 . 2008-09-17 10:13 <REP> d-------- C:\Program Files\eMule
2008-09-11 09:57 . 2008-09-11 09:57 <REP> d-------- C:\Program Files\uTorrent
2008-09-10 17:39 . 2008-09-10 17:39 414,051 --a------ C:\WINNT\Enjoy 6e Uninstaller.exe
2008-09-10 17:31 . 2008-09-10 17:31 <REP> d-------- C:\Program Files\Fichiers communs\Thraex Software
2008-09-10 17:31 . 2008-09-10 17:31 <REP> d-------- C:\Program Files\Enjoy 6e

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-05 17:18 --------- d-----w C:\Program Files\CCleaner
2008-10-03 22:45 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\uTorrent
2008-10-02 16:44 --------- d-----w C:\Program Files\SimPE
2008-09-27 06:11 --------- d-----w C:\Program Files\EA GAMES
2008-09-11 07:49 --------- d-----w C:\Program Files\Incomplete
2008-09-11 07:48 --------- d-----w C:\Program Files\LimeWire
2008-09-02 19:18 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\dvdcss
2008-08-27 20:05 --------- d-----w C:\Program Files\Opera
2008-08-03 14:11 21,473,624 ----a-w C:\WINNT\Internet Logs\vsmon_on_demand_2008_08_03_06_06_09_full.dmp.zip
2004-07-20 09:54 271 --sh--w C:\Program Files\desktop.ini
2004-07-20 09:54 22,115 -c-h--w C:\Program Files\folder.htt
2007-11-17 06:46 848 --sha-w C:\WINNT\system32\KGyGaAvL.sys
.

Hitjack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:03, on 2008-10-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\wscntfy.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [qH4S9e3UFL] C:\Documents and Settings\All Users\Application Data\rsnqrwdm\zqnojsnm.exe
O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Betway Casino - {3063c161-2f7e-4225-ba73-08bc8f64c67e} - C:\Program Files\Betway\Casino\casinogame.exe
O9 - Extra button: Betway.com Poker - {4CBB5C71-1BA0-49ca-93CD-159AF8AA0CC9} - C:\Program Files\Betway\Poker\MPPoker.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe (file missing)

sKe69 · Answer

Salut,

le rapport de Combofix n'est pas complet ... Erreur de copier/coller ? ^^

Peux tu me le reposter en entier stp ...

Beloune · Answer

Je n'ai que ça sur le fichier texte de combofix. Je l'ai pris dans C:\ComboFix, il s'appelle combofix c'est bien ça ? Parcequ'il y a d'autre fichier texte sinon.

ComboFix 08-10-05.05 - Administrateur 2008-10-06 7:47:44.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.729 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Administrateur\Application Data\Adobe\crc.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\WINNT\jestertb.dll
C:\WINNT\system32\fipeluwm.ini
C:\WINNT\system32\Microsoft\backup.ftp
C:\WINNT\system32\Microsoft\backup.tftp
C:\WINNT\system32\MSINET.oca
C:\WINNT\system32\ulmegydr.ini
C:\WINNT\Web\default.htt

----- BITS: Il y a peut-être des sites infectés -----

hxxp://78.157.143.198
hxxp://78.157.142.26
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_WINDOWS_TUNE_SERVICE
-------\Service_IAS
-------\Service_Windows Tune service

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-06 au 2008-10-06 ))))))))))))))))))))))))))))))))))))
.

2008-10-05 22:36 . 2008-10-05 22:36 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-05 22:36 . 2008-10-05 22:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-05 22:36 . 2008-10-05 22:36 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-10-05 22:36 . 2008-09-10 00:04 38,528 --a------ C:\WINNT\system32\drivers\mbamswissarmy.sys
2008-10-05 22:36 . 2008-09-10 00:03 17,200 --a------ C:\WINNT\system32\drivers\mbam.sys
2008-10-05 21:53 . 2008-10-04 03:11 <REP> d-------- C:\SDFix
2008-10-05 21:15 . 2008-10-05 21:40 2,212 --a------ C:\Documents and Settings\Orph.egd
2008-10-05 21:13 . 2008-10-05 21:42 <REP> d-------- C:\ToolBar SD
2008-10-05 20:15 . 2008-10-05 20:46 <REP> d-------- C:\Program Files\Navilog1
2008-10-05 19:27 . 2008-10-05 20:06 <REP> d-------- C:\Lop SD
2008-10-05 11:56 . 2008-10-05 18:00 2,204 --a------ C:\WINNT\system32\tmp.reg
2008-10-05 11:19 . 2008-10-05 11:19 <REP> d-------- C:\Program Files\Trend Micro
2008-10-05 08:35 . 2008-10-05 08:35 275,968 --a------ C:\WINNT\system32\kaqkkgk.exe
2008-10-04 23:07 . 2008-10-05 10:58 <REP> d-------- C:\Program Files\ngksggc
2008-10-04 23:07 . 2008-10-05 17:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\rsnqrwdm
2008-10-03 06:04 . 2008-10-03 06:04 319,488 --a------ C:\WINNT\system32\uaiqq.exe
2008-09-27 08:11 . 2008-09-27 08:11 <REP> d-------- C:\Program Files\IZArc
2008-09-18 14:22 . 2008-09-18 14:22 203,776 --a------ C:\WINNT\system32\clrviddc.dll
2008-09-16 20:25 . 2008-09-17 10:13 <REP> d-------- C:\Program Files\eMule
2008-09-11 09:57 . 2008-09-11 09:57 <REP> d-------- C:\Program Files\uTorrent
2008-09-10 17:39 . 2008-09-10 17:39 414,051 --a------ C:\WINNT\Enjoy 6e Uninstaller.exe
2008-09-10 17:31 . 2008-09-10 17:31 <REP> d-------- C:\Program Files\Fichiers communs\Thraex Software
2008-09-10 17:31 . 2008-09-10 17:31 <REP> d-------- C:\Program Files\Enjoy 6e

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-05 17:18 --------- d-----w C:\Program Files\CCleaner
2008-10-03 22:45 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\uTorrent
2008-10-02 16:44 --------- d-----w C:\Program Files\SimPE
2008-09-27 06:11 --------- d-----w C:\Program Files\EA GAMES
2008-09-11 07:49 --------- d-----w C:\Program Files\Incomplete
2008-09-11 07:48 --------- d-----w C:\Program Files\LimeWire
2008-09-02 19:18 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\dvdcss
2008-08-27 20:05 --------- d-----w C:\Program Files\Opera
2008-08-03 14:11 21,473,624 ----a-w C:\WINNT\Internet Logs\vsmon_on_demand_2008_08_03_06_06_09_full.dmp.zip
2004-07-20 09:54 271 --sh--w C:\Program Files\desktop.ini
2004-07-20 09:54 22,115 -c-h--w C:\Program Files\folder.htt
2007-11-17 06:46 848 --sha-w C:\WINNT\system32\KGyGaAvL.sys
.

sKe69 · Answer

cela veut dire qu'il a planté ou que tu as fait une fausse manipe ...

on recommences :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !): 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 


--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après  !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques sur l'icône "combofix.exe" pour lancer l'outil . 

Appuyes sur la touche Y (Yes) pour démarrer le scan . 

Notes importantes : 
-> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment  : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée dans: C:\Combofix.txt 
 
Postes le nouveau rapport Combofix pour analyse ...

yakoub · Answer

slt,
ce virus est un virus systeme peut correge ce probleme correge par formatage total de disque dur

Beloune · Answer

Bien j'ai tout refais, j'ai installé aussi la console de récupération, comme expliqué dans le tuto, puis refais un scan avec combo mais j'ai l'impression que le rapport est le même.

J'ai pourtant tout suivi à la lettre, rien touché pendant le scan...

ComboFix 08-10-05.05 - Administrateur 2008-10-06 11:52:44.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.703 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
Commutateurs utilisés :: C:\Documents and Settings\Administrateur\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Documents and Settings\Administrateur\Application Data\Adobe\crc.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\WINNT\jestertb.dll
C:\WINNT\system32\fipeluwm.ini
C:\WINNT\system32\Microsoft\backup.ftp
C:\WINNT\system32\Microsoft\backup.tftp
C:\WINNT\system32\MSINET.oca
C:\WINNT\system32\ulmegydr.ini
C:\WINNT\Web\default.htt

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_WINDOWS_TUNE_SERVICE
-------\Service_IAS
-------\Service_Windows Tune service

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-06 au 2008-10-06 ))))))))))))))))))))))))))))))))))))
.

2008-10-05 22:36 . 2008-10-05 22:36 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-05 22:36 . 2008-10-05 22:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-05 22:36 . 2008-10-05 22:36 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-10-05 22:36 . 2008-09-10 00:04 38,528 --a------ C:\WINNT\system32\drivers\mbamswissarmy.sys
2008-10-05 22:36 . 2008-09-10 00:03 17,200 --a------ C:\WINNT\system32\drivers\mbam.sys
2008-10-05 21:53 . 2008-10-04 03:11 <REP> d-------- C:\SDFix
2008-10-05 21:15 . 2008-10-05 21:40 2,212 --a------ C:\Documents and Settings\Orph.egd
2008-10-05 21:13 . 2008-10-05 21:42 <REP> d-------- C:\ToolBar SD
2008-10-05 20:15 . 2008-10-05 20:46 <REP> d-------- C:\Program Files\Navilog1
2008-10-05 19:27 . 2008-10-05 20:06 <REP> d-------- C:\Lop SD
2008-10-05 11:56 . 2008-10-05 18:00 2,204 --a------ C:\WINNT\system32\tmp.reg
2008-10-05 11:19 . 2008-10-05 11:19 <REP> d-------- C:\Program Files\Trend Micro
2008-10-05 08:35 . 2008-10-05 08:35 275,968 --a------ C:\WINNT\system32\kaqkkgk.exe
2008-10-04 23:07 . 2008-10-05 10:58 <REP> d-------- C:\Program Files\ngksggc
2008-10-04 23:07 . 2008-10-05 17:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\rsnqrwdm
2008-10-03 06:04 . 2008-10-03 06:04 319,488 --a------ C:\WINNT\system32\uaiqq.exe
2008-09-27 08:11 . 2008-09-27 08:11 <REP> d-------- C:\Program Files\IZArc
2008-09-18 14:22 . 2008-09-18 14:22 203,776 --a------ C:\WINNT\system32\clrviddc.dll
2008-09-16 20:25 . 2008-09-17 10:13 <REP> d-------- C:\Program Files\eMule
2008-09-11 09:57 . 2008-09-11 09:57 <REP> d-------- C:\Program Files\uTorrent
2008-09-10 17:39 . 2008-09-10 17:39 414,051 --a------ C:\WINNT\Enjoy 6e Uninstaller.exe
2008-09-10 17:31 . 2008-09-10 17:31 <REP> d-------- C:\Program Files\Fichiers communs\Thraex Software
2008-09-10 17:31 . 2008-09-10 17:31 <REP> d-------- C:\Program Files\Enjoy 6e

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-05 17:18 --------- d-----w C:\Program Files\CCleaner
2008-10-03 22:45 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\uTorrent
2008-10-02 16:44 --------- d-----w C:\Program Files\SimPE
2008-09-27 06:11 --------- d-----w C:\Program Files\EA GAMES
2008-09-11 07:49 --------- d-----w C:\Program Files\Incomplete
2008-09-11 07:48 --------- d-----w C:\Program Files\LimeWire
2008-09-02 19:18 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\dvdcss
2008-08-27 20:05 --------- d-----w C:\Program Files\Opera
2008-08-03 14:11 21,473,624 ----a-w C:\WINNT\Internet Logs\vsmon_on_demand_2008_08_03_06_06_09_full.dmp.zip
2008-07-10 06:04 389,120 ----a-w C:\WINNT\system32\wiisaqc.exe
2008-07-08 08:42 389,120 ----a-w C:\WINNT\system32\cyqqa.exe
2004-07-20 09:54 271 --sh--w C:\Program Files\desktop.ini
2004-07-20 09:54 22,115 -c-h--w C:\Program Files\folder.htt
2007-11-17 06:46 848 --sha-w C:\WINNT\system32\KGyGaAvL.sys

sKe69 · Answer

Bon ... il y quelque chose qui coince ....

On verra après ...


1- Avoir accès aux fichiers cachés :
 
Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage 
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché
-> valides la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 



2- Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche : 
C:\Documents and Settings\All Users\Application Data\rsnqrwdm\zqnojsnm.exe 

Cliques sur Send File ( = " Envoyer le fichier " ). 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copies le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )


Fais de même pour :
C:\WINNT\system32\kaqkkgk.exe 
C:\WINNT\system32\uaiqq.exe 
C:\WINNT\Enjoy 6e Uninstaller.exe 
C:\WINNT\system32\wiisaqc.exe 
C:\Program Files\folder.htt 

postes moi donc ces 6 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

Beloune · Answer

Bon heu déjà pour celui ci :

C:\Documents and Settings\All Users\Application Data\rsnqrwdm\zqnojsnm.exe

ça me dit fichier introuvable....

Mais j'ai un doute, où exactement est ce que je dois copier coller ce truc là ? Dans la nouvelle fenêtre qui s'ouvre en me demandant quel fichier ouvrir ??

Beloune · Answer

bon j'ai cherché le premier dossier manuellement, en fait il s'arrête à : 

c:\documents and settings\all users\Application data\rsnqrwdm

Le dossier rsnqrwdm est vide....

Sinon voici pour les 5 autres :



C:\WINNT\system32\kaqkkgk.exe 


Antivirus  	Version  	Dernière mise à jour  	Résultat
AhnLab-V3	2008.10.3.2	2008.10.06	-
AntiVir	7.8.1.34	2008.10.06	-
Authentium	5.1.0.4	2008.10.05	-
Avast	4.8.1248.0	2008.10.05	-
AVG	8.0.0.161	2008.10.05	-
BitDefender	7.2	2008.10.06	-
CAT-QuickHeal	9.50	2008.10.06	-
ClamAV	0.93.1	2008.10.06	-
DrWeb	4.44.0.09170	2008.10.06	-
eSafe	7.0.17.0	2008.10.05	-
eTrust-Vet	31.6.6131	2008.10.06	-
Ewido	4.0	2008.10.05	-
F-Prot	4.4.4.56	2008.10.05	-
F-Secure	8.0.14332.0	2008.10.06	-
Fortinet	3.113.0.0	2008.10.06	-
GData	19	2008.10.06	-
Ikarus	T3.1.1.34.0	2008.10.06	-
K7AntiVirus	7.10.484	2008.10.04	-
Kaspersky	7.0.0.125	2008.10.06	-
McAfee	5398	2008.10.04	-
Microsoft	1.4005	2008.10.06	Trojan:Win32/Skintrim.gen!D
NOD32	3496	2008.10.06	-
Norman	5.80.02	2008.10.03	-
Panda	9.0.0.4	2008.10.05	-
PCTools	4.4.2.0	2008.10.05	-
Prevx1	V2	2008.10.06	-
Rising	20.65.02.00	2008.10.06	-
SecureWeb-Gateway	6.7.6	2008.10.06	-
Sophos	4.34.0	2008.10.06	-
Sunbelt	3.1.1704.1	2008.10.05	-
Symantec	10	2008.10.06	-
TheHacker	6.3.1.0.101	2008.10.04	-
TrendMicro	8.700.0.1004	2008.10.06	-
VBA32	3.12.8.6	2008.10.05	-
ViRobot	2008.10.6.1408	2008.10.06	-
VirusBuster	4.5.11.0	2008.10.05	-
Information additionnelle
File size: 275968 bytes
MD5...: 26e5df53a5db4ac47a9a9b7551e00145
SHA1..: 16b4f5363bbbaa839a58dbbb9f492cadf89cf0d2
SHA256: 7bc2b0e45bd0995aa879db1aae89deaba049da791744c7b5d908880a483a4760
SHA512: 843a57f6cd0971a04f6fe04116bfba84563a329a771fc531b6165963c951f2b6
d19d7b1e9f8686f635a523b5a1d10891d14d9c8ccc1a5a299aa4dc648792273a
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4014c0
timedatestamp.....: 0x477806e0 (Sun Dec 30 21:00:16 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x830 0xa00 5.77 fdc5395b93a21f059e8a1ad0ac35ad5d
.rdata 0x2000 0xf3e 0x1000 5.12 5abc8f877085f65077f18f1c54601476
.data 0x3000 0x417c9 0x41800 7.35 f1243fd7a0d6fd0be0c2941e545ff130

( 10 imports )
> KERNEL32.dll: DebugBreak, LCMapStringA, GetBinaryTypeW, GetDriveTypeW, LocalReAlloc, CancelIo, GetFileType, GetCommandLineA, VirtualAlloc, ExitProcess
> USER32.dll: IsChild, SendMessageA, CheckRadioButton, GrayStringA, TrackPopupMenu, RemoveMenu, CreateMenu, GetDCEx, SetWindowContextHelpId, SetSysColors, GetMessageExtraInfo, GetMenuItemInfoW, UpdateWindow, CheckMenuRadioItem, ExcludeUpdateRgn, CreateCursor, IsZoomed, HiliteMenuItem, TranslateAcceleratorA, SetParent, EnumDisplayDevicesA, PostMessageW, IsCharUpperW, DialogBoxParamW, ReleaseCapture, MenuItemFromPoint, UnhookWindowsHook, LoadIconA, SetClipboardData, GetScrollInfo, GetClipboardOwner, ValidateRgn, ToUnicode, SetDlgItemTextA, GetWindowWord, SendDlgItemMessageA, GetKeyboardLayoutNameW, ReplyMessage, IsDlgButtonChecked, SetForegroundWindow, GetTitleBarInfo, GetUserObjectInformationW, FrameRect, ShowWindowAsync, UnregisterClassA, GetKeyboardState, CreateAcceleratorTableA, CreateDialogParamW
> GDI32.dll: ExtTextOutW, CreateICA, CreateFontIndirectW, RestoreDC, GetTextCharacterExtra, CreateFontIndirectA, GetCharacterPlacementA, CreateDIBPatternBrushPt, EndPath, StartDocW, PathToRegion, SetPixelFormat, GetMetaFileBitsEx, SetWindowExtEx, SetTextCharacterExtra, PlayEnhMetaFileRecord, SelectObject, LPtoDP
> comdlg32.dll: ChooseFontA, CommDlgExtendedError, ChooseColorW, GetFileTitleW
> ADVAPI32.dll: SetNamedSecurityInfoA, GetSidSubAuthority, OpenProcessToken, IsTextUnicode, LookupAccountNameA, RegSaveKeyW, ChangeServiceConfigW, CopySid, RegDeleteValueA, GetSidIdentifierAuthority, SetServiceObjectSecurity, NotifyChangeEventLog, CryptDestroyKey, GetSidLengthRequired, UnlockServiceDatabase, GetServiceDisplayNameA, CryptVerifySignatureW, CryptImportKey, SetSecurityDescriptorSacl
> SHELL32.dll: SHGetDesktopFolder, DragAcceptFiles, SHAddToRecentDocs
> ole32.dll: OleRegGetMiscStatus, OleFlushClipboard, CoLockObjectExternal, OleRegGetUserType, OleCreateLink, CoRegisterClassObject, WriteClassStg, OleLockRunning
> OLEAUT32.dll: -, -, -
> COMCTL32.dll: ImageList_Remove
> SHLWAPI.dll: StrChrW, StrRChrW, PathFindExtensionW, SHQueryValueExW, PathIsPrefixW, PathFindExtensionA, StrCmpNIW, PathCommonPrefixW, wnsprintfW, UrlIsW, StrStrIW, PathIsDirectoryW, PathRemoveFileSpecA, wnsprintfA, StrToIntW, StrFormatByteSizeA, PathRemoveBackslashA, SHRegGetUSValueW, StrCatBuffW, SHDeleteKeyA

( 0 exports )


******************************************************

C:\WINNT\system32\uaiqq.exe 

Antivirus  	Version  	Dernière mise à jour  	Résultat
AhnLab-V3	2008.10.3.2	2008.10.06	-
AntiVir	7.8.1.34	2008.10.06	-
Authentium	5.1.0.4	2008.10.05	-
Avast	4.8.1248.0	2008.10.05	-
AVG	8.0.0.161	2008.10.05	-
BitDefender	7.2	2008.10.06	-
CAT-QuickHeal	9.50	2008.10.06	-
ClamAV	0.93.1	2008.10.06	-
DrWeb	4.44.0.09170	2008.10.06	-
eSafe	7.0.17.0	2008.10.05	-
eTrust-Vet	31.6.6131	2008.10.06	-
Ewido	4.0	2008.10.05	-
F-Prot	4.4.4.56	2008.10.05	-
F-Secure	8.0.14332.0	2008.10.06	-
Fortinet	3.113.0.0	2008.10.06	-
GData	19	2008.10.06	-
Ikarus	T3.1.1.34.0	2008.10.06	-
K7AntiVirus	7.10.484	2008.10.04	-
Kaspersky	7.0.0.125	2008.10.06	-
McAfee	5398	2008.10.04	-
Microsoft	1.4005	2008.10.06	Trojan:Win32/Skintrim.gen!D
NOD32	3496	2008.10.06	-
Norman	5.80.02	2008.10.03	-
Panda	9.0.0.4	2008.10.05	-
PCTools	4.4.2.0	2008.10.05	-
Prevx1	V2	2008.10.06	-
Rising	20.65.02.00	2008.10.06	-
SecureWeb-Gateway	6.7.6	2008.10.06	-
Sophos	4.34.0	2008.10.06	-
Sunbelt	3.1.1704.1	2008.10.05	-
Symantec	10	2008.10.06	-
TheHacker	6.3.1.0.101	2008.10.04	-
TrendMicro	8.700.0.1004	2008.10.06	-
VBA32	3.12.8.6	2008.10.05	-
ViRobot	2008.10.6.1408	2008.10.06	-
VirusBuster	4.5.11.0	2008.10.05	-
Information additionnelle
File size: 319488 bytes
MD5...: 51bf98c47e73b33ae1e330b6a135ef2e
SHA1..: ccc3f85dd4b75ade28a4f55b3a2ed0b22d78172b
SHA256: 4b43438d5e24dd7d6dfa3d571f59147896584afc4963d07bb3e03ccc7fb075fd
SHA512: 5108b898e057a54b37108dcd2b5c214aef4bdf70696d2055e3b7fe20ebde8086
282035083e8b26f1662d3b5328691315d1be42eb526d8cc3a8902fcb6151e4d8
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4015b0
timedatestamp.....: 0x41b0f761 (Fri Dec 03 23:31:45 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8a0 0x1000 4.24 5f12d42953b63a28f411cf15aa51bcb2
.rdata 0x2000 0xbf8 0x1000 4.27 cb9f1c728e04a254b487af7751d25522
.data 0x3000 0x4abff 0x4b000 7.31 bb137cb1d32faaaf550341c557393c19

( 9 imports )
> KERNEL32.dll: GetCommConfig, FindResourceExA, GetCPInfo, SetupComm, UnmapViewOfFile, GetDiskFreeSpaceW, VirtualQuery, GetBinaryTypeA, SetNamedPipeHandleState, AreFileApisANSI, GetFileType, _hread, WriteFile, LocalSize, GetComputerNameW, FindFirstFileA, CreateWaitableTimerA, GetModuleHandleA, FileTimeToLocalFileTime, SetLastError, OutputDebugStringW, EnumCalendarInfoA, GetCommandLineA, lstrlenA, VirtualAlloc, CompareStringA, ExitProcess
> USER32.dll: GetWindowTextW, GetTabbedTextExtentA, LoadBitmapW, mouse_event, SetWindowRgn, CharLowerBuffA, SetClassLongA, GetClassInfoA, MapVirtualKeyA, LoadAcceleratorsA, DrawEdge, RegisterClipboardFormatW, ValidateRect, OemToCharBuffA, ShowScrollBar, GetWindowInfo
> GDI32.dll: DPtoLP, SetTextJustification, GetCurrentObject, GetOutlineTextMetricsA, CreateDIBSection
> comdlg32.dll: ChooseFontA, PageSetupDlgW, ChooseColorA, PrintDlgA
> ADVAPI32.dll: RegisterEventSourceA, CryptDeriveKey, CryptSetKeyParam, CryptExportKey, ImpersonateLoggedOnUser, CryptSignHashW, ChangeServiceConfigA, RegCreateKeyA, RegDeleteValueA, LookupAccountSidA, GetTokenInformation, CryptDestroyHash, RegQueryInfoKeyW, IsValidSid, SetSecurityDescriptorSacl, CryptCreateHash, RevertToSelf, RegQueryValueExA, CryptDecrypt, GetServiceKeyNameW, GetSecurityDescriptorDacl, GetSidLengthRequired, RegConnectRegistryW
> SHELL32.dll: SHAddToRecentDocs, DragQueryPoint
> ole32.dll: StgOpenStorage, CoCreateInstance, OleQueryLinkFromData, RevokeDragDrop, CoGetTreatAsClass, CoGetObject, OleBuildVersion, CoLockObjectExternal
> OLEAUT32.dll: -, -, -, -, -, -
> SHLWAPI.dll: PathQuoteSpacesA, PathStripPathW, StrCmpNIW, StrStrA, SHGetValueW, PathGetArgsW, PathIsURLW, PathUnquoteSpacesW, PathIsNetworkPathW, SHRegGetBoolUSValueA, StrChrW, PathCommonPrefixW, SHGetValueA, SHRegGetBoolUSValueW, PathRemoveFileSpecA

( 0 exports ) 

**************************************************

C:\WINNT\Enjoy 6e Uninstaller.exe 

Antivirus  	Version  	Dernière mise à jour  	Résultat
AhnLab-V3	2008.10.3.2	2008.10.06	-
AntiVir	7.8.1.34	2008.10.06	-
Authentium	5.1.0.4	2008.10.05	-
Avast	4.8.1248.0	2008.10.05	-
AVG	8.0.0.161	2008.10.05	-
BitDefender	7.2	2008.10.06	-
CAT-QuickHeal	9.50	2008.10.06	-
ClamAV	0.93.1	2008.10.06	-
DrWeb	4.44.0.09170	2008.10.06	-
eSafe	7.0.17.0	2008.10.05	-
eTrust-Vet	31.6.6131	2008.10.06	-
Ewido	4.0	2008.10.05	-
F-Prot	4.4.4.56	2008.10.05	-
F-Secure	8.0.14332.0	2008.10.06	-
Fortinet	3.113.0.0	2008.10.06	-
GData	19	2008.10.06	-
Ikarus	T3.1.1.34.0	2008.10.06	-
K7AntiVirus	7.10.484	2008.10.04	Trojan.Win32.Malware.1
Kaspersky	7.0.0.125	2008.10.06	-
McAfee	5398	2008.10.04	-
Microsoft	1.4005	2008.10.06	-
NOD32	3496	2008.10.06	-
Norman	5.80.02	2008.10.03	-
Panda	9.0.0.4	2008.10.05	-
PCTools	4.4.2.0	2008.10.05	-
Prevx1	V2	2008.10.06	-
Rising	20.65.02.00	2008.10.06	-
SecureWeb-Gateway	6.7.6	2008.10.06	-
Sophos	4.34.0	2008.10.06	-
Sunbelt	3.1.1704.1	2008.10.05	-
Symantec	10	2008.10.06	-
TheHacker	6.3.1.0.101	2008.10.04	-
TrendMicro	8.700.0.1004	2008.10.06	-
VBA32	3.12.8.6	2008.10.05	-
ViRobot	2008.10.6.1408	2008.10.06	-
VirusBuster	4.5.11.0	2008.10.05	-
Information additionnelle
File size: 414051 bytes
MD5...: e97c4a6513403daed0c8eb92102f5faf
SHA1..: 0dd189686129dd669a3a5d41ac27952a9c7a33c2
SHA256: 364c2fc44e4b8448abd369751e56254d92548843d6b93714a48128844d5518d6
SHA512: 210e5466fae5cfe53b9e7a970aedd2b7d0984808e7754b78f02e726798679382
f418774187495cb20474e44764095173efdc8327d2e2e5d83b507fc12805ee7c
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x407977
timedatestamp.....: 0x4315bd41 (Wed Aug 31 14:22:57 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9aa0 0x9c00 6.53 0e3a81c26b20fad3f71d743d584050d4
.rdata 0xb000 0x1576 0x1600 5.36 2260a3cbf9b32a53b135b9f4b1131020
.data 0xd000 0x109c 0xa00 3.91 29f3e8d0b2e20e7707949d959cded5c8
.rsrc 0xf000 0xc58 0xe00 3.78 233d81992659b058b459311c634cb8d5

( 9 imports )
> KERNEL32.dll: RemoveDirectoryA, MoveFileA, GetTempFileNameA, CopyFileA, CompareFileTime, GetFileTime, SetFileAttributesA, GetLastError, CreateMutexA, GetFileSize, GetModuleFileNameA, GetCommandLineA, GetVersionExA, GetCurrentProcess, LCMapStringA, GetOEMCP, GetACP, GetCPInfo, GetStringTypeW, GetStringTypeA, MoveFileExA, VirtualAlloc, RtlUnwind, VirtualFree, HeapCreate, HeapDestroy, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, HeapFree, HeapSize, TerminateProcess, HeapAlloc, HeapReAlloc, ExitProcess, GetVersion, GetStartupInfoA, GetWindowsDirectoryA, GetShortPathNameA, GetCurrentDirectoryA, SetCurrentDirectoryA, SetErrorMode, GetProcAddress, FreeLibrary, CreateProcessA, Sleep, GetExitCodeProcess, WideCharToMultiByte, MultiByteToWideChar, GetTempPathA, GetTickCount, GetFileAttributesA, LCMapStringW, WriteFile, CreateFileA, SetFilePointer, CloseHandle, ReadFile, GlobalReAlloc, GlobalUnlock, GlobalFree, GlobalAlloc, GlobalLock, DeleteFileA, lstrcpyA, lstrlenA, lstrcatA, LoadLibraryA, GetModuleHandleA, MulDiv
> USER32.dll: SendDlgItemMessageA, GetParent, GetDlgItemTextW, SetDlgItemTextW, GetDlgItemTextA, SetDlgItemTextA, EndDialog, DialogBoxParamA, EnableWindow, IsDialogMessageA, MsgWaitForMultipleObjects, PostQuitMessage, DispatchMessageA, PeekMessageA, GetWindowTextW, MessageBoxW, MessageBoxA, GetDlgItem, SetWindowTextW, SetWindowTextA, GetSystemMetrics, RegisterClassExW, CreateWindowExW, TranslateMessage, DialogBoxParamW, ReleaseDC, GetDC, GetDesktopWindow, LoadCursorA, ExitWindowsEx, GetMessageA, GetWindowRect, SystemParametersInfoA, ShowWindow, RegisterClassExA, SetTimer, DefWindowProcW, DefWindowProcA, InvalidateRect, IsWindowVisible, PtInRect, SetCursor, GetCursorPos, LoadIconA, LoadImageA, GetSysColor, GetFocus, GetWindowLongA, GetWindowTextA, DrawTextA, DrawFocusRect, CreateWindowExA, SetWindowLongA, SendMessageA, SetFocus, WaitMessage
> GDI32.dll: CreateFontA, CreateDIBitmap, CreatePalette, CreateCompatibleDC, CreateCompatibleBitmap, StretchDIBits, GetStockObject, CreateSolidBrush, BitBlt, SetBkMode, SetTextColor, GetTextExtentPoint32A, SetTextAlign, DeleteObject, GetDeviceCaps, SetBkColor, SelectObject, DeleteDC
> ADVAPI32.dll: RegQueryValueExA, OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges, RegSetValueExA, RegDeleteKeyA, RegDeleteValueA, RegEnumValueA, RegEnumKeyExA, RegOpenKeyExA, RegCloseKey
> SHELL32.dll: ShellExecuteA
> ole32.dll: CoUninitialize, OleInitialize, OleUninitialize, CoInitialize
> OLEAUT32.dll: -, -
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
> COMCTL32.dll: -

( 0 exports ) 

****************************************************

C:\WINNT\system32\wiisaqc.exe 

Antivirus  	Version  	Dernière mise à jour  	Résultat
AhnLab-V3	2008.10.3.2	2008.10.06	-
AntiVir	7.8.1.34	2008.10.06	-
Authentium	5.1.0.4	2008.10.05	-
Avast	4.8.1248.0	2008.10.05	Win32:ScarMorph
AVG	8.0.0.161	2008.10.05	-
BitDefender	7.2	2008.10.06	Adware.NaviPromo.Gen.1
CAT-QuickHeal	9.50	2008.10.06	-
ClamAV	0.93.1	2008.10.06	-
DrWeb	4.44.0.09170	2008.10.06	Trojan.Packed.562
eSafe	7.0.17.0	2008.10.05	-
eTrust-Vet	31.6.6131	2008.10.06	-
Ewido	4.0	2008.10.05	-
F-Prot	4.4.4.56	2008.10.05	-
F-Secure	8.0.14332.0	2008.10.06	-
Fortinet	3.113.0.0	2008.10.06	W32/Skintrim!tr
GData	19	2008.10.06	Adware.NaviPromo.Gen.1
Ikarus	T3.1.1.34.0	2008.10.06	Trojan.Win32.Skintrim.B
K7AntiVirus	7.10.484	2008.10.04	-
Kaspersky	7.0.0.125	2008.10.06	-
McAfee	5398	2008.10.04	Skintrim.gen
Microsoft	1.4005	2008.10.06	Trojan:Win32/Skintrim.B
NOD32	3496	2008.10.06	a variant of Win32/Kryptik.K
Norman	5.80.02	2008.10.03	-
Panda	9.0.0.4	2008.10.05	-
PCTools	4.4.2.0	2008.10.05	-
Prevx1	V2	2008.10.06	Malicious Software
Rising	20.65.02.00	2008.10.06	-
SecureWeb-Gateway	6.7.6	2008.10.06	Trojan.LooksLike.Dropper
Sophos	4.34.0	2008.10.06	-
Sunbelt	3.1.1704.1	2008.10.05	-
Symantec	10	2008.10.06	-
TheHacker	6.3.1.0.101	2008.10.04	-
TrendMicro	8.700.0.1004	2008.10.06	-
VBA32	3.12.8.6	2008.10.05	Trojan.Packed.562
ViRobot	2008.10.6.1408	2008.10.06	-
VirusBuster	4.5.11.0	2008.10.05	-
Information additionnelle
File size: 389120 bytes
MD5...: 2c50a927eb4e4e48131727f66f448031
SHA1..: 99193116b72c0ade3b389dbbbb750cf97ec8506b
SHA256: 9ecbf18b8fa24c3c3a1b31469f3bab24237234bf9402344784abe0d9c3000566
SHA512: 9ce8e8936a640d640986d8d7f9e36fc27f51ff50c52a1c8b11e3618e06fb7d09
87006b191680c3029a3e771b6b055806a6883db8bda28a0fe4588d8e27fb6c16
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401000
timedatestamp.....: 0x40055bda (Wed Jan 14 15:10:18 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x52672 0x53000 6.95 dc403eef47c517a41ff69efa6bb6e574
.rdata 0x54000 0x128e 0x2000 3.78 37e9d37e25375ad033ad728d2ffc7acb
.data 0x56000 0x837c 0x9000 3.99 56a017d317b1e9d41403d35bf81fa9f4

( 7 imports )
> KERNEL32.dll: GetCommModemStatus, EnumSystemCodePagesA, SetEnvironmentVariableW, OpenFile, PulseEvent, FindNextChangeNotification, GetSystemTimeAdjustment, EnumDateFormatsW, VirtualLock, ReadConsoleA, GetCompressedFileSizeW, LCMapStringA, OutputDebugStringA, PrepareTape, CreatePipe, GetPrivateProfileStringA, CreateMutexW, _lclose, SetFileTime, GetACP, GetTapeStatus, GetEnvironmentStringsW, CreateDirectoryExA, RemoveDirectoryA, LocalReAlloc, CreateDirectoryW, GetSystemTime, SizeofResource, ReadDirectoryChangesW, SetSystemTime, EnumCalendarInfoW, DeleteCriticalSection, MultiByteToWideChar, VirtualFree, SetHandleCount, FindFirstFileA, SetConsoleActiveScreenBuffer, GetDriveTypeA, GlobalFindAtomA, IsProcessorFeaturePresent, FlushConsoleInputBuffer, EnumResourceNamesW, GlobalAddAtomA, GetTimeZoneInformation, PeekNamedPipe, CancelIo, GetProfileStringA, GetBinaryTypeA, EnumResourceLanguagesW, GetSystemDirectoryW, GlobalAddAtomW, SetConsoleTitleA, CreateFileW, GetDateFormatA, CreateDirectoryA, FormatMessageA, AreFileApisANSI, GetOverlappedResult, FindFirstFileW, GetFullPathNameA, GetOEMCP, lstrcmpiW, GetVolumeInformationW, SetMailslotInfo, VirtualProtect, AllocConsole, OutputDebugStringW, SetLastError, GetLargestConsoleWindowSize, FreeLibraryAndExitThread, GetStartupInfoA, DeleteFiber, GetConsoleMode, CompareStringA, CreateEventA, VirtualUnlock, FormatMessageW, IsBadWritePtr, CreateProcessA, GetWindowsDirectoryA, IsBadReadPtr, WriteProcessMemory, GetCommandLineA, GetCurrentDirectoryW, EnumResourceNamesA, SuspendThread, GetProfileIntA, SetCommMask, GlobalFlags, CreateIoCompletionPort, GetSystemDefaultLangID, SetThreadLocale, FillConsoleOutputCharacterA, LocalAlloc, GetDiskFreeSpaceW, RemoveDirectoryW, GetVersionExA, lstrlenA, LoadLibraryExW, ExitProcess
> USER32.dll: MessageBoxA, MapVirtualKeyW, SetWindowPos, CheckRadioButton, GetShellWindow, PostThreadMessageW, CopyImage, SetScrollInfo, RegisterDeviceNotificationA, GetMessageTime, SetUserObjectInformationW, DestroyAcceleratorTable, CharLowerA, EnumDisplaySettingsW, DrawStateW, keybd_event, IsIconic, RegisterClipboardFormatW, GetActiveWindow, DispatchMessageW, LoadKeyboardLayoutW, EnumWindowStationsW, ModifyMenuW, SetDlgItemTextA, EnumDisplayDevicesW, DialogBoxIndirectParamW, TileWindows, CharPrevW, GetTopWindow, DestroyWindow, SetActiveWindow, IsCharAlphaNumericA, EndDialog, IsRectEmpty, InvalidateRgn, GetKeyboardLayout, GetMenuItemRect
> GDI32.dll: GetTextMetricsW, SetBitmapDimensionEx, EndPage, Polygon, OffsetViewportOrgEx, GetTextAlign, CreatePalette
> ADVAPI32.dll: CreateProcessAsUserA, CreateProcessAsUserW, RegDeleteKeyA, ObjectCloseAuditAlarmW
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -
> COMCTL32.dll: ImageList_DragLeave, ImageList_GetIcon, ImageList_Duplicate
> SHLWAPI.dll: SHDeleteKeyA, PathFindExtensionW, StrCatW, StrFormatByteSizeA, StrDupW, UrlCreateFromPathW, StrStrIA, PathAppendA, PathIsUNCA, StrCatBuffA, StrStrA, PathGetCharTypeA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=030514AF000D4BD7F0ED05CFC95BFE0031981BCC

*********************************************

C:\Program Files\folder.htt 

Antivirus  	Version  	Dernière mise à jour  	Résultat
AhnLab-V3	2008.10.3.2	2008.10.06	-
AntiVir	7.8.1.34	2008.10.06	-
Authentium	5.1.0.4	2008.10.05	-
Avast	4.8.1248.0	2008.10.05	-
AVG	8.0.0.161	2008.10.05	-
BitDefender	7.2	2008.10.06	-
CAT-QuickHeal	9.50	2008.10.06	-
ClamAV	0.93.1	2008.10.06	-
DrWeb	4.44.0.09170	2008.10.06	-
eSafe	7.0.17.0	2008.10.05	-
eTrust-Vet	31.6.6131	2008.10.06	-
Ewido	4.0	2008.10.05	-
F-Prot	4.4.4.56	2008.10.05	-
F-Secure	8.0.14332.0	2008.10.06	-
Fortinet	3.113.0.0	2008.10.06	-
GData	19	2008.10.06	-
Ikarus	T3.1.1.34.0	2008.10.06	-
K7AntiVirus	7.10.484	2008.10.04	-
Kaspersky	7.0.0.125	2008.10.06	-
McAfee	5398	2008.10.04	-
Microsoft	1.4005	2008.10.06	-
NOD32	3496	2008.10.06	-
Norman	5.80.02	2008.10.03	-
Panda	9.0.0.4	2008.10.05	-
PCTools	4.4.2.0	2008.10.05	-
Prevx1	V2	2008.10.06	-
Rising	20.65.02.00	2008.10.06	-
SecureWeb-Gateway	6.7.6	2008.10.06	-
Sophos	4.34.0	2008.10.06	-
Sunbelt	3.1.1704.1	2008.10.05	-
Symantec	10	2008.10.06	-
TheHacker	6.3.1.0.101	2008.10.04	-
TrendMicro	8.700.0.1004	2008.10.06	-
VBA32	3.12.8.6	2008.10.05	-
ViRobot	2008.10.6.1408	2008.10.06	-
VirusBuster	4.5.11.0	2008.10.05	-
Information additionnelle
File size: 22115 bytes
MD5...: cbc32087cfe260f7be4cee08acaec5b6
SHA1..: c6cdd5d4f897b00887a48956b0dfcfe4c54dfbcf
SHA256: b08d0250b2fc33824782155204f22db82e207711aaf13f3957760665b0daa8ff
SHA512: d59b2c655f74e5300d3e01d4804385df6bc7d46202aa7ee39acc785c36865fc7
53e260464cf44ead1e18a61b326da144d78a2277440d0c842b58b961324bd362
PEiD..: -
TrID..: File type identification
HyperText Markup Language (100.0%)
PEInfo: -

sKe69 · Answer

Bien ...


on va réutiliser Navilog1 :

1- Crées un doc texte sur ton bureau  : 
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" . 

Ensuite copie/colle le texte en gras ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 

awckg
cyqqa
soumwkg
uouie 
wiisaqc 
uaiqq
kaqkkgk


Puis cliques sur l'onglet "fichier" et choisis "enregistrer sous ..." : 
-->Appelles-le exactement ainsi :  Navscript.txt 
-->Enregistre-le dans ce dossier -> C:\program files\Navilog1 ( C'est impératif ! )
 

2-!! Déconnectes toi , désactives tes défenses ( Anti-virus ,anti-spyware ,...) et fermes toutes applications en cours le temps de la manipe !!


Double-cliques sur le raccourci Navilog1 présent sur ton bureau. 
Laisses toi guider et patientes. 
Le Fix va automatiquement démarrer sans passer par le menu principal. 

Le fix va t'informer qu'il va alors redémarrer ton PC .
Appuies sur une touche comme demandé.
 
(Important : si ton Pc ne redémarre pas automatiquement, fais-le toi-même)
 
Au redémarrage de ton PC, choisis ta session habituelle si nécessaire. 
Patientes jusqu'au message :
 
*** Nettoyage Termine le ..... *** 

Le blocnote va s'ouvrir. 
--> Sauvegardes le rapport de manière à le retrouver !
Ton bureau va réapparaitre. 

Postes ce rapport pour analyse ...

Beloune · Answer

voici le rapport :

Clean Navipromo version 3.6.6 commencé le 2008-10-06 à 13:58:15.01

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Administrateur" 

Mise à jour le 29.09.2008 à 17h30 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS


Mode suppression de fichiers Navipromo par Script

awckg
cyqqa
soumwkg
uouie
wiisaqc
uaiqq
kaqkkgk 

Nettoyage exécuté au redémarrage de l'ordinateur

*** Recherche, création sauvegardes et suppression ***

* Suppression dans "C:\WINNT\system32" *


awckg.exe trouvé ! 
Copie awckg.exe réalisée avec succès !
awckg.exe supprimé !

cyqqa.exe trouvé ! 
Copie cyqqa.exe réalisée avec succès !
cyqqa.exe supprimé !

soumwkg.exe trouvé ! 
Copie soumwkg.exe réalisée avec succès !
soumwkg.exe supprimé !

uouie.exe trouvé ! 
Copie uouie.exe réalisée avec succès !
uouie.exe supprimé !

wiisaqc.exe trouvé ! 
Copie wiisaqc.exe réalisée avec succès !
wiisaqc.exe supprimé !

uaiqq.exe trouvé ! 
Copie uaiqq.exe réalisée avec succès !
uaiqq.exe supprimé !

kaqkkgk.exe trouvé ! 
Copie kaqkkgk.exe réalisée avec succès !
kaqkkgk.exe supprimé !

* Suppression dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" * 


* Suppression dans "C:\DOCUME~1\FABIAN~1\locals~1\applic~1" * 


* Suppression dans "C:\DOCUME~1\GX2601\locals~1\applic~1" * 



*** Suppression dossiers dans "C:\WINNT" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\FABIAN~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\GX2601\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\FABIAN~1\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\GX2601\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\GX2601\menudm~1\progra~1" *** 



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINNT\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINNT\system32" *


* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" * 


* Dans "C:\DOCUME~1\FABIAN~1\locals~1\applic~1" * 


* Dans "C:\DOCUME~1\GX2601\locals~1\applic~1" * 


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 2008-10-06 à 14:02:05.32 ***

sKe69 · Answer

Impec ...

on continue :

1-Crées un doc texte sur ton bureau : 
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" . 

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 

Driver:: 
Windows Tune service 
WINDOWS_TUNE_SERVICE  

File:: 
C:\Documents and Settings\All Users\Application Datasnqrwdm\zqnojsnm.exe 
C:\Documents and Settings\Administrateur\Application Data\Adobe\crc.dat 
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat 
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat 
C:\WINNT\jestertb.dll 
C:\WINNT\system32\fipeluwm.ini 
C:\WINNT\system32\Microsoft\backup.ftp 
C:\WINNT\system32\Microsoft\backup.tftp 
C:\WINNT\system32\MSINET.oca 
C:\WINNT\system32\ulmegydr.ini 
C:\WINNT\Web\default.htt 
C:\WINNT\Enjoy 6e Uninstaller.exe 
C:\WINNT	une.exe 

Folder:: 
C:\Program Files
gksggc 
C:\Documents and Settings\All Users\Application Datasnqrwdm 


Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valides ...
 

2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après )  !! 

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide. 

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!) 

!! Ne touches à rien tant que le scan n'est pas terminé !! 

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

Beloune · Answer

Je me demandais si le fait que certains programmes redémarrent automatiquement quand l'ordi redémarre ne gêne pas Combo ? Parceque dans ma barre des taches j'ai des trucs qui démarrent tous seuls. Voici les rapports : Combo : ComboFix 08-10-05.05 - Administrateur 2008-10-06 14:38:34.5 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.727 [GMT 2:00] Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe Commutateurs utilisés :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt * Un nouveau point de restauration a été créé FILE :: C:\Documents and Settings\Administrateur\Application Data\Adobe\crc.dat C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat C:\Documents and Settings\All Users\Application Data snqrwdm\zqnojsnm.exe C:\WINNT\Enjoy 6e Uninstaller.exe C:\WINNT\jestertb.dll C:\WINNT\system32\fipeluwm.ini C:\WINNT\system32\Microsoft\backup.ftp C:\WINNT\system32\Microsoft\backup.tftp C:\WINNT\system32\MSINET.oca C:\WINNT\system32\ulmegydr.ini C:\WINNT une.exe C:\WINNT\Web\default.htt . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\All Users\Application Data snqrwdm C:\Program Files gksggc C:\WINNT\Enjoy 6e Uninstaller.exe . ---- Previous Run ------- . C:\Documents and Settings\Administrateur\Application Data\Adobe\crc.dat C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat C:\WINNT\jestertb.dll C:\WINNT\system32\fipeluwm.ini C:\WINNT\system32\Microsoft\backup.ftp C:\WINNT\system32\Microsoft\backup.tftp C:\WINNT\system32\MSINET.oca C:\WINNT\system32\ulmegydr.ini C:\WINNT\Web\default.htt . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_WINDOWS_TUNE_SERVICE -------\Service_IAS -------\Service_Windows Tune service ((((((((((((((((((((((((((((( Fichiers créés du 2008-09-06 au 2008-10-06 )))))))))))))))))))))))))))))))))))) . 2008-10-05 22:36 . 2008-10-05 22:36 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-10-05 22:36 . 2008-10-05 22:36 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-10-05 22:36 . 2008-10-05 22:36 d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes 2008-10-05 22:36 . 2008-09-10 00:04 38,528 --a------ C:\WINNT\system32\drivers\mbamswissarmy.sys 2008-10-05 22:36 . 2008-09-10 00:03 17,200 --a------ C:\WINNT\system32\drivers\mbam.sys 2008-10-05 21:53 . 2008-10-04 03:11 d-------- C:\SDFix 2008-10-05 21:15 . 2008-10-05 21:40 2,212 --a------ C:\Documents and Settings\Orph.egd 2008-10-05 21:13 . 2008-10-05 21:42 d-------- C:\ToolBar SD 2008-10-05 20:15 . 2008-10-06 14:02 d-------- C:\Program Files\Navilog1 2008-10-05 19:27 . 2008-10-05 20:06 d-------- C:\Lop SD 2008-10-05 11:56 . 2008-10-05 18:00 2,204 --a------ C:\WINNT\system32 mp.reg 2008-10-05 11:19 . 2008-10-05 11:19 d-------- C:\Program Files\Trend Micro 2008-09-27 08:11 . 2008-09-27 08:11 d-------- C:\Program Files\IZArc 2008-09-18 14:22 . 2008-09-18 14:22 203,776 --a------ C:\WINNT\system32\clrviddc.dll 2008-09-16 20:25 . 2008-09-17 10:13 d-------- C:\Program Files\eMule 2008-09-11 09:57 . 2008-09-11 09:57 d-------- C:\Program Files\uTorrent 2008-09-10 17:31 . 2008-09-10 17:31 d-------- C:\Program Files\Fichiers communs\Thraex Software 2008-09-10 17:31 . 2008-09-10 17:31 d-------- C:\Program Files\Enjoy 6e . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-05 17:18 --------- d-----w C:\Program Files\CCleaner 2008-10-03 22:45 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\uTorrent 2008-10-02 16:44 --------- d-----w C:\Program Files\SimPE 2008-09-27 06:11 --------- d-----w C:\Program Files\EA GAMES 2008-09-11 07:49 --------- d-----w C:\Program Files\Incomplete 2008-09-11 07:48 --------- d-----w C:\Program Files\LimeWire 2008-09-02 19:18 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\dvdcss 2008-08-27 20:05 --------- d-----w C:\Program Files\Opera 2008-08-03 14:11 21,473,624 ----a-w C:\WINNT\Internet Logs\vsmon_on_demand_2008_08_03_06_06_09_full.dmp.zip 2004-07-20 09:54 271 --sh--w C:\Program Files\desktop.ini 2004-07-20 09:54 22,115 -c-h--w C:\Program Files\folder.htt 2007-11-17 06:46 848 --sha-w C:\WINNT\system32\KGyGaAvL.sys . Hitjack : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:58, on 2008-10-06 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\Ati2evxx.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\WINNT\Explorer.EXE C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\System32\svchost.exe C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe C:\Program Files\iTunes\iTunesHelper.exe C:\WINNT\system32\ctfmon.exe C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Trend Micro\HijackThis\monjack.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer pbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" -osboot O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe O4 - HKLM\..\Policies\Explorer\Run: [qH4S9e3UFL] C:\Documents and Settings\All Users\Application Data snqrwdm\zqnojsnm.exe O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ? O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Betway Casino - {3063c161-2f7e-4225-ba73-08bc8f64c67e} - C:\Program Files\Betway\Casino\casinogame.exe O9 - Extra button: Betway.com Poker - {4CBB5C71-1BA0-49ca-93CD-159AF8AA0CC9} - C:\Program Files\Betway\Poker\MPPoker.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing) O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/... O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe (file missing)

sKe69 · Answer

Re,

cela n'a pas marcher entièrement ... -_-

dis moi , tu désactives bien Avast et le Pare-feu de Windows avant de lancer Combofix ? ...

Beloune · Answer

oui oui j'avais tout désactivé... je veux bien réessayer...

Pour avast je suis obligé de le lancer puis de mettre la protection résidente sur désactivé. Je n'ai plus l'icône d'avast dans ma barre de taches.

Quand à mon pare-feu depuis l'autre jour il est toujours désactivé.

Ce qu'il y a c'est que quand l'ordi redémarre ces applications redémarrent automatiquement...

sKe69 · Answer

Pour l'icone d'avast , on coorigera cela après ...

on va passer Combofix en mode sans échec :

 /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ). 
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

Ensuite :
double-cliques sur l'icône "Combofix.exe" pour lancer l'outil . 

Appuyes sur la touche Y (Yes) pour démarrer le scan . 

Notes importantes : 
-> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment  : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée dans: C:\Combofix.txt 

Si le PC n'as pas redémarrer de lui-même, fais le manuellement ( = retour mode normal ) 

Postes le nouveau rapport Combofix pour analyse ...

Beloune · Answer

j'vais tenté mais hier le mode sans échec ne marchait pas, enfin ça plantait dès que je touchait le clavier...

Beloune · Answer

Alors j'ai pas eu besoin d'utiliser le clavier, il a démarré son scan tout seul. Par contre le fichier c'est le même... Est ce qu'il écrit par dessus les "anciens" rapports ? Parcequ'aucune fenêtre avec un nouveau rapport ne s'est ouvert. Pendant le scan, enfin vers la fin y'avait ça d'écrit : Compte rendu en cours de préparation ne lancez aucun programme... [ /color ] ùtait inattendu. Et puis j'ai un fichier sur mon bureau, enfin pas un fichier un truc qui se nomme : thumbs.db Voilà. Je te copie colle le rapport : ComboFix 08-10-05.05 - Administrateur 2008-10-06 15:29:07.6 - NTFSx86 MINIMAL Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.818 [GMT 2:00] Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . C:\Documents and Settings\Administrateur\Application Data\Adobe\crc.dat C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat C:\Documents and Settings\All Users\Application Data snqrwdm C:\Program Files gksggc C:\WINNT\Enjoy 6e Uninstaller.exe C:\WINNT\jestertb.dll C:\WINNT\system32\fipeluwm.ini C:\WINNT\system32\Microsoft\backup.ftp C:\WINNT\system32\Microsoft\backup.tftp C:\WINNT\system32\MSINET.oca C:\WINNT\system32\ulmegydr.ini C:\WINNT\Web\default.htt . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_WINDOWS_TUNE_SERVICE -------\Service_IAS -------\Service_Windows Tune service ((((((((((((((((((((((((((((( Fichiers créés du 2008-09-06 au 2008-10-06 )))))))))))))))))))))))))))))))))))) . 2008-10-05 22:36 . 2008-10-05 22:36 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-10-05 22:36 . 2008-10-05 22:36 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-10-05 22:36 . 2008-10-05 22:36 d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes 2008-10-05 22:36 . 2008-09-10 00:04 38,528 --a------ C:\WINNT\system32\drivers\mbamswissarmy.sys 2008-10-05 22:36 . 2008-09-10 00:03 17,200 --a------ C:\WINNT\system32\drivers\mbam.sys 2008-10-05 21:53 . 2008-10-04 03:11 d-------- C:\SDFix 2008-10-05 21:15 . 2008-10-05 21:40 2,212 --a------ C:\Documents and Settings\Orph.egd 2008-10-05 21:13 . 2008-10-05 21:42 d-------- C:\ToolBar SD 2008-10-05 20:15 . 2008-10-06 14:02 d-------- C:\Program Files\Navilog1 2008-10-05 19:27 . 2008-10-05 20:06 d-------- C:\Lop SD 2008-10-05 11:56 . 2008-10-05 18:00 2,204 --a------ C:\WINNT\system32 mp.reg 2008-10-05 11:19 . 2008-10-05 11:19 d-------- C:\Program Files\Trend Micro 2008-09-27 08:11 . 2008-09-27 08:11 d-------- C:\Program Files\IZArc 2008-09-18 14:22 . 2008-09-18 14:22 203,776 --a------ C:\WINNT\system32\clrviddc.dll 2008-09-16 20:25 . 2008-09-17 10:13 d-------- C:\Program Files\eMule 2008-09-11 09:57 . 2008-09-11 09:57 d-------- C:\Program Files\uTorrent 2008-09-10 17:31 . 2008-09-10 17:31 d-------- C:\Program Files\Fichiers communs\Thraex Software 2008-09-10 17:31 . 2008-09-10 17:31 d-------- C:\Program Files\Enjoy 6e . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-05 17:18 --------- d-----w C:\Program Files\CCleaner 2008-10-03 22:45 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\uTorrent 2008-10-02 16:44 --------- d-----w C:\Program Files\SimPE 2008-09-27 06:11 --------- d-----w C:\Program Files\EA GAMES 2008-09-11 07:49 --------- d-----w C:\Program Files\Incomplete 2008-09-11 07:48 --------- d-----w C:\Program Files\LimeWire 2008-09-02 19:18 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\dvdcss 2008-08-27 20:05 --------- d-----w C:\Program Files\Opera 2008-08-03 14:11 21,473,624 ----a-w C:\WINNT\Internet Logs\vsmon_on_demand_2008_08_03_06_06_09_full.dmp.zip 2004-07-20 09:54 271 --sh--w C:\Program Files\desktop.ini 2004-07-20 09:54 22,115 -c-h--w C:\Program Files\folder.htt 2007-11-17 06:46 848 --sha-w C:\WINNT\system32\KGyGaAvL.sys .

sKe69 · Answer

Bon ... je pense que c'est l'infection Rustock qui fout sa me**de ...


1- refais ceci dans un premier temps :

! Déconnetes toi et fermes toutes tes applications en cours !

Relances Lop S&D ,
 
--->choisis l'option 1 (rechecrhe) et valides ...

->ne touche à rien pendant le scan .
 
Une fois terminé, le Bloc-Notes contenant le rapport va s'ouvrir.
Postes ce rapport dans ta prochaine réponse pour analyse ... 


une fois ce rapport posté , enchaine avec la suite:


2- Pour palier au rapport inciomplet de combifix :

Télécharges Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable  sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et fermes toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " . 

* Devant l'option "List files/folders created ..." , tu choisis : 3 months 

* cliques ensuite sur " Continue " pour lancer l'analyse ...


( Note : Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.)


-> laisses faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note). 

Postes le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

Beloune · Answer

voici le premier rapport :

 --------------------\  Lop S&D 4.2.4-5   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Uniprocessor Free :                 Intel(R) Celeron(R) CPU 2.00GHz )
   BIOS : Default System BIOS
   USER : Administrateur ( Administrator )
   BOOT : Normal boot
   Antivirus : avast! antivirus 4.8.1229 [VPS 081005-0] 4.8.1229 (Not Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total : 38 Go Free : 9 Go
   D:\ (CD or DVD)
   E:\ (CD or DVD) - CDFS - Total : 0 Go Free : 0 Go

   "C:\Lop SD" ( MAJ : 02-10-2008|23:42 )
   Option : [1] ( 2008-10-06|16:51 )
 
   --------------------\  Listing des dossiers dans APPLIC~1  

   [2008-10-06|07:49] C:\DOCUME~1\ADMINI~1\APPLIC~1\Adobe
   [2007-11-28|20:22] C:\DOCUME~1\ADMINI~1\APPLIC~1\AdobeUM
   [2007-06-19|12:53] C:\DOCUME~1\ADMINI~1\APPLIC~1\Apple Computer
   [2007-01-28|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\Azureus
   [2008-09-02|21:18] C:\DOCUME~1\ADMINI~1\APPLIC~1\dvdcss
   [2007-09-12|14:03] C:\DOCUME~1\ADMINI~1\APPLIC~1\Groove Games
   [2008-03-27|20:07] C:\DOCUME~1\ADMINI~1\APPLIC~1\gtk-2.0
   [2007-02-02|16:42] C:\DOCUME~1\ADMINI~1\APPLIC~1\Help
   [2007-01-28|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\Identities
   [2007-06-19|09:08] C:\DOCUME~1\ADMINI~1\APPLIC~1\LG Electronics
   [2008-06-16|20:32] C:\DOCUME~1\ADMINI~1\APPLIC~1\Macromedia
   [2008-10-05|22:36] C:\DOCUME~1\ADMINI~1\APPLIC~1\Malwarebytes
   [2008-06-18|14:07] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microgaming
   [2008-06-15|14:48] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft
   [2008-08-27|12:44] C:\DOCUME~1\ADMINI~1\APPLIC~1\Mozilla
   [2007-07-06|18:55] C:\DOCUME~1\ADMINI~1\APPLIC~1\Notepad++
   [2007-02-05|21:12] C:\DOCUME~1\ADMINI~1\APPLIC~1\Nvu
   [2007-02-13|17:24] C:\DOCUME~1\ADMINI~1\APPLIC~1\Odyssee_Sib
   [2007-02-06|09:55] C:\DOCUME~1\ADMINI~1\APPLIC~1\OpenOffice.org2
   [2007-01-28|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\Opera
   [2008-07-07|21:11] C:\DOCUME~1\ADMINI~1\APPLIC~1\PacificPoker4
   [2008-03-11|21:33] C:\DOCUME~1\ADMINI~1\APPLIC~1\Real
   [2007-02-23|23:21] C:\DOCUME~1\ADMINI~1\APPLIC~1\SecondLife
   [2007-01-28|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\Sun
   [2007-06-11|14:20] C:\DOCUME~1\ADMINI~1\APPLIC~1\TaoUSign
   [2007-01-28|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\TuneUp Software
   [2008-10-04|00:45] C:\DOCUME~1\ADMINI~1\APPLIC~1\uTorrent
   [2007-01-28|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\Visicom Media
   [2007-07-31|23:11] C:\DOCUME~1\ADMINI~1\APPLIC~1\vlc
   [2007-06-03|20:00] C:\DOCUME~1\ADMINI~1\APPLIC~1\X-Chat 2

   [2006-11-17|10:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
   [2007-05-02|22:48] C:\DOCUME~1\ALLUSE~1\APPLIC~1\AOL Downloads
   [2008-05-13|15:16] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
   [2007-06-15|17:44] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
   [2007-07-11|09:11] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Grisoft
   [2008-07-11|20:40] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MailFrontier
   [2008-10-05|22:36] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
   [2007-11-19|20:37] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
   [2007-02-06|11:05] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MSScanAppDataDir
   [2007-02-02|19:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\QuickTime
   [2008-05-15|17:17] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sandlot Games
   [2008-05-16|00:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
   [2007-01-30|10:04] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TuneUp Software
   [2008-01-31|12:32] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
   [2007-07-06|12:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WindowsLiveInstaller
   [2007-11-19|20:17] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller

   [2007-07-06|12:50] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

   [2007-01-28|11:14] C:\DOCUME~1\FABIAN~1\APPLIC~1\Microsoft


   [2004-07-20|11:59] C:\DOCUME~1\GX2601\APPLIC~1\Identities
   [2007-01-27|14:28] C:\DOCUME~1\GX2601\APPLIC~1\Macromedia
   [2007-01-27|14:50] C:\DOCUME~1\GX2601\APPLIC~1\Microsoft
   [2007-01-27|14:27] C:\DOCUME~1\GX2601\APPLIC~1\Mozilla
   [2007-01-27|14:47] C:\DOCUME~1\GX2601\APPLIC~1\OpenOffice.org2
   [2007-01-27|11:58] C:\DOCUME~1\GX2601\APPLIC~1\TuneUp Software

   [2007-06-11|10:16] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

   [2007-11-20|10:39] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft
 
   --------------------\  Tâches planifiées dans C:\WINNT	asks

   [2008-10-02 10:51][--a------] C:\WINNT	asks\AppleSoftwareUpdate.job
   [2008-10-03 17:15][--a------] C:\WINNT	asks\Maintenance en 1 clic.job
   [2008-10-06 15:45][--ah-----] C:\WINNT	asks\SA.DAT
   [2002-08-21 22:47][-r-h-c---] C:\WINNT	asks\desktop.ini

   --------------------\  Listing des dossiers dans C:\Program Files

   [2004-07-20|11:52] C:\Program Files\Accessoires
   [2007-09-12|14:07] C:\Program Files\Activision
   [2006-11-17|10:49] C:\Program Files\Adobe
   [2007-01-24|18:27] C:\Program Files\Alwil Software
   [2004-07-20|15:57] C:\Program Files\Analog Devices
   [2008-05-14|09:39] C:\Program Files\Apple Software Update
   [2007-01-24|17:28] C:\Program Files\ATI Technologies
   [2008-06-17|13:01] C:\Program Files\Betway
   [2008-05-13|15:21] C:\Program Files\Bonjour
   [2008-03-25|19:56] C:\Program Files\Bullfrog
   [2008-10-05|19:18] C:\Program Files\CCleaner
   [2008-06-03|09:13] C:\Program Files\Codemasters
   [2004-07-20|16:19] C:\Program Files\Common Files
   [2004-07-20|11:53] C:\Program Files\ComPlus Applications
   [2007-11-17|08:45] C:\Program Files\Corel
   [2007-09-21|07:21] C:\Program Files\CyberLink
   [2008-03-26|02:14] C:\Program Files\DAEMON Tools
   [2007-05-12|16:00] C:\Program Files\DaemonTools_WhenUSave_Installer
   [2007-01-29|15:04] C:\Program Files\directx
   [2008-09-27|08:11] C:\Program Files\EA GAMES
   [2008-09-17|10:13] C:\Program Files\eMule
   [2008-09-10|17:31] C:\Program Files\Enjoy 6e
   [2008-06-19|14:54] C:\Program Files\Everest Poker
   [2007-06-18|22:15] C:\Program Files\Everest Poker.net
   [2008-10-06|15:31] C:\Program Files\Fichiers communs
   [2008-05-21|12:54] C:\Program Files\Full Tilt Poker
   [2007-09-08|09:08] C:\Program Files\FusionSoft DVD Player XP
   [2008-05-16|11:34] C:\Program Files\Gamenext
   [2007-05-12|21:11] C:\Program Files\Grisoft
   [2007-09-09|15:29] C:\Program Files\Groove Games
   [2007-02-15|12:40] C:\Program Files\Guitar Pro 5
   [2004-10-27|16:18] C:\Program Files\Hewlett-Packard
   [2008-01-19|08:59] C:\Program Files\Hijackthis Version Française
   [2008-09-11|09:49] C:\Program Files\Incomplete
   [2007-01-27|10:52] C:\Program Files\Infogrames
   [2008-05-21|12:54] C:\Program Files\InstallShield Installation Information
   [2004-07-20|16:00] C:\Program Files\Intel
   [2008-04-16|07:51] C:\Program Files\Internet Explorer
   [2008-07-31|11:31] C:\Program Files\iPod
   [2008-07-31|11:31] C:\Program Files\iTunes
   [2008-09-27|08:11] C:\Program Files\IZArc
   [2007-01-24|22:48] C:\Program Files\Java
   [2004-07-20|11:52] C:\Program Files\Lecteur Windows Media
   [2007-09-02|17:14] C:\Program Files\LG Electronics
   [2007-09-02|17:13] C:\Program Files\LG PC Suite
   [2008-09-11|09:48] C:\Program Files\LimeWire
   [2008-01-06|17:39] C:\Program Files\Macrogaming
   [2007-05-12|19:15] C:\Program Files\MagicISO
   [2008-10-05|22:36] C:\Program Files\Malwarebytes' Anti-Malware
   [2007-07-06|12:24] C:\Program Files\Messenger
   [2004-07-20|11:55] C:\Program Files\microsoft frontpage
   [2007-12-09|17:48] C:\Program Files\Microsoft Games
   [2007-02-06|10:32] C:\Program Files\Microsoft Office
   [2007-11-19|20:59] C:\Program Files\Microsoft SQL Server Compact Edition
   [2007-02-06|10:32] C:\Program Files\Microsoft Visual Studio
   [2007-11-22|10:28] C:\Program Files\Microsoft Works
   [2007-02-06|10:31] C:\Program Files\Microsoft.NET
   [2008-01-19|19:50] C:\Program Files\ModTheSims2.com
   [2007-07-06|12:24] C:\Program Files\Movie Maker
   [2008-10-06|15:51] C:\Program Files\Mozilla Firefox
   [2007-01-24|17:53] C:\Program Files\MSN
   [2007-01-24|17:52] C:\Program Files\MSN Gaming Zone
   [2008-10-06|14:02] C:\Program Files\Navilog1
   [2007-07-06|12:20] C:\Program Files\NetMeeting
   [2008-03-10|18:41] C:\Program Files\Nobilis
   [2007-07-06|17:55] C:\Program Files\Notepad++
   [2008-03-19|14:45] C:\Program Files\NRJ
   [2008-04-16|08:11] C:\Program Files\NVIDIA Corporation
   [2008-08-27|22:05] C:\Program Files\Opera
   [2007-07-06|12:20] C:\Program Files\Outlook Express
   [2007-10-30|16:02] C:\Program Files\PacificPoker
   [2008-07-08|20:26] C:\Program Files\PacificPoker4
   [2008-01-06|17:38] C:\Program Files\Philips ToUcam Camera
   [2007-02-05|22:45] C:\Program Files\PhotoFiltre
   [2008-07-31|11:27] C:\Program Files\QuickTime
   [2008-03-11|21:30] C:\Program Files\Real
   [2007-01-25|10:40] C:\Program Files\Realtek AC97
   [2007-01-24|17:57] C:\Program Files\Services en ligne
   [2007-02-06|11:15] C:\Program Files\Sierra On-Line
   [2008-10-02|18:44] C:\Program Files\SimPE
   [2008-04-11|20:36] C:\Program Files\Sims2Pack Clean Installer
   [2007-01-25|17:25] C:\Program Files\Slitherine
   [2007-01-30|15:46] C:\Program Files\Strategy First
   [2007-05-04|17:32] C:\Program Files\TGTSoft
   [2008-10-05|11:19] C:\Program Files\Trend Micro
   [2007-07-18|11:39] C:\Program Files\Trymedia
   [2007-09-08|13:38] C:\Program Files\Ubisoft
   [2007-02-06|19:18] C:\Program Files\Ulead Systems
   [2004-07-20|12:20] C:\Program Files\Uninstall Information
   [2008-09-11|09:57] C:\Program Files\uTorrent
   [2006-11-17|10:47] C:\Program Files\VideoLAN
   [2007-01-24|23:07] C:\Program Files\Visicom Media
   [2008-06-03|09:13] C:\Program Files\Windows Live
   [2008-03-19|14:48] C:\Program Files\Windows Media Components
   [2008-01-31|00:47] C:\Program Files\Windows Media Connect 2
   [2008-01-31|00:47] C:\Program Files\Windows Media Player
   [2007-07-06|12:20] C:\Program Files\Windows NT
   [2007-11-19|20:11] C:\Program Files\WindowsUpdate
   [2007-05-30|09:39] C:\Program Files\WinRAR
   [2007-02-06|10:45] C:\Program Files\WinZip
   [2007-01-24|18:00] C:\Program Files\xerox
   [2007-06-18|20:45] C:\Program Files\Yahoo!

   --------------------\  Listing des dossiers dans C:\Program Files\Fichiers communs

   [2007-02-06|19:17] C:\Program Files\Fichiers communs\Adaptec Shared
   [2006-11-17|10:50] C:\Program Files\Fichiers communs\Adobe
   [2008-05-13|15:16] C:\Program Files\Fichiers communs\Apple
   [2007-01-27|20:47] C:\Program Files\Fichiers communs\Blizzard Entertainment
   [2007-02-06|10:32] C:\Program Files\Fichiers communs\DESIGNER
   [2008-05-01|13:39] C:\Program Files\Fichiers communs\DirectX
   [2007-02-20|11:31] C:\Program Files\Fichiers communs\InstallShield
   [2007-01-24|22:45] C:\Program Files\Fichiers communs\Java
   [2007-11-22|10:26] C:\Program Files\Fichiers communs\Microsoft Shared
   [2007-01-24|17:56] C:\Program Files\Fichiers communs\MSSoap
   [2008-05-15|17:16] C:\Program Files\Fichiers communs\Oberon Media
   [2004-07-20|12:43] C:\Program Files\Fichiers communs\ODBC
   [2008-03-11|21:31] C:\Program Files\Fichiers communs\Real
   [2005-06-14|14:36] C:\Program Files\Fichiers communs\Services
   [2007-02-06|19:18] C:\Program Files\Fichiers communs\Smith Micro Shared
   [2007-01-24|17:47] C:\Program Files\Fichiers communs\SpeechEngines
   [2007-07-06|12:19] C:\Program Files\Fichiers communs\System
   [2008-09-10|17:31] C:\Program Files\Fichiers communs\Thraex Software
   [2007-11-19|20:37] C:\Program Files\Fichiers communs\WindowsLiveInstaller
   [2008-03-11|21:31] C:\Program Files\Fichiers communs\xing shared

   --------------------\  Process

   ( 31 Processes )

   ... OK !

   --------------------\  Recherche avec S_Lop

   Aucun fichier / dossier Lop trouvé !
 
   --------------------\  Recherche de Fichiers / Dossiers Lop

   Aucun fichier / dossier Lop trouvé ! 
 
   --------------------\  Verification du Registre
 
   ..... OK !

   --------------------\  Verification du fichier Hosts

   Fichier Hosts PROPRE


   --------------------\  Recherche de fichiers avec Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2008-10-06 16:53:54
   Windows 5.1.2600 Service Pack 2 NTFS
   scanning hidden processes ...
   scanning hidden files ...
   C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\Microsoft\Windows\GameExplorer\{DFEF49D9-FC95-4301-99B9-2FB91C6ABA06}\PlayTasks\1\Les Sims™ 2 : Boit@Look.lnk 1087 bytes hidden from API
   scan completed successfully
   hidden processes: 0
   hidden files: 1
 
   --------------------\  Recherche d'autres infections

   --------------------\  ROOTKIT !!

   Rootkit Rustock ! .. [HKLM\..\CurrentControlSet\Enum\Root\LEGACY_PE386]
   Rootkit Rustock ! .. [HKLM\..\CurrentControlSet\Enum\Root\Pe386]
   Rootkit Rustock ! .. [HKLM\..\ControlSet001\Enum\Root\LEGACY_PE386]
   Rootkit Rustock ! .. [HKLM\..\ControlSet001\Enum\Root\Pe386]
   Rootkit Rustock ! .. [HKLM\..\ControlSet003\Enum\Root\LEGACY_PE386]
   Rootkit Rustock ! .. [HKLM\..\ControlSet003\Enum\Root\Pe386]



   [F:70][D:0]-> C:\DOCUME~1\ADMINI~1\Cookies
   [F:4][D:1]-> C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMPOR~1\content.IE5

   1 - "C:\Lop SD\LopR_1.txt" - 05/10/2008|19:36 - Option : [1]
   2 - "C:\Lop SD\LopR_2.txt" - 05/10/2008|20:06 - Option : [2]
   3 - "C:\Lop SD\LopR_3.txt" - 2008-10-06|16:55 - Option : [1]

   --------------------\  Fin du rapport a 16:55:41


Je fais le reste

Beloune · Answer

Et bien je pensais pas que cette analyse serait si rapide.
Voici les rapports :

Log :

Logfile of random's system information tool 1.04 (written by random/random)
Run by Administrateur at 2008-10-06 17:04:17
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 10 GB (25%) free of 39 GB
Total RAM: 1022 MB (73% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:04, on 2008-10-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [qH4S9e3UFL] C:\Documents and Settings\All Users\Application Data\rsnqrwdm\zqnojsnm.exe
O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Betway Casino - {3063c161-2f7e-4225-ba73-08bc8f64c67e} - C:\Program Files\Betway\Casino\casinogame.exe
O9 - Extra button: Betway.com Poker - {4CBB5C71-1BA0-49ca-93CD-159AF8AA0CC9} - C:\Program Files\Betway\Poker\MPPoker.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe (file missing)

sKe69 · Answer

bien ...

1- Ouvre le bloc-notes (menu démarrer/accessoire/bloc-note) et fais un copier coller de ce qui est en citation en gras ci-dessous ( copie tout d'un trait ) : 

 
REGEDIT4 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 
"qH4S9e3UFL"=-


Sauvegarder le document sur ton bureau : 
Vas sur "fichier"/"enregistrer sous" : 
--->Nom du fichier, tu tapes : fix.reg 
Type de fichier, tu choisis : "tous les fichiers" 
cliques sur "enregistrer" 

-!!Déconnectes toi et fermes toute tes applications en cours !! 

Doubles clique sur fix.reg qui est sur ton bureau => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?" 
Si c'est bien le cas, clique sur "oui"  



2- Télécharges ce prg (par ejvindh):

http://www.uploads.ejvindh.net/rustbfix.exe
...et sauvegardes-le sur ton Bureau.

-!!Déconnectes toi et fermes toute tes applications en cours !! 

Double cliques "rustbfix.exe" afin de lancer l'outil.
Si une infection Rustock.b est détectée, une fenêtre t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.

Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).

-> sauvegardes les sur ton bureau .

Postes (Copie/Colle) le contenu de ces deux rapports pour analyse et attends la suite ...

Beloune · Answer

aussitôt dit aussitôt fait , voici le court rapport même moi j'ai compris :-D

************************* Rustock.b-fix v. 1.01 -- By ejvindh *************************
2008-10-06 17:38:53.89

No Rustock.b-rootkits found

******************************* End of Logfile ********************************

sKe69 · Answer

Mouais ... il ne reconnais pas la variente ...


fais ceci stp :

1- Désactives Avast le temps de la manipe .


2- Télécharge OAD ( par !aur3n7) : http://sosvirus.changelog.fr/OAD.exe 
----> Enregistre le sur ton bureau .

Double clique sur l'icone OAD pour le lancer 

- nom du fichier à rechercher :
-->tapes ou fais un copier coller de : Pe386

- Type de recherche : sélectionne l'option 6 puis valide ["entrée"] 

OAD va maintenant rechercher le fichier. Laisses le travailler jusqu'à ce qu'il en ait terminé. 
Le rapport de recherche s'affichera automatiquement à l’écran dès qu'il aura terminé. 

Note : suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient ...

->Sauvegardes ce rapport sur ton Bureau et fais un copier / coller de celui-ci dans ta prochaine réponse ...

Beloune · Answer

c'est fait :

2008-10-06 ---- 17:49:47.43  

----------------------------------
§§§§§§ [Pe386] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PE386]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PE386\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PE386\0000]
"Service"="pe386"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PE386\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PE386]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PE386\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PE386\0000]
"Service"="pe386"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PE386\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PE386]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PE386\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PE386\0000]
"Service"="pe386"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PE386\0000\LogConf]

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------


Je suis désolée de te donner autant de boulot...

sKe69 · Answer

Je suis désolée de te donner autant de boulot...
--> t'inquiètes ... aucun prb ... ^^

Bien ... maintenant dans l'ordre :

( on va repartir sur des outils "propres" )


1-Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau. 
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le . 
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long). 
*Cliques sur Suppression pour finaliser. 
*Tu peux, si tu le souhaites, te servir des Options facultatives 
*Cliques sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Postes ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . 

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . 

( gardes CCleaner et Malwarebytes : très utiles ! )


2- supprimes Combofix ainsi :
-->Cliques sur " Démarrer "( ou combine la touche Windows + R ) -> " Executer " -> copie/colles cette ligne : 

ComboFix /u 

( laisses l'espace entre Combofix et /u ) 

-->Valides . 


3- Refais un coup de CCleaner ( registre compris ) .


4- Retélécharges et réinstalles hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharges et installes le logiciel HijackThis : 

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe 
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le momment ) 


5- On va réutiliser Combofix :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !): 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

A-Crées un doc texte sur ton bureau : 
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" . 

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 

Registry:: 
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PE­386] 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PE­386\0000] 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PE­386\0000] 
"Service"=- 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PE386\0000\LogConf] 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PE386] 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PE386\0000] 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PE386\0000] 
"Service"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PE386\0000\LogConf] 

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PE386] 

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PE386\0000] 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PE386\0000] 
"Service"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PE386\0000\LogConf] 

Driver:: 
Pe386


Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valides ...
 

B-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après )  !! 

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide. 

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!) 

!! Ne touches à rien tant que le scan n'est pas terminé !! 

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Postes le pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

Beloune · Answer

voici le premier rapport.

Sur mon bureau il reste :

- Safebootkeyrepair.exe,
- mbam-setup.exe,
- RSIT.exe,
- fix.reg
- ce que j'ai téléchargé pour faire la console de je ne sais plus quoi, combo je crois....

Rapport :

[ Rapport ToolsCleaner version 2.2.3 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\fixnavi.txt: trouvé !
C:\cleannavi.txt: trouvé !
C:\lopR.txt: trouvé !
C:\TB.txt: trouvé !
C:\SDFIX: trouvé !
C:\Combofix: trouvé !
C:\Lop SD: trouvé !
C:\Rustbfix: trouvé !
C:\Qoobox: trouvé !
C:\Toolbar SD: trouvé !
C:\ComboFix\Combofix.txt: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Administrateur\Bureau\LopSD.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\rustbfix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Navilog1.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\ToolBarSD.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\pelog.txt: trouvé !
C:\Documents and Settings\Administrateur\Bureau\OAD.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\Administrateur\Bureau\rapports\hijackthis.log: trouvé !
C:\Documents and Settings\Administrateur\Bureau\rapports\fixnavi.txt: trouvé !
C:\Documents and Settings\Administrateur\Bureau\rapports\cleannavi.txt: trouvé !
C:\Documents and Settings\Administrateur\Bureau\rapports\lopR.txt: trouvé !
C:\Documents and Settings\Administrateur\Bureau\rapports\TB.txt: trouvé !
C:\Documents and Settings\Administrateur\Recent\HijackThis.lnk: trouvé !
C:\Documents and Settings\Administrateur\Recent\Navilog1.lnk: trouvé !
C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Hijackthis Version Française\hijackthis.log: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Rustbfix\avenger.exe: trouvé !
C:\Rustbfix\pelog.txt: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\Administrateur\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Administrateur\Bureau\LopSD.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\rustbfix.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\Navilog1.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Administrateur\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\ToolBarSD.exe: supprimé !
C:\Documents and Settings\Administrateur\Recent\HijackThis.lnk: supprimé !
C:\Documents and Settings\Administrateur\Recent\Navilog1.lnk: supprimé !
C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Rustbfix\avenger.exe: supprimé !
C:\fixnavi.txt: supprimé !
C:\cleannavi.txt: supprimé !
C:\lopR.txt: supprimé !
C:\TB.txt: supprimé !
C:\ComboFix\Combofix.txt: supprimé !
C:\Documents and Settings\Administrateur\Bureau\pelog.txt: supprimé !
C:\Documents and Settings\Administrateur\Bureau\OAD.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\rapports\hijackthis.log: supprimé !
C:\Documents and Settings\Administrateur\Bureau\rapports\fixnavi.txt: supprimé !
C:\Documents and Settings\Administrateur\Bureau\rapports\cleannavi.txt: supprimé !
C:\Documents and Settings\Administrateur\Bureau\rapports\lopR.txt: supprimé !
C:\Documents and Settings\Administrateur\Bureau\rapports\TB.txt: supprimé !
C:\Program Files\Hijackthis Version Française\hijackthis.log: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Rustbfix\pelog.txt: supprimé !
C:\SDFIX: supprimé !
C:\Combofix: supprimé !
C:\Lop SD: supprimé !
C:\Rustbfix: supprimé !
C:\Qoobox: supprimé !
C:\Toolbar SD: supprimé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Fichiers temporaires nettoyés !

sKe69 · Answer

Fais la suite dans l'ordre ...

Beloune · Answer

Désolée d'avoir mis aussi longtemps mais je n'arrivais plus à remettre ma connection internet. Voici le rapport : ComboFix 08-10-05.11 - Administrateur 2008-10-06 18:57:34.7 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.704 [GMT 2:00] Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe Commutateurs utilisés :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt * Un nouveau point de restauration a été créé . /wow section non terminée ((((((((((((((((((((((((((((( Fichiers créés du 2008-09-06 au 2008-10-06 )))))))))))))))))))))))))))))))))))) . 2008-10-06 17:04 . 2008-10-06 17:04 d-------- C: sit 2008-10-05 22:36 . 2008-10-05 22:36 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-10-05 22:36 . 2008-10-05 22:36 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-10-05 22:36 . 2008-10-05 22:36 d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes 2008-10-05 22:36 . 2008-09-10 00:04 38,528 --a------ C:\WINNT\system32\drivers\mbamswissarmy.sys 2008-10-05 22:36 . 2008-09-10 00:03 17,200 --a------ C:\WINNT\system32\drivers\mbam.sys 2008-10-05 21:15 . 2008-10-05 21:40 2,212 --a------ C:\Documents and Settings\Orph.egd 2008-10-05 11:56 . 2008-10-05 18:00 2,204 --a------ C:\WINNT\system32 mp.reg 2008-10-05 11:19 . 2008-10-06 18:44 d-------- C:\Program Files\Trend Micro 2008-09-27 08:11 . 2008-09-27 08:11 d-------- C:\Program Files\IZArc 2008-09-18 14:22 . 2008-09-18 14:22 203,776 --a------ C:\WINNT\system32\clrviddc.dll 2008-09-16 20:25 . 2008-09-17 10:13 d-------- C:\Program Files\eMule 2008-09-11 09:57 . 2008-09-11 09:57 d-------- C:\Program Files\uTorrent 2008-09-10 17:31 . 2008-09-10 17:31 d-------- C:\Program Files\Fichiers communs\Thraex Software 2008-09-10 17:31 . 2008-09-10 17:31 d-------- C:\Program Files\Enjoy 6e . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-06 16:25 --------- d-----w C:\Program Files\Hijackthis Version Française 2008-10-05 17:18 --------- d-----w C:\Program Files\CCleaner 2008-10-03 22:45 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\uTorrent 2008-10-02 16:44 --------- d-----w C:\Program Files\SimPE 2008-09-27 06:11 --------- d-----w C:\Program Files\EA GAMES 2008-09-11 07:49 --------- d-----w C:\Program Files\Incomplete 2008-09-11 07:48 --------- d-----w C:\Program Files\LimeWire 2008-09-02 19:18 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\dvdcss 2008-08-27 20:05 --------- d-----w C:\Program Files\Opera 2008-08-03 14:11 21,473,624 ----a-w C:\WINNT\Internet Logs\vsmon_on_demand_2008_08_03_06_06_09_full.dmp.zip 2004-07-20 09:54 271 --sh--w C:\Program Files\desktop.ini 2004-07-20 09:54 22,115 -c-h--w C:\Program Files\folder.htt 2007-11-17 06:46 848 --sha-w C:\WINNT\system32\KGyGaAvL.sys .

sKe69 · Answer

Bon ... pas moyen d'avoir un rapport complet ...


*Pour l'icone d'avast :

vas dans "C:\program files", puis recherche le dossier "alwil" (Avast) .
Tu rentres dedans et recherches " ashDisp.exe " -> tu cliques dessus ---> l´icone d´avast devrait réaparaitre ...


*Pour ta connection :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix#restore


ensuite fais ceci :

1- Purge de la restauration système 
*Désactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC 
*Réactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC
( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


2- Fais ce scan en ligne pour vérifier :

Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >. 
Le scan ne marche que sous Internet Explorer(et pas sous firefox ou autre...). 
- On va te demander de télécharger un contôle active x, accepte . 
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer. 
- Sauvegardes le rapport qui sera généré, puis copies/colles le dans ta prochaine réponse pour analyse et attends la suite ... 

--> tuto : 
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

NOTE : 
*Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.

*S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3 
Rappel : le scan est à faire sous Internet Explorer !

Beloune · Answer

voilà le rapport :

-------------------------------------------------------------------------------
 KASPERSKY ON-LINE SCANNER REPORT
 Monday, October 06, 2008 9:52:35 PM
 Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
 Kaspersky On-line Scanner version : 5.0.84.2
 Dernière mise à jour de la base antivirus Kaspersky :  6/10/2008
 Enregistrements dans la base antivirus Kaspersky : 1157890
-------------------------------------------------------------------------------

Paramètres d'analyse:
	Analyser avec la base antivirus suivante: standard
	Analyser les archives: vrai
	Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
	A:\
	C:\
	D:\
	E:\

Statistiques de l'analyse:
	Total d'objets analysés: 81057
	Nombre de virus trouvés: 0
	Nombre d'objets infectés: 0 / 0
	Nombre d'objets suspects: 0
	Durée de l'analyse: 01:43:42

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\84hxrf4w.default\cert8.db	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\84hxrf4w.default\content-prefs.sqlite	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\84hxrf4w.default\cookies.sqlite	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\84hxrf4w.default\downloads.sqlite	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\84hxrf4w.default\formhistory.sqlite	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\84hxrf4w.default\key3.db	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\84hxrf4w.default\parent.lock	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\84hxrf4w.default\permissions.sqlite	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\84hxrf4w.default\places.sqlite	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\84hxrf4w.default\places.sqlite-journal	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\84hxrf4w.default\search.sqlite	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\84hxrf4w.default\Cache\_CACHE_001_	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\84hxrf4w.default\Cache\_CACHE_002_	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\84hxrf4w.default\Cache\_CACHE_003_	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\84hxrf4w.default\Cache\_CACHE_MAP_	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\84hxrf4w.default\urlclassifier3.sqlite	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temp\etilqs_RKEdqQHUbMZQLdNFJ1Iw	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur
tuser.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Administrateur
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log
shield.log	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATAeport\Protection résidente.txt	L'objet est verrouillé	ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{8659E705-02D8-4977-9E3B-8DB04E9D3C88}\RP1\change.log	L'objet est verrouillé	ignoré
C:\WINNT\Debug\PASSWD.LOG	L'objet est verrouillé	ignoré
C:\WINNT\SchedLgU.Txt	L'objet est verrouillé	ignoré
C:\WINNT\SoftwareDistribution\ReportingEvents.log	L'objet est verrouillé	ignoré
C:\WINNT\Sti_Trace.log	L'objet est verrouillé	ignoré
C:\WINNT\system32\CatRoot2\edb.log	L'objet est verrouillé	ignoré
C:\WINNT\system32\CatRoot2	mp.edb	L'objet est verrouillé	ignoré
C:\WINNT\system32\config\Antivirus.Evt	L'objet est verrouillé	ignoré
C:\WINNT\system32\config\AppEvent.Evt	L'objet est verrouillé	ignoré
C:\WINNT\system32\config\default	L'objet est verrouillé	ignoré
C:\WINNT\system32\config\default.LOG	L'objet est verrouillé	ignoré
C:\WINNT\system32\config\Internet.evt	L'objet est verrouillé	ignoré
C:\WINNT\system32\config\SAM	L'objet est verrouillé	ignoré
C:\WINNT\system32\config\SAM.LOG	L'objet est verrouillé	ignoré
C:\WINNT\system32\config\SecEvent.Evt	L'objet est verrouillé	ignoré
C:\WINNT\system32\config\SECURITY	L'objet est verrouillé	ignoré
C:\WINNT\system32\config\SECURITY.LOG	L'objet est verrouillé	ignoré
C:\WINNT\system32\config\software	L'objet est verrouillé	ignoré
C:\WINNT\system32\config\software.LOG	L'objet est verrouillé	ignoré
C:\WINNT\system32\config\SysEvent.Evt	L'objet est verrouillé	ignoré
C:\WINNT\system32\config\system	L'objet est verrouillé	ignoré
C:\WINNT\system32\config\system.LOG	L'objet est verrouillé	ignoré
C:\WINNT\system32\drivers\sptd.sys	L'objet est verrouillé	ignoré
C:\WINNT\system32\h323log.txt	L'objet est verrouillé	ignoré
C:\WINNT\system32\wbem\Repository\FS\INDEX.BTR	L'objet est verrouillé	ignoré
C:\WINNT\system32\wbem\Repository\FS\INDEX.MAP	L'objet est verrouillé	ignoré
C:\WINNT\system32\wbem\Repository\FS\MAPPING.VER	L'objet est verrouillé	ignoré
C:\WINNT\system32\wbem\Repository\FS\MAPPING1.MAP	L'objet est verrouillé	ignoré
C:\WINNT\system32\wbem\Repository\FS\MAPPING2.MAP	L'objet est verrouillé	ignoré
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.DATA	L'objet est verrouillé	ignoré
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.MAP	L'objet est verrouillé	ignoré
C:\WINNT	emp\Perflib_Perfdata_4e4.dat	L'objet est verrouillé	ignoré
C:\WINNT\wiadebug.log	L'objet est verrouillé	ignoré
C:\WINNT\wiaservc.log	L'objet est verrouillé	ignoré
C:\WINNT\WindowsUpdate.log	L'objet est verrouillé	ignoré

Analyse terminée.

sKe69 · Answer

Bien ...

le rapport est vierge ... ^^

Dis moi comment va le PC maintenant ? As tu encore des soucis particuliers ?

si tout est OK , on va pouvoir finaliser ...

Beloune · Answer

Le pc va bien, mon écran est toujours bleu schtroumpf, mais tout roule. Plus de fenêtre qui s'ouvre, plus de programme que je n'ai pas installé.

Je n'ai pas fermé la fenêtre de Kaspersky, je savais pas si je devais. Mais tout à l'air de fonctionner, internet également...

sKe69 · Answer

mon écran est toujours bleu schtroumpf
--> c'est normal , tu pourra en remettre un une fois qu'on aura finit ... ^^

Je n'ai pas fermé la fenêtre de Kaspersky, je savais pas si je devais. Mais tout à l'air de fonctionner, internet également...

--> tu peux la fermer ...


1- supprimes ce dossier >  C:\Program Files\Enjoy 6e 


2-  !! Déconnectes toi et fermes toute tes applications en cours !! 

fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile" 

---> Postes le nouveau rapport généré pour analyse et attends la suite...

Beloune · Answer

Le dossier que tu me demandes de supprimer vient du cd rom du livre d'anglais de mon fils pour l'école... ça désinstallera tout le cd ? Est ce que je pourrais le remettre ensuite ? Parcequ'il en a besoin de ce cd....

Beloune · Answer

voilà :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:26, on 2008-10-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [qH4S9e3UFL] C:\Documents and Settings\All Users\Application Data\rsnqrwdm\zqnojsnm.exe
O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Betway Casino - {3063c161-2f7e-4225-ba73-08bc8f64c67e} - C:\Program Files\Betway\Casino\casinogame.exe
O9 - Extra button: Betway.com Poker - {4CBB5C71-1BA0-49ca-93CD-159AF8AA0CC9} - C:\Program Files\Betway\Poker\MPPoker.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe (file missing)

sKe69 · Answer

Bien ...


1- Mets à jours ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :
* pour la console Java :
- aller sur : Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > "Mettre à jour maintenant" > cocher la case "Automatiser la détection des mises à jour".
-> puis désinstalles les versions antérieurs via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .

--> si tu ne trouves pas l' icône Java dans le panneau de config: 
Désinstalles les version antérieurs, puis télécharges et installes la dernière version ici :
http://www.commentcamarche.net/telecharger/telecharger 34055318 java runtime environment


* Adobe Reader :
-> désinstalles avant l'ancienne version via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> télécharges et installes la dernière version ici : 
http://www.commentcamarche.net/telecharger/telecharger 27 acrobat reader 



2- refais un dernier scan Hijackthis , postes le nouveau rapport pour contrôle et attends la suite ...

Beloune · Answer

voilà, mais je crois que j'ai oublié de couper avast avant de lancer Hitjack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:49, on 2008-10-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\WINNT\system32\msiexec.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [qH4S9e3UFL] C:\Documents and Settings\All Users\Application Datasnqrwdm\zqnojsnm.exe
O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin
pjpi160_07.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin
pjpi160_07.dll
O9 - Extra button: Betway Casino - {3063c161-2f7e-4225-ba73-08bc8f64c67e} - C:\Program Files\Betway\Casino\casinogame.exe
O9 - Extra button: Betway.com Poker - {4CBB5C71-1BA0-49ca-93CD-159AF8AA0CC9} - C:\Program Files\Betway\Poker\MPPoker.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe (file missing)

sKe69 · Answer

voilà, mais je crois que j'ai oublié de couper avast avant de lancer Hitjack 

Pas besion de le couper .... 

Dis moi, Avast est-il présent dans la barre des taches en bas à droite de l'écran ( à coté de l'horloge )  ?

Beloune · Answer

nan il n'y est pas. Tout à l'heure j'ai cliqué sur le fichier que tu m'avais indiqué, mais quand l'ordi a redémarré l'icône n'était plus là.

renard101 · Answer

je suis car j apprend ;) , quelle pros sKe69,

@+

Beloune · Answer

voilà le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:29, on 2008-10-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [qH4S9e3UFL] C:\Documents and Settings\All Users\Application Datasnqrwdm\zqnojsnm.exe
O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin
pjpi160_07.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin
pjpi160_07.dll
O9 - Extra button: Betway Casino - {3063c161-2f7e-4225-ba73-08bc8f64c67e} - C:\Program Files\Betway\Casino\casinogame.exe
O9 - Extra button: Betway.com Poker - {4CBB5C71-1BA0-49ca-93CD-159AF8AA0CC9} - C:\Program Files\Betway\Poker\MPPoker.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe (file missing)

sKe69 · Answer

Très bien ... dans l'ordre : 1- Supprime le Fix.reg qui est sur ton bureau . 2- Supprimes RSIT.exe ainsi qu ce dossier C:\rsit 3 - Fermes toutes tes applications et déconnectes toi . Relances Hijackthis mais click sur " Do a scan only " Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide . Tu vas cliquer sur les carrés des lignes suivantes : O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe O4 - HKLM\..\Policies\Explorer\Run: [qH4S9e3UFL] C:\Documents and Settings\All Users\Application Data\rsnqrwdm\zqnojsnm.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe (file missing) Tu cliques en bas sur le bouton FIX CHECKED et valides . Si et seulement si tu n'as plus de soucis , fais la suite : 4- Déconnectes toi et fermes bien toutes tes applications en cours . Lances Toolscleaner2 . *Cliques sur Recherche et laisses le scan se terminer (cela peut être long). *Cliques sur Suppression pour finaliser. *Tu peux, si tu le souhaites, te servir des Options facultatives *Cliques sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) : ---> Postes ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) . Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . Puis enfin supprimes Toolscleaner2 ... ( garde malwarbytes et CCleaner : très utiles ) 5- refais un coup de CCleaner ( registres compris ) . 6- fais ce checkup pour finir : ( étape A à faire de suite ! et le reste pour demain car c'est un peu long ;) ) A-Purge de la restauration système *Désactives ta restauration : Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK --->Redémarres ton PC *Réactives ta restauration : Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK --->Redémarres ton PC ( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ). Attention : ne pas toucher au PC pendant qu'il travaille ! B-Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques *Vérifications des erreurs : Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques C-Crées un point de restauration de ton PC : Aller dans le Menu Démarrer puis dans Programmes, - Ensuite dans Accessoires et enfin dans Outils système, - Choisir "Restauration du système", - Sélectionner "Créer un point de restauration", - Cliquer sur "Suivant", - Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple : << Point restauration sain >> . --> Cliquer sur "Créer" et le point de restauration se créé automatiquement. ---> une fois terminé, dis moi ce que cela a donné ... =)

Beloune · Answer

Voici  le rapport, je fais la suite et l'étape A, je garde le reste pour demain ;-).

Bonne nuit

[ Rapport ToolsCleaner version 2.2.3 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\ComboFix\Combofix.txt: trouvé !
C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Administrateur\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\ComboFix\Combofix.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !

sKe69 · Answer

Ok ...

et j'avais oublier , pour supprimer Combofix :

-->Cliques sur " Démarrer "( ou combine la touche Windows + R ) -> " Executer " -> copie/colles cette ligne : 

ComboFix /u 

( laisses l'espace entre Combofix et /u ) 

-->Valides .

Beloune · Answer

Bonjour,

tout s'est bien passé, j'ai fait tout ce que tu me disais de faire, le point de restauration à bien été créée.

Je n'ai eu aucun souci à faire tout ça.

J'aurais aimé toutefois savoir quels sont les utilitaires à avoir sur l'ordi, à quelle fréquence les utiliser, si mon antivirus est bon ou si je dois en prendre un autre... enfin tout ce qui concerne la maintenance, si je puis dire, de mon pc.

sKe69 · Answer

Salut,

C'est sur que tes défences sont light .... j'allais soulever ce point  ^^


sur un PC , il faut : 1 AV + 1 Antispyware + 1 pare-feu viable ( celui de Xp est une passoire ) .


Donc dans un premier temps , et si tu le désire , je te propose de changer d'anti-virus ( avast est dépassé et offre une mise à jours sur les virus avec pas mal de retard ... ) .

je te propose de mettre AntiVir qui est le top du moment : gratuit bien sûr mais en anglais ( cela dis très simple et avec tuto à l'appuie ^^ ) .

Si tu veux , je te donne la marche à suivre pour changer ... Dis moi ...

Beloune · Answer

Oui je veux bien, continuons sur notre lancée :-)

sKe69 · Answer

oki ,

voilà la démarche :

A- Télécharges AntiVir ici :
https://www.pcastuces.com/logitheque/antivir.htm
ou
https://www.avira.com/

Anti-virus gratuit ( en anglais mais très simple ) .

--> ne lances pas l'installes de suite ! 


B- Désinstalles proprement Avast en suivant cette astuce :
-> http://www.commentcamarche.net/faq/sujet 8172 desinstaller proprement avast

Pour que la désinstalle ce déroule sans prb , lances l'.exe en mode sans échec . 


C- De retour en mode normal , refais un coup de CCleaner ( registre compris ) 


D- Enfin , installes AntiVir et mets le à jour (fais ce-ci très régulièrement ) .

Aide AntiVir : https://www.malekal.com/avira-free-security-antivirus-gratuit/

( Si jamais tu as un problème avec la mise à jour , regardes ici :
http://www.commentcamarche.net/faq/sujet 8622 mise a jour d antivir impossible  ).


Fais ce réglage supplémentaire :

***************************************
Une fois AntiVir ouvert click sur configuration et coches la case "expert mode" . 
*Puis click sur configuration en haut a droite; dans la nouvelle fenetre à gauche ->scanner -> coches "scan all files" et en dessous ->scanner priority = High 
*coches : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir. 
*puis sur la droite, coches les cases suivantes : 
scan boot sectors of selected drives 
scan master boot sectors 
scan memory 
search for rootkit before scan 
et décoches : 
ignore off line files 
*toujours a gauche -> scan -> deploie -> heuristique -> macrovirus heuristic = coché et en dessous -> win32 heuristic la case cochée et high detection level aussi ...

---> cliques sur "OK" pour valider le réglage ...
****************************************

Une fois fait , 
Impératif : Redémarrer l'ordinateur en mode sans échec . 

 /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 

Lances un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ... 
Redémarres ton PC et postes moi le rapport obtenu ... Aides toi bien du tuto ;) 

( PS : Si AntiVir s'affolle dès la fin de son installe , ainsi qu'au redémarrage du PC , mets tout en quarantaine et postes moi tous les rapports ... )

Beloune · Answer

Juste pour te tenir au courant, le scan avance, doucement mais surement, environ 73% de fait.

A tout à l'heure avec le rapport.

Cécile

Beloune · Answer

Oui une : BDS/HUPIGON.bnca.20

Beloune · Answer

oui je l'y ai mis.
Je dois m'absenter, je reviens vers 15h30-16h. Si tu veux bien, continue de me donner la marche à suivre, je te ferais signe dès mon retour.

Merci.

Voici le rapport : 

Avira AntiVir Personal
Report file date: 2008-10-07  11:10

Scanning for 1664755 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Boot mode:        Save mode
Username:         Administrateur
Computer name:    GX240

Version information:
BUILD.DAT     : 8.1.0.331      16934 Bytes  2008-08-12 11:46:00
AVSCAN.EXE    : 8.1.4.7       315649 Bytes  2008-06-26 08:57:53
AVSCAN.DLL    : 8.1.4.0        40705 Bytes  2008-05-26 07:56:40
LUKE.DLL      : 8.1.4.5       164097 Bytes  2008-06-12 12:44:19
LUKERES.DLL   : 8.1.4.0        12033 Bytes  2008-05-26 07:58:52
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  2007-07-18 10:33:34
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  2008-06-24 13:54:15
ANTIVIR2.VDF  : 7.0.6.217    3773440 Bytes  2008-09-26 09:02:09
ANTIVIR3.VDF  : 7.0.7.2       280576 Bytes  2008-10-07 09:02:10
Engineversion : 8.1.1.35  
AEVDF.DLL     : 8.1.0.5       102772 Bytes  2008-02-25 09:58:21
AESCRIPT.DLL  : 8.1.0.76      319867 Bytes  2008-10-07 09:02:22
AESCN.DLL     : 8.1.0.23      119156 Bytes  2008-07-10 12:44:49
AERDL.DLL     : 8.1.1.2       438644 Bytes  2008-10-07 09:02:21
AEPACK.DLL    : 8.1.2.3       364918 Bytes  2008-10-07 09:02:19
AEOFFICE.DLL  : 8.1.0.25      196986 Bytes  2008-10-07 09:02:18
AEHEUR.DLL    : 8.1.0.59     1438071 Bytes  2008-10-07 09:02:17
AEHELP.DLL    : 8.1.0.15      115063 Bytes  2008-07-10 12:44:48
AEGEN.DLL     : 8.1.0.36      315764 Bytes  2008-10-07 09:02:13
AEEMU.DLL     : 8.1.0.7       430452 Bytes  2008-07-31 08:33:21
AECORE.DLL    : 8.1.1.11      172406 Bytes  2008-10-07 09:02:12
AEBB.DLL      : 8.1.0.1        53617 Bytes  2008-07-10 12:44:48
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  2008-07-09 08:40:05
AVPREF.DLL    : 8.0.2.0        38657 Bytes  2008-05-16 09:28:01
AVREP.DLL     : 8.0.0.2        98344 Bytes  2008-10-07 09:02:11
AVREG.DLL     : 8.0.0.1        33537 Bytes  2008-05-09 11:26:40
AVARKT.DLL    : 1.0.0.23      307457 Bytes  2008-02-12 08:29:23
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  2008-06-12 12:27:49
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  2008-01-22 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  2008-06-12 12:49:40
NETNT.DLL     : 8.0.0.1         7937 Bytes  2008-01-25 12:05:10
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  2008-06-12 13:48:07
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  2008-06-27 13:34:37

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, 
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high

Start of the scan: 2008-10-07  11:10

Starting search for hidden objects.
The driver could not be initialized.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
12 processes with 12 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
    [INFO]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
    [INFO]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '63' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
    [WARNING]   The file could not be opened!
C:\Documents and Settings\GX2601\Bureau\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\84hxrf4w.default\Cache\C9255971d01
      --> Object
        [1] Archive type: RSRC
        --> Object
          [DETECTION] Contains a recognition pattern of the (harmful) BDS/Hupigon.bnca.20 back-door program
    [NOTE]      The file was moved to '491d3270.qua'!
C:\WINNT\$NtServicePackUninstall$\ftp.exe
    [DETECTION] Is the TR/Agent.49664.J Trojan
    [NOTE]      The file was moved to '495b3cd2.qua'!
C:\WINNT\system32\awjtei.exe
    [DETECTION] Contains recognition pattern of the WORM/Rbot.69120.5 worm
    [NOTE]      The file was moved to '4955422d.qua'!
C:\WINNT\system32\kmiya.exe
    [DETECTION] Is the TR/Dropper.Gen Trojan
    [NOTE]      The file was moved to '4954425f.qua'!
C:\WINNT\system32\TFTP1568
    [DETECTION] Contains HEUR/Crypted suspicious code
    [NOTE]      The detection was classified as suspicious.
    [NOTE]      The file was moved to '493f427f.qua'!
C:\WINNT\system32\drivers\sptd.sys
    [WARNING]   The file could not be opened!


End of the scan: 2008-10-07  13:08
Used time:  1:57:50 Hour(s)

The scan has been done completely.

   7708 Scanning directories
 235547 Files were scanned
      4 viruses and/or unwanted programs were found
      1 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      5 files were moved to quarantine
      0 files were renamed
      2 Files cannot be scanned
 235540 Files not concerned
   1481 Archives were scanned
      2 Warnings
      5 Notes

sKe69 · Answer

bien ...

1- supprimes tout ce qui se trouve dans la quarantaine d'AntiVir ( via celle-ci bien sûr ) .


2- Un bon Anti spyware :

Télécharges Spybot Search and Destroy (version complète et gratuite) : 
ici https://www.safer-networking.org/?page=download
ou ici : http://www.commentcamarche.net/telecharger/telecharger 122 spybot
 
*Installes le , mets le à jour et lances "la vaccination"--->vaccines tant que le 
compteur "Non protégé" n'arrive pas à 0. 

Aide pour utilisation Spybot ici (merci Balltrap ;) ) : 
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm 

*Lances une "recherche" : 
une fois le scan terminé, vérifies que tout ce qu'il a trouvé (surtout ce qui est en rouge) soit validé puis fais "corriger les prb" .
PS : dans certains cas, il te sera demandé de planifier la suite des "corrections" au redémarrage du PC , acceptes .

-> ne me postes pas de rapport , mais dis ce que cela a donné ... ;)

Beloune · Answer

Tout s'est bien passé, j'ai fait comme demandé et spybot a vacciné jusqu'à 0.

Et maintenant chef ? J'fais quoi ? :-D

Beloune · Answer

j'suis en train, enfin Spybot est en train, je n'avais pas compris et je trouvais pas ce bouton de recherche... j'suis po blonde pourtant :-D

Beloune · Answer

Voilà c'est fait, il m'a effectivement demander de redémarrer l'ordi et a fait... un scan à nouveau au démarrage.

Et maintenant, quelle est la suite ? ;-)

sKe69 · Answer

Bon ...

normalement on a finit ... ^^

Prb résolu donc : 
http://www.commentcamarche.net/faq/sujet 11365 mettre son poste en probleme resolu


Content de t'avoir rendu service ... ;)


potasses néanmoins ceci :

Des informations intéressantes pour toi et ton PC :

=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html 
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance : 
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement). 

Pourquoi ? Pour éviter de se retrouver dans ce genre de situation ( peu commune mais ...) :
-> http://secubox.aldria.com/topic-2373.html

=============================================================

=> Il faut mettre a jour la console Java régulièrement aussi : 

Rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0 
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions. 
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme. 
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé . 
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. 

============================================================= 

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC : 

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html 
-Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ 
-Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. 

===========================================================
* le pare- feu de Xp vaut rien , je te conseille fortement dans installer un :
Armor ou Comodo sont très bien ( en anglais mais gratuit )...Tu trouveras tout ce qu'il faut ici :
http://www.commentcamarche.net/telecharger/logiciel 38 firewall

tutos :
https://www.malekal.com/tutorial-online-armor-free/
https://www.malekal.com/tutorial-comodo-firewall/

( Attention : pour Comodo 3 , ne pas installer la barre de recherche pour les navigateurs ! )

En deuxieme choix ( gratuit aussi ) :
->Comodo ancienne version 2.4 ( en francais ) : 
http://download.comodo.com/cpf/download/setups/release/languages/CFP_Setup_English_French_2.4.16.174.exe
tuto: https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389

->PC Tools Firewall Plus (en français) :
https://fr.norton.com/
Tuto : http://www.6ma.fr/tuto/utilisation-pc-tools-firewall-plus/

(Note: pensez bien à désactiver le pare-feu de Windows avant de lancer l'installe de tout autre pare-feu !)

* tests firewall: http://www.matousec.com/index.html 

================================================================ 

--> Pour une meilleur sécurité lorsque tu surfes , je te conseille d'utiliser FireFox :
télécharges le ici -> http://www.commentcamarche.net/telecharger/telecharger 111 firefox

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

--> Tutorial pour sécuriser Firefox ( si tu utilises ce navigateur ) :
 https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ 

=================================================================
=> Rappel sur les principales causes d'infection : 


* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : 

Les dangers des cracks : http://forum.malekal.com/ftopic893.php 

->Le crack dans toute sa splendeur, journal d'une infection attendue : 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

->autre exemple en image , où comment s'infiltre une infection par un pseudo crack :
http://secuboxlabs.fr/archives/computertoday.html


* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent): 

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 

Pourquoi éviter le P2P :
> http://www.libellules.ch/... 
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 
> https://lexpansion.lexpress.fr/actualite-economique/
 

* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment : 
http://assiste.com.free.fr/p/abc/c/anti_activex.html


* Prévention sur deux autres types d'infection d'actualité : 

MSN prévention : 
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
 

Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ 
https://forum.malekal.com/viewtopic.php?f=45&t=5544 

=================================================================
( merci le sioux )


Voili, voilou ....

Bonne continuation à toi ... =)

Tous mes voeux à la future mamam ...


A+

Beloune · Answer

Je te remercie de tout ce temps que tu as passé à m'aider. Heureusement que vous êtes là, vous les bénévoles et toi en particulier puisque tu m'as aidé. 

Je vais suivre toutes tes recommandations et installer ce qui manque sur mon ordinateur. 

Encore merci.

Cécile

genie-rita · Answer

oéé moi aussi beaucoup de fenêtres s'ouvrent sans que je demande et j'ai fait un scan avec kaspersky mais il n'a rien trouvé et le par feu me dit que je dois bloquer un programme qui s'appelle Ares !!

Virus, ordi bloqué

92 réponses

Votre réponse

Discussions similaires

Newsletters