winlogon CPU 100% dll image incorrecte..HELP!

Question

Bonjour,

j'ai un souci sur mon PC qui survient aléatoirement (lors de la reprise de la main sur l'écran de veille, après démarrage de Outlook...), winlogon.exe monopolise la CPU, ralentie énormément le PC et je suis obligé de rebooter. La semaine dernière la CPU se bloquait avec vsmon.exe qui utilisait 25% de la CPU et winlogon.exe 75%. En remplacant Zone Alarme par Kerio vsmon a disparu. Reste à régler le pb winlogon.exe qui utilise désormais la CPU à 100% lorsque le bug apparait... 

Quelques précisions et mon rapport HijackThis :

Ma config :
Windows XP Home Edition
Internet Explorer 6.0
AntiVir PersonalEdition

Logfile of HijackThis v1.99.1
Scan saved at 18:52:49, on 04/12/2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Fichiers communs\Real\Update_OBnathchk.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Documents and Settings\Zorro3\Bureau\Kit de dépannage\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {031771DA-2F35-420B-94DE-0929BE900FD8} - c:\windows\system32\qjwjxcr.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe -osboot
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .m4v: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin6.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://www.tele2mail.com/static/apps/utils/AccountHelper.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: upteqdjr - C:\WINDOWS\SYSTEM32\qjwjxcr.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe



En plus du probleme de CPU, j'ai aussi fréquement des messages d'erreur comme celui-ci qui apparaissent :

" Rappel : OSA.EXE - Image incorrecte
L'application ou la DLL c:\windows\system32\imgzoaa.dll n'est pas une image Windows valide. Vérifiez à l'aide de votre disquette d'installation."

Suivi d'un autre msg identique pour l'application "hpobrt07.exe"


J'ai scanné mon PC avec Kaspersky Webscanner qui n'a rien trouvé puis j'ai passé SUPERantiSpyware.exe qui m'a viré quelques fichiers. Enfin, j'ai passé CCleaner qui a fait le ménage mais n'a pas corrigé le(s) probleme(s). Le fichier imgzoaa.dll est bien présent dans c:WINDOWS\System32

Worms, bug Windows ou autre ? 
Je ne sais pas si mes deux problèmes sont liés. Une recherche de "imgzoaa.dll" ne donne rien sur Google.

Je commence être sérieusement à court d'idées et vu ma maitrise du PC, j'ai peur de faire plus de mal que de bien en jouant avec les dll.


J'ai besoin de votre aide, please.... toute suggestion est bienvenue


Zorro3

anthony5151 · Answer

Bonjour,


Infection Vundo (n'essaye pas de cocher ces lignes dans hijackthis !) :
O2 - BHO: (no name) - {031771DA-2F35-420B-94DE-0929BE900FD8} - c:\windows\system32\qjwjxcr.dll
O20 - Winlogon Notify: upteqdjr - C:\WINDOWS\SYSTEM32\qjwjxcr.dll



Télécharge et installe Malwarebytes' Anti-Malware
- A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
- Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
- Sélectionne tes disques durs" puis clique sur "Lancer l’examen" 
- A la fin du scan, clique sur Afficher les résultats
- Coche tous les éléments  détectés puis clique sur Supprimer la sélection
- Enregistre le rapport
- S'il t'est demandé de redémarrer, clique sur Yes

Poste le rapport de scan après la suppression ici

Zorro3 · Answer

Salut,

Tout d'abord un grand merci à toi Anthony5151 pour ton secours sans quoi j'aurais jamais compris ce que c'était...
Malheureusement, la créature résiste.... Malwarebytes' Anti-Malware m'a détecté et supprimé 18 éléments infectés (dont Trojan.Agent qui s'était aussi invité su mon PC).
Par contre, il me reste systèmatiquement 3 éléments infectés (j'ai fais plusieurs scans avec mbma et Combofix mais rien n'y fait). 
Le trojan Trojan.Vundo.H initialement, a pris le nom de Trojan.BHO.H maintenant.

Voivi le rapport du scan MBAM :

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1463
Windows 5.1.2600 

05/12/2008 15:32:39
mbam-log-2008-12-05 (15-32-39).txt

Type de recherche: Examen rapide
Eléments examinés: 42777
Temps écoulé: 3 minute(s), 51 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{031771da-2f35-420b-94de-0929be900fd8} (Trojan.BHO.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{031771da-2f35-420b-94de-0929be900fd8} (Trojan.BHO.H) -> Delete on reboot.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\system32\qjwjxcr.dll (Trojan.BHO.H) -> Delete on reboot.


Désormais AntiVir Guard reconnait aussi le trojan (qu'il appelle TR/Trash.Gen) dans les fichiers qjwjxcr.dll et imgzoaa.dll (messages d'alerte intempestifs).
J'ai vérifié le dossier c:\windows\system32 et les 2 dll s'y trouvent tjs.


Que dois-je faire ensuite pour détruire ce Vundo ?

Zorro3 · Answer

Pour info, voici mon scan Combofix suivi du rapport HijackThis :

ComboFix 08-12-04.04 - Zorro3 2008-12-05 15:06:36.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.0.2534.1.7986.45.89 [GMT 1:00]
Lancé depuis: c:\documents and settings\Zorro3\Bureau\Kit de dépannage\ComboFix.exe

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-05 au 2008-12-05 ))))))))))))))))))))))))))))))))))))
.

2008-12-05 12:43 . 2008-12-05 14:35 726 --a------ c:\windows\system32\drivers\fwdrv.err
2008-12-05 12:25 . 2008-12-05 12:25 <REP> d-------- C:\VundoFix Backups
2008-12-05 11:39 . 2008-12-05 11:39 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-05 11:39 . 2008-12-05 11:39 <REP> d-------- c:\documents and settings\Zorro3\Application Data\Malwarebytes
2008-12-05 11:39 . 2008-12-05 11:39 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-05 11:39 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-05 11:39 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-04 15:49 . 2008-12-04 15:55 <REP> d-------- C:\Exchange
2008-12-04 15:47 . 2008-12-04 15:47 <REP> d-------- c:\windows\MSREMOTE.SFS
2008-12-03 14:29 . 2001-08-23 17:18 899,914 --a--c--- c:\windows\system32\dllcache\r2mdkxga.sys
2008-12-03 14:28 . 2001-08-23 17:46 1,738,496 --a--c--- c:\windows\system32\dllcache\nv4.dll
2008-12-03 14:27 . 2001-08-17 21:28 802,683 --a--c--- c:\windows\system32\dllcache\ltsm.sys
2008-12-03 14:26 . 2001-08-23 17:46 1,733,120 --a--c--- c:\windows\system32\dllcache\g400d.dll
2008-12-03 14:25 . 2001-08-23 17:04 980,034 --a--c--- c:\windows\system32\dllcache\cicap.sys
2008-12-03 14:24 . 2001-08-17 21:28 762,780 --a--c--- c:\windows\system32\dllcache\3cwmcru.sys
2008-12-03 13:03 . 2008-12-03 13:03 <REP> d-------- c:\program files\Sunbelt Software
2008-12-03 11:42 . 2008-12-03 11:42 <REP> d-------- c:\windows\system32\Kaspersky Lab
2008-11-30 18:02 . 2008-11-30 18:02 <REP> d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2008-11-30 18:01 . 2008-12-03 15:13 <REP> d-------- c:\program files\SUPERAntiSpyware
2008-11-30 18:01 . 2008-12-03 15:13 <REP> d-------- c:\documents and settings\Zorro3\Application Data\SUPERAntiSpyware.com
2008-11-27 11:24 . 2002-01-23 11:19 107,430 --------- c:\windows\system32\drivers\pwd_2k.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-05 13:56 --------- d-----w c:\documents and settings\All Users\Application Data\AntiVir PersonalEdition classic
2008-12-05 11:52 105,984 ----a-w c:\windows\system32\imgzoaa.dll
2008-12-02 17:09 --------- d-----w c:\program files\DivX
2008-12-02 17:08 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-27 10:24 --------- d-----w c:\program files\Fichiers communs\Adaptec Shared
2008-11-01 13:25 --------- d-----w c:\program files\CCleaner
2008-10-28 19:50 --------- d-----w c:\documents and settings\All Users\Application Data\pdf995
2006-10-30 10:45 131 ----a-w c:\program files\default.lfq
2006-10-30 10:34 634 ---h--w c:\program files\uninstall.uif
2005-09-25 13:49 21 ----a-w c:\program files\AVPersonalAVWIN.INI
1999-04-16 19:40 828,416 ----a-w c:\program files\Leechftp.exe
1999-04-16 17:37 3,188 ----a-w c:\program files\readme.txt
1999-01-08 16:10 87,312 ----a-w c:\program files\d3dpmesh.dll
1999-01-08 16:10 576 ----a-w c:\program files\gmreadme.txt
1999-01-08 16:10 437,008 ----a-w c:\program files\d3drm.dll
1999-01-08 16:10 3,440,660 ----a-w c:\program files\gm16.dls
1999-01-08 16:10 107,792 ----a-w c:\program files\d3dxof.dll
1998-08-01 19:17 94,157 ----a-w c:\program files\LEECHFTP.HLP
1998-08-01 19:17 624 ----a-w c:\program files\leechftp.cnt
1997-07-14 15:00 41,472 ----a-w c:\program files\dpserial.dll
1997-07-14 15:00 39,936 ----a-w c:\program files\dplay.dll
1997-07-14 15:00 24,064 ----a-w c:\program files\dpwsock.dll
1997-07-14 15:00 14,344 ----a-w c:\program files\dplay.inf
1997-07-14 15:00 1,549 ----a-w c:\program files\dplaydx2.inf
2005-05-13 15:12 217,073 --sha-r c:\windows\meta4.exe
2005-10-24 09:13 66,560 --sha-r c:\windows\MOTA113.exe
2001-08-28 12:00 94,864 --sh--w c:\windows\twain.dll
2001-08-28 12:00 46,592 --sh--w c:\windows\twain_32.dll
2005-10-13 19:27 422,400 --sha-r c:\windows\x2.64.exe
2005-10-07 17:14 308,224 --sha-r c:\windows\system32\avisynth.dll
2005-07-14 10:31 27,648 --sha-r c:\windows\system32\AVSredirect.dll
2005-06-26 13:32 616,448 --sha-r c:\windows\system32\cygwin1.dll
2005-06-21 20:37 45,568 --sha-r c:\windows\system32\cygz.dll
2004-01-24 22:00 70,656 --sha-r c:\windows\system32\i420vfw.dll
2001-08-28 12:00 995,383 --sh--w c:\windows\system32\mfc42.dll
2001-08-28 12:00 50,688 --sh--w c:\windows\system32\msvcirt.dll
2001-08-28 12:00 401,462 --sh--w c:\windows\system32\msvcp60.dll
2001-08-28 12:00 322,560 --sh--w c:\windows\system32\msvcrt.dll
2001-08-28 12:00 569,344 --sh--w c:\windows\system32\oleaut32.dll
2001-08-28 12:00 106,496 --sh--w c:\windows\system32\olepro32.dll
2001-08-28 12:00 10,240 --sh--w c:\windows\system32\regsvr32.exe
2006-04-27 08:24 2,945,024 --sha-r c:\windows\system32\Smab.dll
2005-02-28 11:16 240,128 --sha-r c:\windows\system32\x.264.exe
.

((((((((((((((((((((((((((((( snapshot@2008-12-05_12.56.11.62 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-12-05 11:08:10 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2008-12-05 12:13:10 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2008-12-05 11:08:10 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-12-05 12:13:10 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-12-05 11:08:10 327,680 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-12-05 12:13:10 327,680 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{031771DA-2F35-420B-94DE-0929BE900FD8}]
2008-12-05 12:52 105984 --a------ c:\windows\system32\qjwjxcr.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2004-07-11 151597]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2004-10-29 86016]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-10-29 4620288]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"nwiz"="nwiz.exe" [2004-10-29 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-28 13312]

c:\documents and settings\Zorro3\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage d'Office.lnk - c:\program files\Microsoft Office\Office\OSA.EXE [1997-01-14 51984]
Microsoft Recherche acc‚l‚r‚e.lnk - c:\program files\Microsoft Office\Office\FINDFAST.EXE [1997-01-14 111376]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HPAiODevice(hp psc 700 series) - 1.lnk - c:\program files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe [2002-04-24 487484]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= DivXa32.acm

R0 avgntmgr;avgntmgr;c:\windows\System32\drivers\avgntmgr.sys [2006-02-13 22336]
R0 konkurqo;konkurqo;c:\windows\System32\drivers\konkurqo.sys [2001-08-28 23424]
R1 avgntdd;avgntdd;c:\windows\System32\DRIVERS\avgntdd.sys [2006-02-13 45376]
R1 fwdrv;Firewall Driver;c:\windows\System32\drivers\fwdrv.sys [2007-04-26 302000]
R1 khips;Kerio HIPS Driver;c:\windows\System32\drivers\khips.sys [2007-04-26 72624]
S0 NVDual;NVDual;c:\windows\System32\DRIVERS\nvDual.sys []
S2 SPF4;Sunbelt Personal Firewall 4;"c:\program files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 1234480]
S3 WFsys;WinFox Control I/O Driver;c:\windows\System32\DRIVERS\wfsys.sys [2004-05-15 13692]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm -

c:\windows\Downloaded Program Files\Account.dll - O16 -: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4}
hxxp://www.tele2mail.com/static/apps/utils/AccountHelper.cab
c:\windows\Downloaded Program Files\Account.inf
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-05 15:11:27
Windows 5.1.2600 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Iomega Activity Disk2]
"ImagePath"="\"\""
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(544)
c:\windows\system32\ODBC32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
c:\windows\system32\DivXa32.acm
c:\windows\system32\vorbis.acm

- - - - - - - > 'lsass.exe'(600)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
c:\windows\System32\dssenh.dll
.
Heure de fin: 2008-12-05 15:14:18
ComboFix-quarantined-files.txt 2008-12-05 14:14:11
ComboFix2.txt 2008-12-05 13:47:45
ComboFix3.txt 2008-12-05 11:59:18

Avant-CF: 26 177 400 832 octets libres
Après-CF: 26,166,734,848 octets libres

160

Mon dernier rapport HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 16:56:44, on 05/12/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Zorro3\Bureau\Kit de dépannage\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {031771DA-2F35-420B-94DE-0929BE900FD8} - c:\windows\system32\qjwjxcr.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .m4v: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin6.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://www.tele2mail.com/static/apps/utils/AccountHelper.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

J'avoue ne rien comprendre à toutes ces lignes mais si ça peut aider à soigner le PC...

Zorro3 · Answer

Pour infos voici le log ComboFix : ComboFix 08-12-04.04 - Zorro3 2008-12-05 15:06:36.3 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.0.2534.1.7986.45.89 [GMT 1:00] Lancé depuis: c:\documents and settings\Zorro3\Bureau\Kit de dépannage\ComboFix.exe [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR] . ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-05 au 2008-12-05 )))))))))))))))))))))))))))))))))))) . 2008-12-05 12:43 . 2008-12-05 14:35 726 --a------ c:\windows\system32\drivers\fwdrv.err 2008-12-05 12:25 . 2008-12-05 12:25 d-------- C:\VundoFix Backups 2008-12-05 11:39 . 2008-12-05 11:39 d-------- c:\program files\Malwarebytes' Anti-Malware 2008-12-05 11:39 . 2008-12-05 11:39 d-------- c:\documents and settings\Zorro3\Application Data\Malwarebytes 2008-12-05 11:39 . 2008-12-05 11:39 d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2008-12-05 11:39 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-05 11:39 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-04 15:49 . 2008-12-04 15:55 d-------- C:\Exchange 2008-12-04 15:47 . 2008-12-04 15:47 d-------- c:\windows\MSREMOTE.SFS 2008-12-03 14:29 . 2001-08-23 17:18 899,914 --a--c--- c:\windows\system32\dllcache 2mdkxga.sys 2008-12-03 14:28 . 2001-08-23 17:46 1,738,496 --a--c--- c:\windows\system32\dllcache v4.dll 2008-12-03 14:27 . 2001-08-17 21:28 802,683 --a--c--- c:\windows\system32\dllcache\ltsm.sys 2008-12-03 14:26 . 2001-08-23 17:46 1,733,120 --a--c--- c:\windows\system32\dllcache\g400d.dll 2008-12-03 14:25 . 2001-08-23 17:04 980,034 --a--c--- c:\windows\system32\dllcache\cicap.sys 2008-12-03 14:24 . 2001-08-17 21:28 762,780 --a--c--- c:\windows\system32\dllcache\3cwmcru.sys 2008-12-03 13:03 . 2008-12-03 13:03 d-------- c:\program files\Sunbelt Software 2008-12-03 11:42 . 2008-12-03 11:42 d-------- c:\windows\system32\Kaspersky Lab 2008-11-30 18:02 . 2008-11-30 18:02 d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com 2008-11-30 18:01 . 2008-12-03 15:13 d-------- c:\program files\SUPERAntiSpyware 2008-11-30 18:01 . 2008-12-03 15:13 d-------- c:\documents and settings\Zorro3\Application Data\SUPERAntiSpyware.com 2008-11-27 11:24 . 2002-01-23 11:19 107,430 --------- c:\windows\system32\drivers\pwd_2k.sys . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-05 13:56 --------- d-----w c:\documents and settings\All Users\Application Data\AntiVir PersonalEdition classic 2008-12-05 11:52 105,984 ----a-w c:\windows\system32\imgzoaa.dll 2008-12-02 17:09 --------- d-----w c:\program files\DivX 2008-12-02 17:08 --------- d--h--w c:\program files\InstallShield Installation Information 2008-11-27 10:24 --------- d-----w c:\program files\Fichiers communs\Adaptec Shared 2008-11-01 13:25 --------- d-----w c:\program files\CCleaner 2008-10-28 19:50 --------- d-----w c:\documents and settings\All Users\Application Data\pdf995 2006-10-30 10:45 131 ----a-w c:\program files\default.lfq 2006-10-30 10:34 634 ---h--w c:\program files\uninstall.uif 2005-09-25 13:49 21 ----a-w c:\program files\AVPersonalAVWIN.INI 1999-04-16 19:40 828,416 ----a-w c:\program files\Leechftp.exe 1999-04-16 17:37 3,188 ----a-w c:\program files eadme.txt 1999-01-08 16:10 87,312 ----a-w c:\program files\d3dpmesh.dll 1999-01-08 16:10 576 ----a-w c:\program files\gmreadme.txt 1999-01-08 16:10 437,008 ----a-w c:\program files\d3drm.dll 1999-01-08 16:10 3,440,660 ----a-w c:\program files\gm16.dls 1999-01-08 16:10 107,792 ----a-w c:\program files\d3dxof.dll 1998-08-01 19:17 94,157 ----a-w c:\program files\LEECHFTP.HLP 1998-08-01 19:17 624 ----a-w c:\program files\leechftp.cnt 1997-07-14 15:00 41,472 ----a-w c:\program files\dpserial.dll 1997-07-14 15:00 39,936 ----a-w c:\program files\dplay.dll 1997-07-14 15:00 24,064 ----a-w c:\program files\dpwsock.dll 1997-07-14 15:00 14,344 ----a-w c:\program files\dplay.inf 1997-07-14 15:00 1,549 ----a-w c:\program files\dplaydx2.inf 2005-05-13 15:12 217,073 --sha-r c:\windows\meta4.exe 2005-10-24 09:13 66,560 --sha-r c:\windows\MOTA113.exe 2001-08-28 12:00 94,864 --sh--w c:\windows wain.dll 2001-08-28 12:00 46,592 --sh--w c:\windows wain_32.dll 2005-10-13 19:27 422,400 --sha-r c:\windows\x2.64.exe 2005-10-07 17:14 308,224 --sha-r c:\windows\system32\avisynth.dll 2005-07-14 10:31 27,648 --sha-r c:\windows\system32\AVSredirect.dll 2005-06-26 13:32 616,448 --sha-r c:\windows\system32\cygwin1.dll 2005-06-21 20:37 45,568 --sha-r c:\windows\system32\cygz.dll 2004-01-24 22:00 70,656 --sha-r c:\windows\system32\i420vfw.dll 2001-08-28 12:00 995,383 --sh--w c:\windows\system32\mfc42.dll 2001-08-28 12:00 50,688 --sh--w c:\windows\system32\msvcirt.dll 2001-08-28 12:00 401,462 --sh--w c:\windows\system32\msvcp60.dll 2001-08-28 12:00 322,560 --sh--w c:\windows\system32\msvcrt.dll 2001-08-28 12:00 569,344 --sh--w c:\windows\system32\oleaut32.dll 2001-08-28 12:00 106,496 --sh--w c:\windows\system32\olepro32.dll 2001-08-28 12:00 10,240 --sh--w c:\windows\system32 egsvr32.exe 2006-04-27 08:24 2,945,024 --sha-r c:\windows\system32\Smab.dll 2005-02-28 11:16 240,128 --sha-r c:\windows\system32\x.264.exe . ((((((((((((((((((((((((((((( snapshot@2008-12-05_12.56.11.62 ))))))))))))))))))))))))))))))))))))))))) . - 2008-12-05 11:08:10 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat + 2008-12-05 12:13:10 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat - 2008-12-05 11:08:10 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat + 2008-12-05 12:13:10 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat - 2008-12-05 11:08:10 327,680 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat + 2008-12-05 12:13:10 327,680 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{031771DA-2F35-420B-94DE-0929BE900FD8}] 2008-12-05 12:52 105984 --a------ c:\windows\system32\qjwjxcr.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB ealsched.exe" [2004-07-11 151597] "NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2004-10-29 86016] "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-10-29 4620288] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496] "avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497] "nwiz"="nwiz.exe" [2004-10-29 c:\windows\system32 wiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-28 13312] c:\documents and settings\Zorro3\Menu D‚marrer\Programmes\D‚marrage\ D‚marrage d'Office.lnk - c:\program files\Microsoft Office\Office\OSA.EXE [1997-01-14 51984] Microsoft Recherche acc‚l‚r‚e.lnk - c:\program files\Microsoft Office\Office\FINDFAST.EXE [1997-01-14 111376] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ HPAiODevice(hp psc 700 series) - 1.lnk - c:\program files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe [2002-04-24 487484] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.l3acm"= l3codecp.acm "vidc.DIV3"= DivXc32.dll "vidc.DIV4"= DivXc32f.dll "msacm.divxa32"= DivXa32.acm R0 avgntmgr;avgntmgr;c:\windows\System32\drivers\avgntmgr.sys [2006-02-13 22336] R0 konkurqo;konkurqo;c:\windows\System32\drivers\konkurqo.sys [2001-08-28 23424] R1 avgntdd;avgntdd;c:\windows\System32\DRIVERS\avgntdd.sys [2006-02-13 45376] R1 fwdrv;Firewall Driver;c:\windows\System32\drivers\fwdrv.sys [2007-04-26 302000] R1 khips;Kerio HIPS Driver;c:\windows\System32\drivers\khips.sys [2007-04-26 72624] S0 NVDual;NVDual;c:\windows\System32\DRIVERS vDual.sys [] S2 SPF4;Sunbelt Personal Firewall 4;"c:\program files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 1234480] S3 WFsys;WinFox Control I/O Driver;c:\windows\System32\DRIVERS\wfsys.sys [2004-05-15 13692] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ uDefault_Search_URL = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web elated.htm IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web elated.htm - c:\windows\Downloaded Program Files\Account.dll - O16 -: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} hxxp://www.tele2mail.com/static/apps/utils/AccountHelper.cab c:\windows\Downloaded Program Files\Account.inf . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-05 15:11:27 Windows 5.1.2600 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Iomega Activity Disk2] "ImagePath"="\"\"" . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(544) c:\windows\system32\ODBC32.dll c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll c:\windows\system32\DivXa32.acm c:\windows\system32\vorbis.acm - - - - - - - > 'lsass.exe'(600) c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll c:\windows\System32\dssenh.dll . Heure de fin: 2008-12-05 15:14:18 ComboFix-quarantined-files.txt 2008-12-05 14:14:11 ComboFix2.txt 2008-12-05 13:47:45 ComboFix3.txt 2008-12-05 11:59:18 Avant-CF: 26 177 400 832 octets libres Après-CF: 26,166,734,848 octets libres 160 Et le dernier rapport HijackThis : Logfile of HijackThis v1.99.1 Scan saved at 18:58:40, on 05/12/2008 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32 vsvc32.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe C:\Program Files\Microsoft Office\Office\OSA.EXE C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\WINDOWS\System32\hpoipm07.exe C:\Program Files\Fichiers communs\Real\Update_OB nathchk.exe C:\Documents and Settings\Zorro3\Bureau\Kit de dépannage\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: (no name) - {031771DA-2F35-420B-94DE-0929BE900FD8} - c:\windows\system32\qjwjxcr.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe -osboot O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web elated.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web elated.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O12 - Plugin for .m4v: C:\Program Files\Internet Explorer\PLUGINS pqtplugin6.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://www.tele2mail.com/static/apps/utils/AccountHelper.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\System32 vsvc32.exe O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe Merci beaucoup pour vos conseils...

Mmsl35_ · Answer

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe  ????

Infection Vundo / Virtumonde

1) Affiche les fichiers et dossiers cachés …
Pour ce faire, tu vas dans un dossier, par ex. "Mes Images".
Ensuite, clique sur > Outils > Options des dossiers ...
clique sur l' onglet « Affichage » et ...
coche ---> Afficher les fichiers et dossiers cachés
décoche > Masquer les extensions des fichiers dont le type est connu
décoche > Masquer les fichiers protégés du système d' exploitation (recommandé).
« Appliquer » et « OK ».

2) Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

http://www.atribune.org/ccount/click.php?id=4

· Double-clique VundoFix.exe afin de le lancer
· Clique sur le bouton Scan for Vundo
· Lorsque le scan est complété, clique sur le bouton Remove Vundo
· Une invite te demandera si tu veux supprimer les fichiers, clique YES
· Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
· Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
· Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-dessus, à partir de "clique sur le bouton Scan for Vundo".

gen-hackman · Answer

bonsoir...hijackthis n est pas intallé ni a jour

Zorro3 · Answer

Salut,

merci pour vos réponses. 

Alors, j'ai passé VundoFix comme Mmsl35 m'a conseillé mais il n'arrive pas à voir le Trojan.BHO.H. VundoFix ne me propose pas non plus de rebooter pour le supprimer puisqu'il considère que mon PC est clean. Concernant, la ligne 04  - HKCU\..\Run: [SUPERAntiSpyware] ...etc  j'avais installé SUPERAntiSpyware qui n'a rien trouvé à part quelques vilaines cookies (je l'ai désintallé depuis). Par contre MBMA et AntirVir me detectent tjs le trojan dans les fichiers qjwjxcr.dll et imgzoaa.dll sous system32 et AntiVir m'envoye plein de messages d'alerte.

Dès que le pb sera réglè je passe à Firefox c'est clair, j'aurais sans doute moins d'ennuis.

Le rapport Vundo :

VundoFix V7.0.6

Scan started at 12:12:19 06/12/2008

Listing files found while scanning....

No infected files were found.


et le nouveau rapport HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 13:00:22, on 06/12/2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Zorro3\Bureau\Kit de dépannage\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {031771DA-2F35-420B-94DE-0929BE900FD8} - c:\windows\system32\qjwjxcr.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe -osboot
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .m4v: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin6.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://www.tele2mail.com/static/apps/utils/AccountHelper.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe


J'ai vu sur CCM que des internautes avaient résolu leur pb avec un fichier CFScript.txt et ComboFix. 
J'ai déjà passé Combofix seul (cf. post précedént) mais peut-être que je pourrais tenter avec ce fichier txt, quelqu'un connait la manip  ?

gen-hackman · Answer

bonjour c/f^post 6

Zorro3 · Answer

Voici le scan HijackThis version 2.0.2 :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:12:41, on 06/12/2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Fichiers communs\Real\Update_OBnathchk.exe
C:\Documents and Settings\Zorro3\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {031771DA-2F35-420B-94DE-0929BE900FD8} - c:\windows\system32\qjwjxcr.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe -osboot
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .m4v: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin6.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://www.tele2mail.com/static/apps/utils/AccountHelper.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

--

gen-hackman · Answer

c ezst toujours pas bon il est pas installé

gen-hackman · Answer

C:\Documents and Settings\Zorro3\Bureau\HiJackThis.exe 

supprime tout les hijackthis de ton pc et reprocede

gen-hackman · Answer

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau : 
http://oldtimer.geekstogo.com/OTMoveIt3.exe 

---> Double-clique sur OTMoveIt3.exe afin de le lancer. 

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes 
explorer.exe

:files 
c:\windows\system32\qjwjxcr.dll

:Commands
[purity] 
[emptytemp] 
[Reboot] 
---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3. 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log 


source Chiquitine29.....................;-)

Zorro3 · Answer

Salut, voici le rapport OTMoveIt3 :


========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
LoadLibrary failed for c:\windows\system32\qjwjxcr.dll
c:\windows\system32\qjwjxcr.dll NOT unregistered.
File move failed. c:\windows\system32\qjwjxcr.dll scheduled to be moved on reboot.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
 
OTMoveIt3 by OldTimer - Version 1.0.7.1 log created on 12062008_172707

Files moved on Reboot...
LoadLibrary failed for c:\windows\system32\qjwjxcr.dll
c:\windows\system32\qjwjxcr.dll NOT unregistered.
File move failed. c:\windows\system32\qjwjxcr.dll scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.


J'ai désactivé AntiVir le temps du scan mais apres le reboot, lorsque le PC redémarre j'ai le message suivant qui s'affiche :

"OTMoveIt3 : OTMoveIt3.EXE - Image incorrecte

L'application ou la DLL c:\windows\system32\imgzoaa.dll n'est pas une image Windows valide. Vérifiez à l'aide de votre disquette d'installation." 

AntiVir continue à m'alerter sans arrets, que puis-je faire d'autre ?

gen-hackman · Answer

Télécharge ABCD.exe ( = ComboFix renommé ) (par sUBs) sur ton Bureau (et pas ailleurs !): 

https://www.sendspace.com/file/695c5z 


--------------------------------------------- [ ! ATTENTION ! ] ---------------------------------------------------------- 
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !! 
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ... 
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ... 
--------------------------------------------------------------------------------------------------------------------------------- 

Ensuite : 
double-clique sur l'icône "ABCD.exe" pour lancer l'outil . 

Appuie sur la touche Y (Yes) pour démarrer le scan . 

Notes importantes : 
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi . 
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire . 
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ... 
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée ici : C:\Combofix.txt 

Réactive bien tes défenses . 


Poste le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ... 


source = ske69.............;-)

Zorro3 · Answer

Voici mon rapport Combofix,

ComboFix 08-11-26.05 - Zorro3 2008-12-06 18:51:09.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.0.1252.1.1036.18.79 [GMT 1:00]
Lancé depuis: c:\documents and settings\Zorro3\Bureau\abcde.exe
.
- Mode FONCTIONNALITES REDUITES -
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-06 au 2008-12-06 ))))))))))))))))))))))))))))))))))))
.

2008-12-06 17:07 . 2008-12-06 17:07 <REP> d-------- C:\_OTMoveIt
2008-12-06 16:12 . 2008-12-06 16:12 <REP> d-------- c:\program files\Trend Micro
2008-12-05 14:57 . 2008-12-06 18:49 <REP> d-------- C:\ComboFix
2008-12-05 12:43 . 2008-12-06 11:24 792 --a------ c:\windows\system32\drivers\fwdrv.err
2008-12-05 12:25 . 2008-12-05 12:25 <REP> d-------- C:\VundoFix Backups
2008-12-05 11:39 . 2008-12-05 11:39 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-05 11:39 . 2008-12-05 11:39 <REP> d-------- c:\documents and settings\Zorro3\Application Data\Malwarebytes
2008-12-05 11:39 . 2008-12-05 11:39 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-05 11:39 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-05 11:39 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-04 15:49 . 2008-12-04 15:55 <REP> d-------- C:\Exchange
2008-12-04 15:47 . 2008-12-04 15:47 <REP> d-------- c:\windows\MSREMOTE.SFS
2008-12-03 14:29 . 2001-08-23 17:18 899,914 --a--c--- c:\windows\system32\dllcache\r2mdkxga.sys
2008-12-03 14:28 . 2001-08-23 17:46 1,738,496 --a--c--- c:\windows\system32\dllcache\nv4.dll
2008-12-03 14:27 . 2001-08-17 21:28 802,683 --a--c--- c:\windows\system32\dllcache\ltsm.sys
2008-12-03 14:26 . 2001-08-23 17:46 1,733,120 --a--c--- c:\windows\system32\dllcache\g400d.dll
2008-12-03 14:25 . 2001-08-23 17:04 980,034 --a--c--- c:\windows\system32\dllcache\cicap.sys
2008-12-03 14:24 . 2001-08-17 21:28 762,780 --a--c--- c:\windows\system32\dllcache\3cwmcru.sys
2008-12-03 13:03 . 2008-12-03 13:03 <REP> d-------- c:\program files\Sunbelt Software
2008-12-03 11:42 . 2008-12-03 11:42 <REP> d-------- c:\windows\system32\Kaspersky Lab
2008-11-30 18:02 . 2008-11-30 18:02 <REP> d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2008-11-30 18:01 . 2008-12-06 12:47 <REP> d-------- c:\program files\SUPERAntiSpyware
2008-11-30 18:01 . 2008-12-06 12:47 <REP> d-------- c:\documents and settings\Zorro3\Application Data\SUPERAntiSpyware.com
2008-11-27 11:24 . 2002-01-23 11:19 107,430 --------- c:\windows\system32\drivers\pwd_2k.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-05 18:06 --------- d-----w c:\documents and settings\All Users\Application Data\AntiVir PersonalEdition classic
2008-12-05 11:52 105,984 ----a-w c:\windows\system32\imgzoaa.dll
2008-12-02 17:09 --------- d-----w c:\program files\DivX
2008-12-02 17:08 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-27 10:24 --------- d-----w c:\program files\Fichiers communs\Adaptec Shared
2008-11-01 13:25 --------- d-----w c:\program files\CCleaner
2008-10-28 19:50 --------- d-----w c:\documents and settings\All Users\Application Data\pdf995
2006-10-30 10:45 131 ----a-w c:\program files\default.lfq
2006-10-30 10:34 634 ---h--w c:\program files\uninstall.uif
2005-09-25 13:49 21 ----a-w c:\program files\AVPersonalAVWIN.INI
1999-04-16 19:40 828,416 ----a-w c:\program files\Leechftp.exe
1999-04-16 17:37 3,188 ----a-w c:\program files\readme.txt
1999-01-08 16:10 87,312 ----a-w c:\program files\d3dpmesh.dll
1999-01-08 16:10 576 ----a-w c:\program files\gmreadme.txt
1999-01-08 16:10 437,008 ----a-w c:\program files\d3drm.dll
1999-01-08 16:10 3,440,660 ----a-w c:\program files\gm16.dls
1999-01-08 16:10 107,792 ----a-w c:\program files\d3dxof.dll
1998-08-01 19:17 94,157 ----a-w c:\program files\LEECHFTP.HLP
1998-08-01 19:17 624 ----a-w c:\program files\leechftp.cnt
1997-07-14 15:00 41,472 ----a-w c:\program files\dpserial.dll
1997-07-14 15:00 39,936 ----a-w c:\program files\dplay.dll
1997-07-14 15:00 24,064 ----a-w c:\program files\dpwsock.dll
1997-07-14 15:00 14,344 ----a-w c:\program files\dplay.inf
1997-07-14 15:00 1,549 ----a-w c:\program files\dplaydx2.inf
2005-05-13 15:12 217,073 --sha-r c:\windows\meta4.exe
2005-10-24 09:13 66,560 --sha-r c:\windows\MOTA113.exe
2001-08-28 12:00 94,864 --sh--w c:\windows\twain.dll
2001-08-28 12:00 46,592 --sh--w c:\windows\twain_32.dll
2005-10-13 19:27 422,400 --sha-r c:\windows\x2.64.exe
2005-10-07 17:14 308,224 --sha-r c:\windows\system32\avisynth.dll
2005-07-14 10:31 27,648 --sha-r c:\windows\system32\AVSredirect.dll
2005-06-26 13:32 616,448 --sha-r c:\windows\system32\cygwin1.dll
2005-06-21 20:37 45,568 --sha-r c:\windows\system32\cygz.dll
2004-01-24 22:00 70,656 --sha-r c:\windows\system32\i420vfw.dll
2001-08-28 12:00 995,383 --sh--w c:\windows\system32\mfc42.dll
2001-08-28 12:00 50,688 --sh--w c:\windows\system32\msvcirt.dll
2001-08-28 12:00 401,462 --sh--w c:\windows\system32\msvcp60.dll
2001-08-28 12:00 322,560 --sh--w c:\windows\system32\msvcrt.dll
2001-08-28 12:00 569,344 --sh--w c:\windows\system32\oleaut32.dll
2001-08-28 12:00 106,496 --sh--w c:\windows\system32\olepro32.dll
2001-08-28 12:00 10,240 --sh--w c:\windows\system32\regsvr32.exe
2006-04-27 08:24 2,945,024 --sha-r c:\windows\system32\Smab.dll
2005-02-28 11:16 240,128 --sha-r c:\windows\system32\x.264.exe
.

((((((((((((((((((((((((((((( snapshot@2008-12-05_12.56.11.62 )))))))))))))))))))))))))))))))))))))))))
.
+ 2001-07-14 16:32:24 69,632 ----a-w c:\windows\setupupd\temp\wsdueng.dll
+ 2001-09-28 15:37:00 19,200 ----a-w c:\windows\setupupd\updates\i386\usbuhci.sys
+ 2002-01-23 00:54:26 457,728 ----a-w c:\windows\setupupd\winnt32\w95upgnt.dll
+ 2002-07-08 18:21:54 847,872 ----a-w c:\windows\setupupd\winnt32\win9xupg\w95upg.dll
+ 2002-01-30 22:31:48 1,155,072 ----a-w c:\windows\setupupd\winnt32\winnt32a.dll
+ 2002-01-30 22:31:50 1,267,200 ----a-w c:\windows\setupupd\winnt32\winnt32u.dll
- 2008-12-05 11:08:10 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2008-12-06 16:28:30 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2008-12-05 11:08:10 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-12-06 16:28:30 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-12-04 07:29:04 138,848 ----a-w c:\windows\system32\FNTCACHE.DAT
+ 2008-12-06 17:46:55 138,848 ----a-w c:\windows\system32\FNTCACHE.DAT
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{031771DA-2F35-420B-94DE-0929BE900FD8}]
2008-12-05 12:52 105984 --a------ c:\windows\system32\qjwjxcr.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2004-07-11 151597]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2004-10-29 86016]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-10-29 4620288]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"nwiz"="nwiz.exe" [2004-10-29 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-28 13312]

c:\documents and settings\Zorro3\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage d'Office.lnk - c:\program files\Microsoft Office\Office\OSA.EXE [1997-01-14 51984]
Microsoft Recherche acc‚l‚r‚e.lnk - c:\program files\Microsoft Office\Office\FINDFAST.EXE [1997-01-14 111376]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HPAiODevice(hp psc 700 series) - 1.lnk - c:\program files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe [2002-04-24 487484]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= DivXa32.acm

R0 avgntmgr;avgntmgr;c:\windows\System32\drivers\avgntmgr.sys [2006-02-13 22336]
R0 konkurqo;konkurqo;c:\windows\System32\drivers\konkurqo.sys [2001-08-28 23424]
R1 avgntdd;avgntdd;c:\windows\System32\DRIVERS\avgntdd.sys [2006-02-13 45376]
R1 fwdrv;Firewall Driver;c:\windows\System32\drivers\fwdrv.sys [2007-04-26 302000]
R1 khips;Kerio HIPS Driver;c:\windows\System32\drivers\khips.sys [2007-04-26 72624]
S0 NVDual;NVDual;c:\windows\System32\DRIVERS\nvDual.sys []
S2 SPF4;Sunbelt Personal Firewall 4;"c:\program files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 1234480]
S3 WFsys;WinFox Control I/O Driver;c:\windows\System32\DRIVERS\wfsys.sys [2004-05-15 13692]
S4 hpt3xx;hpt3xx; []
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm -

c:\windows\Downloaded Program Files\Account.dll - O16 -: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4}
hxxp://www.tele2mail.com/static/apps/utils/AccountHelper.cab
c:\windows\Downloaded Program Files\Account.inf
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-06 18:51:54
Windows 5.1.2600 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Iomega Activity Disk2]
"ImagePath"="\"\""
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(536)
c:\windows\system32\ODBC32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll

- - - - - - - > 'lsass.exe'(592)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
c:\windows\System32\dssenh.dll
.
Heure de fin: 2008-12-06 18:54:50
ComboFix-quarantined-files.txt 2008-12-06 17:54:44
ComboFix2.txt 2008-12-05 14:14:22
ComboFix3.txt 2008-12-05 13:47:45
ComboFix4.txt 2008-12-05 11:59:18

Avant-CF: 26 044 788 736 octets libres
Après-CF: 26,046,218,240 octets libres

170

Et le rapport HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:03:46, on 06/12/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Zorro3\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {031771DA-2F35-420B-94DE-0929BE900FD8} - c:\windows\system32\qjwjxcr.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .m4v: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin6.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://www.tele2mail.com/static/apps/utils/AccountHelper.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

Winlogon CPU 100% dll image incorrecte..HELP!

15 réponses

Votre réponse

Discussions similaires

Newsletters