TR/vundo.gen (résolu)

Voilà le nom que me serine Antivir. J'ai tenter les scan, etc...rien n'y fais...

Ci-joint le rapport Hi-Jack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:19:46, on 12/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\PrevxCSI\prevxcsi.exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\PrevxCSI\prevxcsi.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [DLCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [081a92b7] rundll32.exe "C:\WINDOWS\system32\faqebsdm.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll pbwoey.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: CSIScanner - Prevx - C:\Program Files\PrevxCSI\prevxcsi.exe
O23 - Service: dlcc_device - Unknown owner - C:\WINDOWS\system32\dlcccoms.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 7007 bytes

salut fais un scan malwares bytes pour commencer (en mode sans échec si possible)

http://www.bibou0007.com/antispywares-f77/malwarebytes-anti-malware-t952.htm

postes le rapport

J'ai un gros soucis! Plus ça va, plus j'ai l'impression d'avoir de soucis! Maintenant j'arrive pas à démarrer mon ordi en mode sans échec, quand je suis sur le net, un pop-up s'ouvre, me proposant d'installer un scanner anti-virus. Le plus gros soucis, reste présent sous deux points:

1°/ Au démarage un message d'alerte windows: C:\WINDOWS\system32\rqRIywtT.dll n'est pas une image windows valide. Vérifier avec votre disquette d'installation.

2°/ Une lenteur exceptionnelle de mon ordi + une impossibilité de lancer un executable (et donc d'installe mbam...)

Un dernier soucis survenu ce soir: dans google, pour chaque recherche, ou liens cliqué, rien de se passe et un onglet donnant sur un site porno s'ouvre.

Voilà pour mes déboirs qui m'inquiète de plus en plus pour la santé de mon ordinateur...

salut fais ceci:
Télécharge Combofix à partir d'**ICI** ou bien **ICI** et enregistre-le sur ton bureau.

**Note 1 : Dans le cas où tu aurais déjà une version de combofix, il faudra que tu en télécharges une autre, la toute dernière. De plus il est très important de le sauvegarder directement sur ton bureau.**

[*]Merci de ne jamais renommer Combofix, sauf si cela t'es expressément demandé.
[*]Ferme toutes les fenêtres en cours, sans exception.
[*]Désactive toutes les protections résidentes de tous tes logiciels antivirus, antispyware etc. afin que ces derniers n'interfèrent pas avec le bonfonctionnement de Combofix.
Très important : Désactive temporairement toutes tes protections résidentes de tous tes logiciels de sécurité avant de lancer un scan avec Combofix. Ils risqueraient d'altérer le bon déroulement du scan de Combofix, ce qui pourrait avoir des conséquences imprévues et désastreuses.
[*]Clique sur ce lien pour voir une liste de programmes qui devraient systématiquement être désactivés avant l'utilisation de combofix. A noter que la liste n'est pas exhaustive. Si ton logiciel de sécurité n'est pas dans cette liste et que tu ne sais pas comment le désactiver, ou que tu ne comprends pas l'anglais :p , merci de me poser la question.
[*]ATTENTION : Combofix va automatiquement te déconnecter d'internet dès que le scan débute.
[*]Merci ne pas essayer de reconnecter ta machine à internet tant que combofix n'a pas fini son travail.
[*]Si jamais tu n'arrives plus à te connecter à internet après l'utilisation de combofix, redémarre ton PC pour restaurer la connexion à internet.
[*]Double clique sur combofix.exe et suis les instructions qui s'affichent.
[*]Quand le scan sera fini, un rapport devrait normalement s'afficher à l'écran.
[*]Merci de poster le rapport suivant, "C:\ComboFix.txt" , dans votre prochaine réponse, accompagné d'un nouveau rapport HiJackThis.

**Note 2 : Ne pas cliquer dans la fenêtre de combofix pendant qu'il travaille. Tu risquerais de planter le PC et de causer d'importants dommages.**

Comme dis précédement, je ne peux pas lancer de .exe: j'ai demandé à un pote de télécharger combofix pour moi (mon navigateur refusant d'ouvrir une page donnant accès à combofix, tout comme avant pour mbam) une fois mis sur mon bureau, j'ai beau double cliquer à présent le même message s'affiche "C:\WINDOWS\system32\rqRIywtT.dll n'est pas une image windows valide. Vérifier avec votre disquette d'installation.".
Ainsi en plus de la lenteur de mon ordi, je me retrouve à présent à ne plus pouvoir naviguer librement sur le net...

salut

avant de l installer sur ton pc essaye de le renommé
http://www.bibou0007.com/outils-specifiques-f78/tutorial-pour-renommer-combofix-t854.htm

Bon alors, ça a marché hier...le soucis c'est que lors du redemarage de mon ordi il n'arrivait pas à rouvrir windows...Au bout de 4h à la laisser ainsi, j'ai du l'éteindre en coupant le jus...Mais depuis aujourd'hui, je n'arrive pas à relancer combofix, même en le réinstallant sous un autre nom...

bon si tu as malwarebyte lance un scan en mode normale en ayant fait la mise a jour avant!
si tu ne la pas essaye de te la procurer chez un amis et tu le renomme avant de l installé sur le pc comme pour combofix!

sinon essaye ca

Fais un scan BitDefender en ligne (avec Internet Explorer pas avec Firefox !)
(clique à gauche sur scan online).
et post moi le rapport de ce scan ici une fois terminé !
tuto bit defender


et dit moi pour le mode sans échec si il est toujours inaccessible!
a+

Bon, j'ai réussis à lancer mode sans échec! Donc j'ai fais un scan mbam. dans le lien suivant je colle donc le rapport.

http://www.bullteam.net/pastebin/?430

JE colle en plus le texte de deux fichiers découverts sur mon ordi "Bug" et "Catchme". Ce sont deux fichier txt trouvés à la racine C:\ et sur mon bureau...Je sais pas bien ce que c'est, dans le doute je transmet.

Je flood, désolé, mais en fait quand j'ai posté le premier rapport mbam, je n'avais pas encore supprimé les fichiers de la liste, je reposte donc le dernier rapport en date. Mais les questions pour les deux fichiers TXT mentionnés restent valables.
Je dois aussi signaler que visiblement au redemarage, ça m'a l'air propre...

Sinon je me demandais si il ne valais pas mieux effectué également un nettoyage de périphérique?

hmm tu as \TDSS comme infection mais d'avis de passer ceci :


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. Tu peux suivre le tutorial SDFix pour t'aider : http://www.bibou0007.com/outils-specifiques-f78/tutorial-sdfix-t1294.htm

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

* Redémarre ton ordinateur
* Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 ou F5 (suivant la marque du PC) (une pression par seconde).
* A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
* Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
* Choisis ton compte.

Déroule la liste des instructions ci-dessous :

* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le processus de nettoyage.
* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
* Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Les deux rapports:
http://www.bullteam.net/pastebin/?437

Et pour les périphériques USB, pas de nettoyage necessaires?

salut ça a l'air plus propre fais un scan bitdefender avec "ie" et postes le rapport

pour info ton "ie" est pas a jour!!tu es encore sur ie6!

ça evites d'avoir des failles de sécurité

BitDefender Online Scanner







Rapport d'analyse généré à: Mon, Jan 19, 2009 - 21:45:14









Voie d'analyse: C:\;D:\;E:\;















Statistiques

Temps


00:48:55

Fichiers


187577

Directoires


11464

Secteurs de boot


0

Archives


1456

Paquets programmes


26068







Résultats

Virus identifiés


5

Fichiers infectés


27

Fichiers suspects


0

Avertissements


0

Désinfectés


0

Fichiers effacés


27







Info sur les moteurs

Définition virus


2545817

Version des moteurs


AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)

Analyse des plugins


17

Archive des plugins


45

Unpack des plugins


7

E-mail plugins


6

Système plugins


4







Paramètres d'analyse

Première action


Désinfecté

Seconde Action


Supprimé

Heuristique


Oui

Acceptez les avertissements


Oui

Extensions analysées


exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions




Analyse d'emails


Oui

Analyse des Archives


Oui

Analyser paquets programmes


Oui

Analyse des fichiers


Oui

Analyse de boot


Oui








Fichier analysé


Statut

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP121\A0048517.exe


Infecté par: Backdoor.Bot.68073

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP121\A0048517.exe


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076120.dll


Infecté par: Gen:Trojan.Heur.544453

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076120.dll


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076120.dll


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076122.dll


Infecté par: Gen:Trojan.Heur.544453

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076122.dll


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076122.dll


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076124.dll


Infecté par: Gen:Trojan.Heur.544453

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076124.dll


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076124.dll


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076126.dll


Infecté par: Gen:Trojan.Heur.544453

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076126.dll


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076126.dll


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076128.dll


Infecté par: Trojan.Generic.1265121

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076128.dll


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076129.dll


Infecté par: Gen:Trojan.Heur.544453

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076129.dll


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076129.dll


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076132.dll


Infecté par: Gen:Trojan.Heur.544453

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076132.dll


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076132.dll


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076133.dll


Infecté par: Gen:Trojan.Heur.544453

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076133.dll


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076133.dll


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076134.dll


Infecté par: Gen:Trojan.Heur.544453

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076134.dll


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076134.dll


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076135.dll


Infecté par: Gen:Trojan.Heur.544453

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076135.dll


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076135.dll


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076136.dll


Infecté par: Gen:Trojan.Heur.544453

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076136.dll


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076136.dll


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076137.dll


Infecté par: Gen:Trojan.Heur.544453

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076137.dll


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076137.dll


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076138.dll


Infecté par: Gen:Trojan.Heur.544453

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076138.dll


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076138.dll


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076139.dll


Infecté par: Gen:Trojan.Heur.544453

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076139.dll


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076139.dll


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076140.dll


Infecté par: Gen:Trojan.Heur.544453

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076140.dll


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076140.dll


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076141.dll


Infecté par: Gen:Trojan.Heur.544453

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076141.dll


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076141.dll


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076142.dll


Infecté par: Gen:Trojan.Heur.544453

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076142.dll


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076142.dll


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076143.dll


Infecté par: Gen:Trojan.Heur.544453

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076143.dll


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076143.dll


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076144.dll


Infecté par: Gen:Trojan.Heur.544453

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076144.dll


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076144.dll


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076145.dll


Infecté par: Gen:Trojan.Heur.544453

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076145.dll


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076145.dll


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076146.dll


Infecté par: Gen:Trojan.Heur.544453

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076146.dll


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076146.dll


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076147.dll


Infecté par: Gen:Trojan.Heur.544453

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076147.dll


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076147.dll


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076148.exe


Infecté par: Trojan.FakeAlert.AUF

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076148.exe


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076148.exe


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076150.exe


Infecté par: Trojan.FakeAlert.AUF

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076150.exe


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076150.exe


Supprimé

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076162.dll


Infecté par: Gen:Trojan.Heur.544453

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076162.dll


Echec de la désinfection

C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP178\A0076162.dll


Supprimé

C:\WINDOWS\system32\plhshhax.exe


Infecté par: Trojan.Crypt.HM

C:\WINDOWS\system32\plhshhax.exe


Echec de la désinfection

C:\WINDOWS\system32\plhshhax.exe


Supprimé



Voilà le rapport bitdefender.
Entre le scan SDFix et bitdefender, j'ai encore eu une alerte antivir pour le virus TR\undo.dll par contre.

ET ie7, je m'acharne contre, il refuse de me l'installer...

Je floode encore et encore...
Pour ie 7, je ne trouve que des version pour SP2, d'après ce que je lis sur mon ordi, j'ai un SP3...Cela explique-t-il pourquoi je n'arrive pas à l'installer?!
J'ai pourtant récupéré l'installation sur le site officiel, etc...rien à faire.

re,alors on continues!

suis bien ce qui suis a la lettre stp
fais un scan avec antivir en MODE SANS éCHEC

n'oublies pas de coché l'antirookit

mets le rapport stp

Alors déjà, j'ai pas trouvé d'option "antirookit"...
Ensuite, Antivir s'est lancé tout seul au redemarage normal après l'analyse en mode sans échec du coup je copie également ce rapport.

http://www.bullteam.net/pastebin/?440

Voilà...

vides ta quarantaine

Voilà qui est fait!

salut fais ceci

http://www.bibou0007.com/windows-xp-f101/purger-la-restauration-du-systeme-sous-windows-xp-t151.htm

Voilà qui est fait également.

salut comment va ton pc?

refait un scan antivir pour finaliser

Avira AntiVir Personal
Date de création du fichier de rapport : 2009-01-21 19:06

La recherche porte sur 1234460 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :UTILISAT-1D44FD

Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 2008-12-02 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 2008-11-18 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 2008-07-21 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 2008-06-12 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 2008-07-04 07:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 2008-10-27 11:30:36
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 2009-01-14 20:13:35
ANTIVIR2.VDF : 7.1.1.148 440832 Bytes 2009-01-20 19:06:57
ANTIVIR3.VDF : 7.1.1.149 2048 Bytes 2009-01-20 19:06:57
Version du moteur: 8.2.0.57
AEVDF.DLL : 8.1.0.6 102772 Bytes 2008-10-14 10:05:56
AESCRIPT.DLL : 8.1.1.26 340347 Bytes 2009-01-16 19:22:20
AESCN.DLL : 8.1.1.5 123251 Bytes 2008-11-07 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 2008-11-04 13:58:38
AEPACK.DLL : 8.1.3.5 393588 Bytes 2009-01-10 17:20:54
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 2008-12-29 12:23:25
AEHEUR.DLL : 8.1.0.84 1540471 Bytes 2009-01-16 19:22:18
AEHELP.DLL : 8.1.2.0 119159 Bytes 2008-12-29 12:23:18
AEGEN.DLL : 8.1.1.10 323957 Bytes 2009-01-16 19:22:11
AEEMU.DLL : 8.1.0.9 393588 Bytes 2008-10-14 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 2008-12-29 12:23:16
AEBB.DLL : 8.1.0.3 53618 Bytes 2008-10-14 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 2008-07-09 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 2008-05-16 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 2008-07-31 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 2008-05-09 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 2008-02-12 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 2008-06-12 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 2008-01-22 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 2008-06-12 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 2008-01-25 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 2008-07-04 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 2008-07-17 10:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : 2009-01-21 19:06

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'update.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'usnsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dllhost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mcrdsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Tablet.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TabUserW.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RegSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehSched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehrecvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'daemon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'cmdagent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AOLacsd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'cfp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WLKEEPER.exe' - '1' module(s) sont contrôlés
Processus de recherche 'S24EvMon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EvtEng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'50' processus ont été contrôlés avec '50' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '56' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\32788R22FWJFW\hidec.exe
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\32788R22FWJFW.0.tmp\hidec.exe
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\32788R22FWJFW.1.tmp\hidec.exe
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\32788R22FWJFW.2.tmp\hidec.exe
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\32788R22FWJFW.3.tmp\hidec.exe
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\32788R22FWJFW.4.tmp\hidec.exe
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP200\A0078220.exe
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP200\A0078221.exe
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP200\A0078367.exe
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP200\A0078372.exe
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !


Fin de la recherche : 2009-01-21 20:28
Temps nécessaire: 1:22:29 Heure(s)

La recherche a été effectuée intégralement

11383 Les répertoires ont été contrôlés
329158 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
12 Impossible de contrôler des fichiers
329146 Fichiers non infectés
2252 Les archives ont été contrôlées
12 Avertissements
0 Consignes




Bien voilà pour le dernier scan...mon ordi semble aller bien...Quelques alertes comodo vis à vis de logiciel Bonjour mais c'est mineur.

Donc ça me parait bon...un nettoyage des periphériques USB, non?!

fais ceci pour voir

http://www.bibou0007.com/outils-specifiques-f78/tutorial-genproc-t967.htm

postes le rapport

voilà le rapport,

Rapport GenProc 2.346 [3] - 2009-01-21 - Windows XP

Il est impératif de désactiver le résident TeaTimer de Spybot pendant l'ensemble des manipulations qui vont suivre. Aide Tea-Timer : http://www.genproc.com/spybot/spybot.html

# Etape 1/ Télécharge :

- SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.exe (S!Ri)
Double-clique sur le fichier "smitfraudfix.exe" et choisis l'option 1 ; il va lister tous les éléments nuisibles dans un rapport : poste le maintenant.

- SDfix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe (Andy Manchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis "Install" pour l'extraire dans C:\.

- MSNFix http://sosvirus.changelog.fr/MSNFix.zip (!aur3n7) et décompresse-le sur le Bureau.


Redémarre en mode sans échec comme indiqué ici http://www.pcloisirs.eu/mode_sans_echec.htm ; pour retrouver le rapport, clique sur le raccourci "GenProc" sur ton bureau. Choisis ta session courante *** utilisateur ***


# Etape 2/

Double-clique sur le fichier "SmitfraudFix.exe" et choisis l'option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.

# Etape 3/

Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.
- Appuie sur Y pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche
pour redémarrer, fais-le pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.br />- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.br />- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

# Etape 4/

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.


# Etape 5/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 6/

Redémarre normalement et poste, dans la même réponse :

- Le rapport SmitfraudFix que tu as sauvegardé sur ton bureau ;
- Le contenu du fichier Report.txt;
- Le contenu du rapport MSNfix situé sur le Bureau ;
- Un nouveau rapport HijackThis http://tinyurl.com/GenProc-HijackThis ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

____________________________________________________________________________________________________________

Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com

salut fais ceci:

http://www.bibou0007.com/outils-specifiques-f78/tutorial-genproc-t967.htm

(désactives antivir pendant la procédure et fais seulement l'option1!)

et

http://www.bibou0007.com/outils-specifiques-f78/tutorial-sdfix-t1294.htm

postes les rapports stp

http://www.bullteam.net/pastebin/?450

Voilà les rapport SmitFrauFix et SDFix

salut relances smitfraudfix et fais l'option 2 en mode sans échec recommandé!

et mets le rapport

Salut, voilà le rapport.



SmitFraudFix v2.391


Rapport fait à 14:54:04,75, 22/01/2009
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

Problème suppression C:\autorun.inf

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9E284D08-30B2-40CD-86C0-7616F55C6B83}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{AEC9AC29-64C5-4A27-9482-BF8E86A88097}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9E284D08-30B2-40CD-86C0-7616F55C6B83}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AEC9AC29-64C5-4A27-9482-BF8E86A88097}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{9E284D08-30B2-40CD-86C0-7616F55C6B83}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{AEC9AC29-64C5-4A27-9482-BF8E86A88097}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin




Voili voilou

coucou

essaye de lancé combofix maintenant!!
a+

Salut, voilà pour le combofix: http://www.bullteam.net/pastebin/?463

Je te conseille de désinstaller et de supprimer tous tes logiciels de p2p : 50% de ce que tu télécharges via p2p est piégé. Le p2p est le premier vecteur d'infection de nos jours.
Plus d'informations disponibles en cliquant sur le lien suivant : Cracks / P2P http://www.infos-du-net.com/forum/273143-7-cracks-risques

Désactive toutes tes protection résidentes !!!
Copie le texte se situant dans le cadre ci-dessous :

Citation :

FileLook::
C:\Windows\nidojzq.ini
C:\Windows\lydnofz.ini
c:\windows\system32\lame_enc.dll

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
S'il n'y a pas de rédémarrage, poste quand même les rapports.

ComboFix 09-01-21.04 - utilisateur 2009-01-24 12:41:53.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2046.1662 [GMT 1:00]
Lancé depuis: c:\documents and settings\utilisateur\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\utilisateur\Bureau\CFscript.txt
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Tasks\urzrcwie.job

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-24 au 2009-01-24 ))))))))))))))))))))))))))))))))))))
.

2009-01-21 23:47 . 2009-01-22 00:25 d-------- C:\SDFix
2009-01-21 23:44 . 2009-01-22 15:09 d-------- C:\SmitfraudFix
2009-01-21 23:44 . 2009-01-21 23:44 1,661,225 --a------ C:\SmitfraudFix.exe
2009-01-21 23:21 . 2009-01-21 23:24 d-------- c:\program files\StartClock
2009-01-21 22:29 . 2009-01-21 22:33 d-------- c:\program files\NAPALM
2009-01-21 12:44 . 2009-01-21 12:47 d-------- c:\program files\BHODemon 2
2009-01-19 22:17 . 2009-01-19 22:17 d-------- c:\program files\Microsoft Silverlight
2009-01-19 20:54 . 2009-01-19 21:45 d-------- c:\windows\BDOSCAN8
2009-01-19 19:40 . 2008-10-16 21:18 6,066,176 -----c--- c:\windows\system32\dllcache\ieframe.dll
2009-01-19 19:40 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
2009-01-19 19:40 . 2007-03-08 06:10 1,048,576 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
2009-01-19 19:40 . 2008-10-16 21:18 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
2009-01-19 19:40 . 2008-10-16 21:18 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
2009-01-19 19:40 . 2008-10-16 21:18 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
2009-01-19 19:40 . 2008-10-16 21:18 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2009-01-19 19:40 . 2008-10-16 21:18 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
2009-01-19 19:40 . 2008-10-16 14:11 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
2009-01-18 23:24 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-18 23:24 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-18 23:23 . 2009-01-18 23:24 d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-17 11:45 . 2003-09-16 18:41 152,576 -ra------ c:\windows\system32\drivers\LV532AV.SYS
2009-01-15 18:41 . 2009-01-15 18:41 268 --ah----- C:\sqmdata01.sqm
2009-01-15 18:41 . 2009-01-15 18:41 244 --ah----- C:\sqmnoopt01.sqm
2009-01-15 18:41 . 2009-01-15 18:41 208 --ah----- C:\sqmdata02.sqm
2009-01-15 18:41 . 2009-01-15 18:41 172 --ah----- C:\sqmnoopt02.sqm
2009-01-10 14:43 . 2009-01-12 18:42 d-------- c:\program files\Eidos
2009-01-10 14:43 . 1998-10-07 12:08 327,168 --a------ c:\windows\IsUn040c.exe
2009-01-01 19:55 . 2009-01-24 12:31 d-------- c:\documents and settings\All Users\Application Data\_comodo_
2008-12-29 14:18 . 2009-01-24 12:36 d-------- c:\program files\COMODO
2008-12-29 13:32 . 2009-01-01 19:55 d-------- c:\program files\Spybot - Search & Destroy
2008-12-29 13:32 . 2009-01-24 12:12 d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-12-29 13:21 . 2008-12-29 13:21 d-------- c:\program files\Avira
2008-12-29 13:21 . 2008-12-29 13:21 d-------- c:\documents and settings\All Users\Application Data\Avira
2008-12-24 17:01 . 2009-01-02 16:24 114 --a------ c:\windows\nidojzq.ini
2008-12-24 17:01 . 2009-01-02 16:24 18 --a------ c:\windows\lydnofz.ini
2008-12-24 16:46 . 2008-12-24 16:46 d-------- c:\program files\CDRIPMP3
2008-12-24 16:46 . 2002-11-22 21:46 430,080 --a------ c:\windows\system32\lame_enc.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-24 11:31 --------- d-----w c:\documents and settings\utilisateur\Application Data\uTorrent
2009-01-24 10:51 --------- d-----w c:\program files\eMule
2009-01-21 17:16 --------- d-----w c:\program files\Java
2009-01-12 22:10 --------- d-----w c:\program files\trend micro
2009-01-08 21:39 --------- d-----w c:\documents and settings\utilisateur\Application Data\dvdcss
2009-01-07 18:47 --------- d-----w c:\documents and settings\utilisateur\Application Data\OpenOffice.org2
2009-01-06 18:52 --------- d-----w c:\program files\Dl_cats
2008-12-29 11:29 --------- d-----w c:\program files\Avast4
2008-12-11 19:01 74,752 ----a-w c:\windows\ST6UNST.EXE
2008-12-11 19:01 290,816 ------w c:\windows\Setup1.exe
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-10 21:49 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-12-10 21:46 --------- d-----w c:\program files\Fichiers communs\Control Panels
2008-12-10 21:43 --------- d-----w c:\documents and settings\All Users\Application Data\ALM
2008-12-10 21:09 --------- d-----w c:\program files\Fichiers communs\Macrovision Shared
2008-12-02 17:27 --------- d-----w c:\program files\FontLab
2008-12-02 17:27 --------- d-----w c:\program files\Fichiers communs\FontLab
2008-11-10 04:43 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-09-02 19:14 278,528 ----a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\lydnofz.ini -- Not a PE file.
MD5: 839df77cf44c36ddf24607fa7978a968

c:\windows\nidojzq.ini -- Not a PE file.
MD5: dccbc0330c85ef84246522ec9fec9b63

c:\windows\system32\lame_enc.dll -- Unable to find Resource table header.
MD5: 86927a8b62ed507a3d5c8f3b3a880d45


((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2008-11-26 1406192]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"DLCCCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll" [2005-06-07 69632]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\utilisateur\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
StartClock.lnk - c:\program files\StartClock\StartClock.exe [2009-01-21 96256]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
TabUserW.exe.lnk - c:\windows\system32\Wtablet\TabUserW.exe [2003-12-04 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AOL 9.0 Icône AOL.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\AOL 9.0 Icône AOL.lnk
backup=c:\windows\pss\AOL 9.0 Icône AOL.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Acrobat.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Acrobat.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Acrobat.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^utilisateur^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]
path=c:\documents and settings\utilisateur\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^utilisateur^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.4.lnk]
path=c:\documents and settings\utilisateur\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.4.lnk
backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-07-24 16:02 490952 c:\program files\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 14:09 413696 c:\program files\QuickTime\QTTask.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe"=
"c:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLacsd.exe"=
"c:\\Program Files\\AOL 9.0\\waol.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=

S3 PID_0920;Logitech QuickCam Express(PID_0920);c:\windows\system32\drivers\LV532AV.SYS [2009-01-17 152576]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e017cba-de5f-11dd-872b-00038a000015}]
\Shell\AutoRun\command - f:\wd_windows_tools\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a8f99642-c2b5-11dd-86f6-00038a000015}]
\Shell\AutoRun\command - F:\EmDesk.exe
\Shell\EmDesk\command - F:\EmDesk.exe
.
Contenu du dossier 'Tâches planifiées'

2009-01-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{3B5F65CB-78F4-44AF-87F4-1AF667F0406E} - (no file)
BHO-{43556c3e-44a4-4079-a848-8b9d0781d0bd} - (no file)
BHO-{43B68B69-E529-4867-B54D-195E08E30FC9} - (no file)
BHO-{6EE8DF2C-DC2E-4E8D-8823-3B58A51F1149} - (no file)
BHO-{77e03421-ed93-4e99-913b-174f181b1a1a} - (no file)
BHO-{7FC793E3-2599-4E31-9806-1E7BFF68F894} - (no file)
BHO-{82AC8230-0F15-4F15-8250-14483CACDCC4} - (no file)
BHO-{8B90E74E-4A9E-4901-8D11-7240BA73BE15} - (no file)
BHO-{96FA11A1-815A-4DBD-9DF2-261A0560C2E9} - (no file)
BHO-{A0AA0BB0-DD39-4C24-95B6-27A97BE0F71B} - (no file)
BHO-{B08F12E1-C53C-4BAD-85B6-AD937B0029BC} - (no file)
BHO-{BAD7D97C-B50B-4AC0-AD0D-760BDC5B0F7B} - (no file)
BHO-{E8071BD3-2E9A-42CC-BC5B-861778435E34} - (no file)
Notify-rqRIywtT - (no file)


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar\toolbar.dll/SEARCH.HTML
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\5xn0e2vd.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.fr/
FF - component: c:\documents and settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\5xn0e2vd.default\extensions\{1392b8d2-5c05-419f-a8f6-b9f15a596612}\components\FFAlert.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-24 12:46:12
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
DLCCCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2009-01-24 12:51:04
ComboFix-quarantined-files.txt 2009-01-24 11:51:02

Avant-CF: 26,014,265,344 octets libres
Après-CF: 26,000,822,272 octets libres

190 --- E O F --- 2009-01-22 17:47:19

Désactive toutes tes protection résidentes !!!
Copie le texte se situant dans le cadre ci-dessous :

Citation :

File::
C:\Windows\nidojzq.ini
C:\Windows\lydnofz.ini

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
S'il n'y a pas de rédémarrage, poste quand même les rapports.

http://www.bullteam.net/pastebin/?466


Le seul soucis que j'ai, c'est que pour la deuxième fois, j'ai pas l'occasion de taper 1! combofix se lance et commence le scan aussitot...Comme dans le tuto il est deconseillé de cliquer sur la fenêtre...Je ne sais pas bien quoi faire.

les outils change plus vite et sans forcement nous prévenir on as pas tj le temps de mettre nos tuto a jour!

il me manque un hijackthis comment va le pc?

Le PC...lenteur au démarage puis longueur inhabituelle à l'extinction.

Voici le rapport Hi jack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:58:02, on 26/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\Program Files\StartClock\StartClock.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\trend micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {3B5F65CB-78F4-44AF-87F4-1AF667F0406E} - (no file)
O2 - BHO: (no name) - {43556c3e-44a4-4079-a848-8b9d0781d0bd} - (no file)
O2 - BHO: (no name) - {43B68B69-E529-4867-B54D-195E08E30FC9} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6EE8DF2C-DC2E-4E8D-8823-3B58A51F1149} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {77AB5974-55A3-4737-9FD5-B93C64307F78} - (no file)
O2 - BHO: (no name) - {77e03421-ed93-4e99-913b-174f181b1a1a} - (no file)
O2 - BHO: (no name) - {7FC793E3-2599-4E31-9806-1E7BFF68F894} - (no file)
O2 - BHO: (no name) - {82AC8230-0F15-4F15-8250-14483CACDCC4} - (no file)
O2 - BHO: (no name) - {8B90E74E-4A9E-4901-8D11-7240BA73BE15} - (no file)
O2 - BHO: (no name) - {96FA11A1-815A-4DBD-9DF2-261A0560C2E9} - (no file)
O2 - BHO: (no name) - {A0AA0BB0-DD39-4C24-95B6-27A97BE0F71B} - (no file)
O2 - BHO: (no name) - {B08F12E1-C53C-4BAD-85B6-AD937B0029BC} - (no file)
O2 - BHO: (no name) - {BAD7D97C-B50B-4AC0-AD0D-760BDC5B0F7B} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: (no name) - {E8071BD3-2E9A-42CC-BC5B-861778435E34} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DLCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: StartClock.lnk = C:\Program Files\StartClock\StartClock.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O20 - Winlogon Notify: rqRIywtT - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: dlcc_device - Unknown owner - C:\WINDOWS\system32\dlcccoms.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 8549 bytes

Bonjour,


Note: Cette procédure a été créée spécifiquement pour cet utilisateur ! Si vous n'êtes pas cet utilisateur en question, ne suivez pas ces instructions au risque d'endommager votre PC !!!

tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux

[*]Lance HijackThis
[*]Clic sur "Do a system scan only"
[*]Tu coches les lignes suivantes :


O2 - BHO: (no name) - {3B5F65CB-78F4-44AF-87F4-1AF667F0406E} - (no file)
O2 - BHO: (no name) - {43556c3e-44a4-4079-a848-8b9d0781d0bd} - (no file)
O2 - BHO: (no name) - {43B68B69-E529-4867-B54D-195E08E30FC9} - (no file)

O2 - BHO: (no name) - {6EE8DF2C-DC2E-4E8D-8823-3B58A51F1149} - (no file)

O2 - BHO: (no name) - {77AB5974-55A3-4737-9FD5-B93C64307F78} - (no file)
O2 - BHO: (no name) - {77e03421-ed93-4e99-913b-174f181b1a1a} - (no file)
O2 - BHO: (no name) - {7FC793E3-2599-4E31-9806-1E7BFF68F894} - (no file)
O2 - BHO: (no name) - {82AC8230-0F15-4F15-8250-14483CACDCC4} - (no file)
O2 - BHO: (no name) - {8B90E74E-4A9E-4901-8D11-7240BA73BE15} - (no file)
O2 - BHO: (no name) - {96FA11A1-815A-4DBD-9DF2-261A0560C2E9} - (no file)
O2 - BHO: (no name) - {A0AA0BB0-DD39-4C24-95B6-27A97BE0F71B} - (no file)
O2 - BHO: (no name) - {B08F12E1-C53C-4BAD-85B6-AD937B0029BC} - (no file)
O2 - BHO: (no name) - {BAD7D97C-B50B-4AC0-AD0D-760BDC5B0F7B} - (no file)
O2 - BHO: (no name) - {E8071BD3-2E9A-42CC-BC5B-861778435E34} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
20 - Winlogon Notify: rqRIywtT - C:\WINDOWS\



Fix checked

et fait un scan

Scan en ligne avec Kaspersky :[list]
[*]Ouvre internet explorer [*]Outils   [*]Options internet   [*]onglet "sécurité"  [*]Valide "niveau par défaut".
 [*]Toujours sur Internet explorer   [*]Outils  [*]Options internet   [*]onglet "avancé"   [*]valide "Paramètres par défaut".

Pour effectuer les scans, ferme toute les pages internet sauf celle du scan, désactive ton antivirus, logiciels de protections et logiciels pouvant bloquer les popups (barres Google, barres Yahoo etc..).


[*]Fais un Scan en ligne sur Kaspersky en utilisant Internet Explorer et pas firefox, ça ne marchera pas!.pour le scan Clique sur en bas à droite de la page.
[*]Si tu es perdu, tu peux suivre cette aide pour les scans en ligne
[*] Scan le poste de travail
[*]Copie/colle le rapport du scan ici

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, January 27, 2009 9:33:52 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 27/01/2009
Enregistrements dans la base antivirus Kaspersky : 1537482
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
C:\
D:\
E:\

Statistiques de l'analyse:
Total d'objets analysés: 136586
Nombre de virus trouvés: 0
Nombre d'objets infectés: 0 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 02:32:59

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\eHome\logs\ehRecvr.log L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\utilisateur\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\utilisateur\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\utilisateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\utilisateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\utilisateur\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\utilisateur\Local Settings\Historique\History.IE5\MSHist012009012720090128\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\utilisateur\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\utilisateur\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{04A242EB-57F4-497A-A402-041CB967E592}\RP205\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\ModemLog_Conexant HDA D110 MDC V.92 Modem.txt L'objet est verrouillé ignoré
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{10534204-3B14-4434-86A4-D129F6E6E54D}.crmlog L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Media Ce.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\temp\Perflib_Perfdata_258.dat L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.

salut a vous deux ton souci a l'air d'etre résolu ! a voir avec le chef pour moi c'est ok!

pour moi ca a l'air clean aussi dit moi ce qu il en ai chacal pour toi

Et bien ça m'a l'air tout clean aussi...L'ordi s'étend bien ttout ça
j'ai l'impression que tout fonctionne correctement.
Merci à vous pour la patience et la gentillesse pour l'aide!

avec plaisir!!

bon surf