Se connecter / S'enregistrer
Votre question

[résolu] Infection spyguader

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
11 Juin 2008 18:04:30

Bonjour,
j'ai un problème avec le PC d'un ami, il était infesté de virus et autres spyware
après avoir installé antivir et spybot et fait le ménage il me reste un spyware/virus que
je n'arrive pas à virer spyguarder
(j'avoue que la protection antivirus c'est pas mon truc moi c'est plus la programmation ^^)
je m'en remet donc à vous les PRO si quelqu'un pouvait analyser mon rapport hijackThis et me
dire comment le nettoyer ça serai sympa.

D'avance merci pour votre aide.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:07: VIRUS ALERT!, on 11/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\mHotkey.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\documents and settings\jhhj\local settings\application data\eoyqyqawm.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {4A3F62A9-AFEB-4543-AE4D-DC2442444E64} - C:\WINDOWS\system32\urqQiIaW.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: 818646 helper - {54192079-8E8A-43D8-BCBC-3874916159AF} - C:\WINDOWS\system32\818646\818646.dll (file missing)
O2 - BHO: (no name) - {709A1BFF-1B71-4CC2-9A24-0CCF70BCFB8A} - C:\WINDOWS\system32\jkkKayVO.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {9807584B-124F-484A-87C3-10A2EED3AAB2} - C:\WINDOWS\system32\opnolKdD.dll (file missing)
O2 - BHO: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - iSecurity.cpl (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: (no name) - {F3642B57-3EA8-4EEA-A643-9DE138381A57} - C:\Documents and Settings\jhhj\redir.dll
O2 - BHO: QXK Olive - {FCE2B5F9-602F-4637-939D-004B97512F9E} - C:\WINDOWS\boqnrwdmtwm.dll (file missing)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: atfxqogp - {42F72442-2DD5-4B32-8A09-D2276C4EB3B9} - C:\WINDOWS\atfxqogp.dll (file missing)
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O5 "LPT1:" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P41 "EPSON Stylus Photo RX420 Series (Copie 1)" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [9c29c498] rundll32.exe "C:\WINDOWS\system32\pysthmiq.dll",b
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iSecurity applet] rundll32.exe iSecurity.cpl,SecurityMonitor
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [sqrgltoi] C:\WINDOWS\system32\gnknohgd.exe
O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\nsinet.exe /res
O4 - HKCU\..\Run: [SpyGuarder] C:\Documents and Settings\jhhj\spyguarder.exe
O4 - HKCU\..\Run: [antivirus-2008pro.exe] C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [WinSpywareProtect (ver. 5.1)] "C:\Documents and Settings\All Users\Application Data\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe" /autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Wireless Configuration Utility HW.14.lnk = C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?10b537c6aad24a56a1d5d9256365548c
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?10b537c6aad24a56a1d5d9256365548c
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont...
O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_10...
O20 - AppInit_DLLs: iSecurity.cpl
O20 - Winlogon Notify: urqQiIaW - C:\WINDOWS\SYSTEM32\urqQiIaW.dll
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O21 - SSODL: vregfwlx - {62442930-8CE6-454A-AE75-9EB67BC95011} - C:\WINDOWS\vregfwlx.dll (file missing)
O21 - SSODL: vltdfabw - {05C87028-84C3-4A13-924D-0283C7987C59} - C:\WINDOWS\vltdfabw.dll (file missing)
O21 - SSODL: DrvRam - {4b4c3907-1212-408e-a0b5-ab54b4e0191f} - C:\WINDOWS\Resources\DrvRam.dll (file missing)
O21 - SSODL: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - iSecurity.cpl (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 14084 bytes

Autres pages sur : resolu infection spyguader

11 Juin 2008 18:20:00

:hello:  Bonjour,

1) Téléchargez ATF Cleaner sur votre Bureau.

  • Faites un double clic sur ATF-Cleaner.exe pour lancer le programme.
  • Cliquez sur Select All situé en bas de la liste.
  • Cliquez sur le bouton Empty Selected.

    Si vous utilisez le navigateur Firefox, faites aussi ceci :
  • Cliquez sur Firefox en haut et choisissez Select All dans la liste.
  • Cliquez sur le bouton Empty Selected.
  • NOTE : Si vous désirez conserver vos mots de passe enregistrés, cliquez sur No dans le message d'avertissement.

    Si vous utilisez le navigateur Opera, faites aussi ceci :
  • Cliquez sur Opera en haut et choisissez Select All dans la liste.
  • Fermez TOUS les navigateurs Internet (très important).
  • Cliquez sur le bouton Empty Selected.
  • NOTE : Si vous désirez conserver vos mots de passe enregistrés, cliquez sur No dans le message d'avertissement.
    Cliquez sur Exit dans le menu principal pour fermer le programme.

    2) Ensuite, téléchargez OTScanIt.exe sur votre Bureau, et faites un double clic dessus pour extraire les fichiers. Ceci va créer un dossier nommé OTScanIt sur votre Bureau.

    N.B : Si pendant le téléchargement et/ou l’installation tu reçois une alerte de ton antivirus, ignore-là. Certains composants de OTscanIT peuvent être détectés comme un virus par certains antivirus. Pense aussi à désactiver tes protections résidentes durant la procédure.

    Note : Vous devez avoir ouvert une session avec un compte ayant les droits Administrateur pour exécuter ce programme.

  • Fermez TOUS LES AUTRES PROGRAMMES.
  • Ouvrez le dossier OTScanIt et faites un double clic sur OTScanIt.exe pour lancer le programme (si vous êtes sous Windows Vista, faites un clic droit sur le programme et choisissez Exécuter en tant qu'Administrateur).
  • Dans la section Drivers cliquez sur Non-Microsoft.
  • Sous Additional Scans cochez la case située devant les éléments suivants afin de les sélectionner :

    Reg - BotCheck
    File - Additional Folder Scans


  • Ne modifiez aucun autre paramètre.
  • Ensuite, cliquez sur le bouton Run Scan dans la barre d'outils.
  • Laissez le programme tourner sans intervenir.
  • Lorsque l'analyse est terminée le Bloc-notes va s'ouvrir pour afficher le fichier rapport.
  • Cliquez sur le menu Format et vérifiez que Retour automatique à la ligne n'est pas coché. S'il l'est, cliquez dessus afin de le décocher.
    Utilisez le bouton Répondre et faites un copier/coller de ces informations ici. Je les examinerai dès leur arrivée. Vérifiez que la première ligne est code entouré de crochets [] et que la dernière ligne est /code entouré de crochets [].

    Si, après avoir envoyé votre message, la dernière ligne n'est pas <End of Report> cela signifie que le rapport est trop long pour tenir dans un seul message, et vous devez dans ce cas le découper en plusieurs messages, ou le mettre sur Mediafire : http://www.mediafire.com

    ;) 
    Contenus similaires
    11 Juin 2008 18:33:30

    édité
    11 Juin 2008 19:01:09

    Re,

    Peux-tu éditer tes messages pour y supprimer le rapport et me le poster sur mediafire comme préconisé dans mon précédent message ?

    Ce sera plus simple et ça prendra moins de place sur le forum.

    Merci !
    11 Juin 2008 22:26:43

    C'est fait, merci de ton aide.
    11 Juin 2008 23:24:52

    Re,

    Étape #1

    Téléchargez The Avenger par Swandog46 sur votre Bureau.

  • Cliquez sur Avenger.zip pour ouvrir le fichier
  • Lancez l'extraction de avenger.exe sur votre Bureau

    Copiez la totalité du texte de la zone Code ci-dessous dans le Presse-papiers en le sélectionnant puis en appuyant simultanément sur les touches (Ctrl+C) :

    Drivers to delete:
    joR71
    Jor82
    Mrw61
    Vae71
    Files to delete:
    %systemdrive%\345543.bat
    %systemdrive%\42123.bat
    %systemdrive%\818646.bat
    %systemdrive%\8934gr.bat
    %systemroot%\cookies.ini
    %systemroot%\system32\blackster.scr
    %systemroot%\system32\ddklonpo.ini
    %systemroot%\system32\ddklonpo.ini2
    %systemroot%\system32\drivers\jor71.sys
    %systemroot%\system32\drivers\jor82.sys
    %systemroot%\system32\drivers\mrw61.sys
    %systemroot%\system32\drivers\vae71.sys
    %systemroot%\system32\ebgkhwpy.ini
    %systemroot%\system32\gebuvpoo.dll
    %systemroot%\system32\hgicbnhs.dll
    %systemroot%\system32\huqixwmu.ini
    %systemroot%\system32\isecurity.cpl
    %systemroot%\system32\kqbfntwp.dll
    %systemroot%\system32\maogwbnw.ini
    %systemroot%\system32\nsinet.exe
    %systemroot%\system32\oopvubeg.ini
    %systemroot%\system32\oopvubeg.ini2
    %systemroot%\system32\ovyakkkj.ini
    %systemroot%\system32\ovyakkkj.ini2
    %systemroot%\system32\pwtnfbqk.ini
    %systemroot%\system32\pysthmiq.dll
    %systemroot%\system32\qimhtsyp.ini
    %systemroot%\system32\shnbcigh.ini
    %systemroot%\system32\umwxiquh.dll
    %systemroot%\system32\urqqiiaw.dll
    %systemroot%\system32\wbtixyga.ini
    %systemroot%\system32\winctrl32.dl_
    %systemroot%\system32\winctrl32.dll
    %systemroot%\system32\wlctrl32.dll
    %systemroot%\tmlpwin.exe
    %systemroot%\wininit.ini
    %userprofile%\bureau\privacy protector.url
    %userprofile%\redir.dll
    %userprofile%\spyguarder.exe
    c:\documents and settings\all users\application data\microsoft\network\downloader\qmgr0.dat
    c:\documents and settings\all users\application data\microsoft\network\downloader\qmgr1.dat
    Folders to delete:
    %allusersprofile%\application data\izstwxgb
    %appdata%\axpdefender
    %appdata%\spyguarder
    %programfiles%\antivirus 2008 pro
    %programfiles%\isecurity
    %systemdrive%\dhm99
    %systemdrive%\isecurity
    %systemroot%\system32\818646


    Note : Le code ci-dessus a été créé spécialement pour cet utilisateur. Si vous n'êtes pas cet utilisateur, NE suivez PAS ces instructions car elles pourraient endommager le fonctionnement de votre système.

    Ensuite, lancez le programme The Avenger en cliquant sur son icône sur votre Bureau.

  • Cliquez dans la zone intitulée Input Script Here et collez le texte que vous venez de copier dans le Presse-papiers en appuyant simultanément sur les touches (Ctrl+V).
  • Cliuqez sur le bouton Execute
  • Cliquez sur "Yes" deux fois lorsque demandé.

    The Avenger va faire automatiquement ce qui suit :

  • Il va faire redémarrer votre ordinateur. (Dans le cas où le code à exécuter contient "Drivers to Unload", The Avenger va en réalité faire redémarrer votre système deux fois.)
  • Lors du redémarrage, il va brièvement ouvrir une fenêtre de commande à fond noir sur votre Bureau, c'est normal.
  • Après le redémarrage, il crée un fichier rapport qui devrait s'ouvrir pour afficher les résultats des actions de The Avenger. Ce fichier rapport se trouve ici : C:\avenger.txt
  • The Avenger aura aussi sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura mis en archive zip et aura placé cette archive dans C:\avenger\backup.zip.

    Étape #2


    Ouvrez le dossier OTScanIt et faites un double clic sur OTScanIt.exe pour lancer le programme (si vous êtes sous Windows Vista, faites un clic droit sur le programme et choisissez Exécuter en tant qu'Administrateur).

    Faites un copier/coller des informations de la zone Code ci-dessous dans la zone de saisie intitulée "Paste fix here" puis cliquez sur le bouton Run Fix.

    [Kill Explorer]
    [Unregister Dlls]
    [Processes - Non-Microsoft Only]
    YN -> eoyqyqawm.exe -> %UserProfile%\local settings\application data\eoyqyqawm.exe
    [Driver Services - Non-Microsoft Only]
    YY -> (joR71) joR71 [Kernel | Boot | Running] -> %SystemRoot%\system32\drivers\joR71.sys
    YY -> (Jor82) Jor82 [Kernel | Boot | Stopped] -> %SystemRoot%\System32\Drivers\Jor82.sys
    YY -> (Mrw61) Mrw61 [Kernel | Boot | Stopped] -> %SystemRoot%\System32\Drivers\Mrw61.sys
    YY -> (Vae71) Vae71 [Kernel | Boot | Stopped] -> %SystemRoot%\System32\Drivers\Vae71.sys
    [Registry - Non-Microsoft Only]
    < Run [HKEY_LOCAL_MACHINE\] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    YY -> 9c29c498 -> %SystemRoot%\system32\hgicbnhs.dll [rundll32.exe "C:\WINDOWS\system32\hgicbnhs.dll",b]
    < Run [HKEY_CURRENT_USER\] > -> HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    YN -> antivirus-2008pro.exe -> %ProgramFiles%\Antivirus 2008 PRO\antivirus-2008pro.exe [C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe]
    YY -> Instant Access -> %SystemRoot%\system32\nsinet.exe [C:\WINDOWS\system32\nsinet.exe /res]
    YY -> SpyGuarder -> %UserProfile%\spyguarder.exe [C:\Documents and Settings\jhhj\spyguarder.exe]
    YN -> sqrgltoi -> %SystemRoot%\system32\gnknohgd.exe [C:\WINDOWS\system32\gnknohgd.exe]
    YN -> WinSpywareProtect (ver. 5.1) -> %AllUsersProfile%\Application Data\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe ["C:\Documents and Settings\All Users\Application Data\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe" /autorun]
    < AppInit_DLLs [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
    *AppInit_DLLs* -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls
    YY -> iSecurity.cpl -> %SystemRoot%\system32\iSecurity.cpl
    < AppInit_DLLs [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
    < SSODL [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    YN -> {4b4c3907-1212-408e-a0b5-ab54b4e0191f} [HKEY_LOCAL_MACHINE] -> %SystemRoot%\Resources\DrvRam.dll [DrvRam]
    YY -> {A8311E8F-E459-4D22-89B4-CB9DCF10A425} [HKEY_LOCAL_MACHINE] -> %SystemRoot%\system32\iSecurity.cpl [iSecurity]
    YN -> {05C87028-84C3-4A13-924D-0283C7987C59} [HKEY_LOCAL_MACHINE] -> %SystemRoot%\vltdfabw.dll [vltdfabw]
    YN -> {62442930-8CE6-454A-AE75-9EB67BC95011} [HKEY_LOCAL_MACHINE] -> %SystemRoot%\vregfwlx.dll [vregfwlx]
    < ShellExecuteHooks [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    YY -> {4A3F62A9-AFEB-4543-AE4D-DC2442444E64} [HKEY_LOCAL_MACHINE] -> %SystemRoot%\system32\urqQiIaW.dll []
    < Winlogon\Notify settings [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
    YY -> urqQiIaW -> %SystemRoot%\system32\urqQiIaW.dll
    YY -> WinCtrl32 -> %SystemRoot%\system32\WinCtrl32.dll
    YY -> WLCtrl32 -> %SystemRoot%\system32\WLCtrl32.dll
    < BHO's [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
    YY -> {4A3F62A9-AFEB-4543-AE4D-DC2442444E64} [HKEY_LOCAL_MACHINE] -> %SystemRoot%\system32\urqQiIaW.dll [Reg Error: Value does not exist or could not be read.]
    YN -> {54192079-8E8A-43D8-BCBC-3874916159AF} [HKEY_LOCAL_MACHINE] -> %SystemRoot%\system32\818646\818646.dll [818646 Class]
    YY -> {57B69681-5D9F-477A-9F57-C6A22A22F29C} [HKEY_LOCAL_MACHINE] -> %SystemRoot%\system32\geBuVpoO.dll [Reg Error: Value does not exist or could not be read.]
    YN -> {709A1BFF-1B71-4CC2-9A24-0CCF70BCFB8A} [HKEY_LOCAL_MACHINE] -> %SystemRoot%\system32\jkkKayVO.dll [Reg Error: Value does not exist or could not be read.]
    YN -> {7E853D72-626A-48EC-A868-BA8D5E23E045} [HKEY_LOCAL_MACHINE] -> Reg Error: Key does not exist or could not be opened. [Reg Error: Key does not exist or could not be opened.]
    YN -> {9807584B-124F-484A-87C3-10A2EED3AAB2} [HKEY_LOCAL_MACHINE] -> %SystemRoot%\system32\opnolKdD.dll [Reg Error: Value does not exist or could not be read.]
    YY -> {A8311E8F-E459-4D22-89B4-CB9DCF10A425} [HKEY_LOCAL_MACHINE] -> %SystemRoot%\system32\iSecurity.cpl [iSecurity]
    YY -> {F3642B57-3EA8-4EEA-A643-9DE138381A57} [HKEY_LOCAL_MACHINE] -> %UserProfile%\redir.dll [Reg Error: Value does not exist or could not be read.]
    YN -> {FCE2B5F9-602F-4637-939D-004B97512F9E} [HKEY_LOCAL_MACHINE] -> %SystemRoot%\boqnrwdmtwm.dll [QXK Olive]
    < Internet Explorer Bars [HKEY_CURRENT_USER\] > -> HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
    YN -> {32683183-48a0-441b-a342-7c2a440a9478} [HKEY_LOCAL_MACHINE] -> Reg Error: Key does not exist or could not be opened. [Reg Error: Key does not exist or could not be opened.]
    < Internet Explorer ToolBars [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar
    YN -> {42F72442-2DD5-4B32-8A09-D2276C4EB3B9} [HKEY_LOCAL_MACHINE] -> %SystemRoot%\atfxqogp.dll [atfxqogp]
    < Internet Explorer ToolBars [HKEY_CURRENT_USER\] > -> HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\
    NY -> ShellBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} [HKEY_LOCAL_MACHINE] -> %ProgramFiles%\Google\GoogleToolbar1.dll [&Google]
    NY -> ShellBrowser\\{EE5D279F-081B-4404-994D-C6B60AAEBA6D} [HKEY_LOCAL_MACHINE] -> %ProgramFiles%\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll [EPSON Web-To-Page]
    NY -> WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} [HKEY_LOCAL_MACHINE] -> %ProgramFiles%\Google\GoogleToolbar1.dll [&Google]
    YN -> WebBrowser\\{4982D40A-C53B-4615-B15B-B5B5E98D167C} [HKEY_LOCAL_MACHINE] -> Reg Error: Key does not exist or could not be opened. [Reg Error: Key does not exist or could not be opened.]
    < Internet Explorer Extensions [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\
    YN -> {CD67F990-D8E9-11d2-98FE-00C0F0318AFE}: [HKEY_LOCAL_MACHINE] -> Reg Error: Key does not exist or could not be opened. []
    YN -> CmdMapping: [HKEY_LOCAL_MACHINE] -> Reg Error: Key does not exist or could not be opened. []
    < Internet Explorer Extensions [HKEY_CURRENT_USER\] > -> HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\
    YN -> {1462651F-F4BA-4C76-A001-C4284D0FE16E}\\ButtonText [HKEY_LOCAL_MACHINE] -> [Reg Error: Key does not exist or could not be opened.]
    YN -> {1462651F-F4BA-4C76-A001-C4284D0FE16E}\\Default Visible [HKEY_LOCAL_MACHINE] -> [Reg Error: Key does not exist or could not be opened.]
    YN -> {1462651F-F4BA-4C76-A001-C4284D0FE16E}\\Exec [HKEY_LOCAL_MACHINE] -> [Reg Error: Key does not exist or could not be opened.]
    YN -> {1462651F-F4BA-4C76-A001-C4284D0FE16E}\\HotIcon [HKEY_LOCAL_MACHINE] -> [Reg Error: Key does not exist or could not be opened.]
    YN -> {1462651F-F4BA-4C76-A001-C4284D0FE16E}\\Icon [HKEY_LOCAL_MACHINE] -> [Reg Error: Key does not exist or could not be opened.]
    YN -> CmdMapping\\{1462651F-F4BA-4C76-A001-C4284D0FE16E} [HKEY_LOCAL_MACHINE] -> [Reg Error: Key does not exist or could not be opened.]
    YN -> CmdMapping\\{4982D40A-C53B-4615-B15B-B5B5E98D167C} [HKEY_LOCAL_MACHINE] -> [Reg Error: Key does not exist or could not be opened.]
    YN -> CmdMapping\\{CD67F990-D8E9-11d2-98FE-00C0F0318AFE} [HKEY_LOCAL_MACHINE] -> [Reg Error: Value MenuText does not exist or could not be read.]
    < Downloaded Program Files > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\
    YN -> {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}[HKEY_LOCAL_MACHINE] -> http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab[Reg Error: Key does not exist or could not be opened.]
    YN -> {9F1C11AA-197B-4942-BA54-47A8489BB47F}[HKEY_LOCAL_MACHINE] -> http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38155.2922222222[Reg Error: Key does not exist or could not be opened.]
    YN -> {DF1C8E21-4045-4D67-B528-335F1A4F0DE9}[HKEY_LOCAL_MACHINE] -> http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1073_em_XP.cab[Reg Error: Value does not exist or could not be read.]
    YN -> DirectAnimation Java Classes[HKEY_LOCAL_MACHINE] -> file://C:\WINDOWS\Java\classes\dajava.cab[Reg Error: Key does not exist or could not be opened.]
    YN -> Microsoft XML Parser for Java[HKEY_LOCAL_MACHINE] -> file://C:\WINDOWS\Java\classes\xmldso.cab[Reg Error: Key does not exist or could not be opened.]
    [Registry - Additional Scans - Non-Microsoft Only]
    < BotCheck > ->
    YN -> Reg Error: Key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ not found. ->
    YN -> Reg Error: Key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\ not found. ->
    *Authentication Packages* -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\Authentication Packages
    YY -> C:\WINDOWS\system32\geBuVpoO -> %SystemRoot%\system32\geBuVpoO.dll
    < BotCheck > ->
    [Files/Folders - Created Within 30 days]
    NY -> 345543.bat -> %SystemDrive%\345543.bat
    NY -> 42123.bat -> %SystemDrive%\42123.bat
    NY -> 818646.bat -> %SystemDrive%\818646.bat
    NY -> 8934gr.bat -> %SystemDrive%\8934gr.bat
    NY -> iSecurity -> %SystemDrive%\iSecurity
    NY -> joR71.sys -> %SystemRoot%\System32\drivers\joR71.sys
    NY -> 818646 -> %SystemRoot%\System32\818646
    NY -> blackster.scr -> %SystemRoot%\System32\blackster.scr
    NY -> DdKlonpo.ini -> %SystemRoot%\System32\DdKlonpo.ini
    NY -> DdKlonpo.ini2 -> %SystemRoot%\System32\DdKlonpo.ini2
    NY -> ebgkhwpy.ini -> %SystemRoot%\System32\ebgkhwpy.ini
    NY -> geBuVpoO.dll -> %SystemRoot%\System32\geBuVpoO.dll
    NY -> hgicbnhs.dll -> %SystemRoot%\System32\hgicbnhs.dll
    NY -> huqixwmu.ini -> %SystemRoot%\System32\huqixwmu.ini
    NY -> iSecurity.cpl -> %SystemRoot%\System32\iSecurity.cpl
    NY -> kqbfntwp.dll -> %SystemRoot%\System32\kqbfntwp.dll
    NY -> maogwbnw.ini -> %SystemRoot%\System32\maogwbnw.ini
    NY -> OopVuBeg.ini -> %SystemRoot%\System32\OopVuBeg.ini
    NY -> OopVuBeg.ini2 -> %SystemRoot%\System32\OopVuBeg.ini2
    NY -> OVyaKkkj.ini -> %SystemRoot%\System32\OVyaKkkj.ini
    NY -> OVyaKkkj.ini2 -> %SystemRoot%\System32\OVyaKkkj.ini2
    NY -> pwtnfbqk.ini -> %SystemRoot%\System32\pwtnfbqk.ini
    NY -> pysthmiq.dll -> %SystemRoot%\System32\pysthmiq.dll
    NY -> qimhtsyp.ini -> %SystemRoot%\System32\qimhtsyp.ini
    NY -> shnbcigh.ini -> %SystemRoot%\System32\shnbcigh.ini
    NY -> umwxiquh.dll -> %SystemRoot%\System32\umwxiquh.dll
    NY -> urqQiIaW.dll -> %SystemRoot%\System32\urqQiIaW.dll
    NY -> wbtixyga.ini -> %SystemRoot%\System32\wbtixyga.ini
    NY -> WinCtrl32.dll -> %SystemRoot%\System32\WinCtrl32.dll
    NY -> WinCtrl32.dl_ -> %SystemRoot%\System32\WinCtrl32.dl_
    NY -> WLCtrl32.dll -> %SystemRoot%\System32\WLCtrl32.dll
    NY -> cookies.ini -> %SystemRoot%\cookies.ini
    NY -> tmlpwin.exe -> %SystemRoot%\tmlpwin.exe
    [Files Created - Additional Folder Scans - Non-Microsoft Only]
    NY -> AXPDefender -> %AppData%\AXPDefender
    NY -> SpyGuarder -> %AppData%\SpyGuarder
    NY -> Privacy Protector.url -> %UserProfile%\Bureau\Privacy Protector.url
    NY -> Antivirus 2008 PRO -> %ProgramFiles%\Antivirus 2008 PRO
    NY -> iSecurity -> %ProgramFiles%\iSecurity
    [Files/Folders - Modified Within 30 days]
    NY -> 345543.bat -> %SystemDrive%\345543.bat
    NY -> 42123.bat -> %SystemDrive%\42123.bat
    NY -> 818646.bat -> %SystemDrive%\818646.bat
    NY -> 8934gr.bat -> %SystemDrive%\8934gr.bat
    NY -> DHM99 -> %SystemDrive%\DHM99
    NY -> iSecurity -> %SystemDrive%\iSecurity
    NY -> joR71.sys -> %SystemRoot%\System32\drivers\joR71.sys
    NY -> blackster.scr -> %SystemRoot%\System32\blackster.scr
    NY -> DdKlonpo.ini -> %SystemRoot%\System32\DdKlonpo.ini
    NY -> DdKlonpo.ini2 -> %SystemRoot%\System32\DdKlonpo.ini2
    NY -> ebgkhwpy.ini -> %SystemRoot%\System32\ebgkhwpy.ini
    NY -> geBuVpoO.dll -> %SystemRoot%\System32\geBuVpoO.dll
    NY -> hgicbnhs.dll -> %SystemRoot%\System32\hgicbnhs.dll
    NY -> huqixwmu.ini -> %SystemRoot%\System32\huqixwmu.ini
    NY -> iSecurity.cpl -> %SystemRoot%\System32\iSecurity.cpl
    NY -> kqbfntwp.dll -> %SystemRoot%\System32\kqbfntwp.dll
    NY -> maogwbnw.ini -> %SystemRoot%\System32\maogwbnw.ini
    NY -> OopVuBeg.ini -> %SystemRoot%\System32\OopVuBeg.ini
    NY -> OopVuBeg.ini2 -> %SystemRoot%\System32\OopVuBeg.ini2
    NY -> OVyaKkkj.ini -> %SystemRoot%\System32\OVyaKkkj.ini
    NY -> OVyaKkkj.ini2 -> %SystemRoot%\System32\OVyaKkkj.ini2
    NY -> pwtnfbqk.ini -> %SystemRoot%\System32\pwtnfbqk.ini
    NY -> pysthmiq.dll -> %SystemRoot%\System32\pysthmiq.dll
    NY -> qimhtsyp.ini -> %SystemRoot%\System32\qimhtsyp.ini
    NY -> shnbcigh.ini -> %SystemRoot%\System32\shnbcigh.ini
    NY -> umwxiquh.dll -> %SystemRoot%\System32\umwxiquh.dll
    NY -> urqQiIaW.dll -> %SystemRoot%\System32\urqQiIaW.dll
    NY -> wbtixyga.ini -> %SystemRoot%\System32\wbtixyga.ini
    NY -> WinCtrl32.dll -> %SystemRoot%\System32\WinCtrl32.dll
    NY -> WinCtrl32.dl_ -> %SystemRoot%\System32\WinCtrl32.dl_
    NY -> WLCtrl32.dll -> %SystemRoot%\System32\WLCtrl32.dll
    NY -> cookies.ini -> %SystemRoot%\cookies.ini
    NY -> tmlpwin.exe -> %SystemRoot%\tmlpwin.exe
    NY -> wininit.ini -> %SystemRoot%\wininit.ini
    NY -> qmgr0.dat -> C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
    NY -> qmgr1.dat -> C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
    [Files Modified - Additional Folder Scans - Non-Microsoft Only]
    NY -> izstwxgb -> %AllUsersProfile%\Application Data\izstwxgb
    NY -> AXPDefender -> %AppData%\AXPDefender
    NY -> SpyGuarder -> %AppData%\SpyGuarder
    NY -> Privacy Protector.url -> %UserProfile%\Bureau\Privacy Protector.url
    [Empty Temp Folders]
    [Start Explorer]


    L'exécution devrait être très rapide. Lorsque la correction est terminée, soit vous verrez un message vous annonçant que c'est fini (finished), soit vous serez invité à faire redémarrer le PC pour terminer l'exécution. Si c'est fini, cliquez sur le bouton Ok et le Bloc-notes va s'ouvrir pour afficher un rapport de toutes les actions réalisées. Envoyez ces informations en réponse.

    Si un redémarrage est nécessaire, cliquez sur le bouton "Yes" pour faire redémarrer la machine. Après ce redémarrage, OTScanIt va finir de déplacer les fichiers qui ne pouvaient pas l'être précédemment, puis le Bloc-notes va s'ouvrir et afficher à ce moment-là les résultats finaux. Envoyez ces informations en réponse.

    J'examinerai ces informations dès leur arrivée.

    N'oubliez pas de me faire part de toute difficulté rencontrée lors de l'exécution des étapes ci-dessus, ainsi que de tous les autres problèmes persistant encore sur l'ordinateur.

    Poste-moi les deux rapports demandés :

  • Le rapport de The Avenger
  • Le rapport du correctif d'OTscanIT.

    Bonne fin de soirée :hello: 
    11 Juin 2008 23:49:18

    L'ordi refuse de démarrer après l'étape un. Il redémarre au niveau de l'écran XP il ne démarre même plus en mode sans échec.
    11 Juin 2008 23:52:38

    Re,

    Hum...

    Tu as ton CD de windows ?

    Avais-tu des données non sauvegardées sur ce PC ?

    ;) 
    11 Juin 2008 23:53:01

    C'est bon c'est reparti, j'ai utilisé l'option dernière bonne configuration de windows. Je fait quoi? car je pense que cette dernière action vient tout juste de remettre tout ce qui a été enlevé non?
    11 Juin 2008 23:56:07

    Re,

    J'aimerais comprendre ce qui a merdé.

    As-tu un rapport de The Avenger ?

    Ici : C:\avenger.txt

    ;) 
    12 Juin 2008 00:00:50

    Le problème c'est qu'à cause de ce virus je n'ai pas accès au disque C

    edit: pb résolu il ne fait que supprimer les raccourci j'ai pu y accéder en exécutant C: ^^ par contre pas de avenger.txt en vu mais j'ai un pjeoxpx.txt
    12 Juin 2008 00:02:07

    Re,

    Avant ma procédure ou suite à l'infection ?
    12 Juin 2008 00:04:53

    Poste le contenu du rapport pjeoxpx.txt et réponds à ma précédente question stp ;) 
    12 Juin 2008 00:05:41

    Suite à l'infection donc avant ta procédure ^^
    j'ai également un backup de la base de registre sous C:
    12 Juin 2008 00:06:30

    Drivers to delete:
    joR71
    Jor82
    Mrw61
    Vae71
    Files to delete:
    C:\345543.bat
    C:\42123.bat
    C:\818646.bat
    C:\8934gr.bat
    C:\WINDOWS\cookies.ini
    C:\WINDOWS\system32\blackster.scr
    C:\WINDOWS\system32\ddklonpo.ini
    C:\WINDOWS\system32\ddklonpo.ini2
    C:\WINDOWS\system32\drivers\jor71.sys
    C:\WINDOWS\system32\drivers\jor82.sys
    C:\WINDOWS\system32\drivers\mrw61.sys
    C:\WINDOWS\system32\drivers\vae71.sys
    C:\WINDOWS\system32\ebgkhwpy.ini
    C:\WINDOWS\system32\gebuvpoo.dll
    C:\WINDOWS\system32\hgicbnhs.dll
    C:\WINDOWS\system32\huqixwmu.ini
    C:\WINDOWS\system32\isecurity.cpl
    C:\WINDOWS\system32\kqbfntwp.dll
    C:\WINDOWS\system32\maogwbnw.ini
    C:\WINDOWS\system32\nsinet.exe
    C:\WINDOWS\system32\oopvubeg.ini
    C:\WINDOWS\system32\oopvubeg.ini2
    C:\WINDOWS\system32\ovyakkkj.ini
    C:\WINDOWS\system32\ovyakkkj.ini2
    C:\WINDOWS\system32\pwtnfbqk.ini
    C:\WINDOWS\system32\pysthmiq.dll
    C:\WINDOWS\system32\qimhtsyp.ini
    C:\WINDOWS\system32\shnbcigh.ini
    C:\WINDOWS\system32\umwxiquh.dll
    C:\WINDOWS\system32\urqqiiaw.dll
    C:\WINDOWS\system32\wbtixyga.ini
    C:\WINDOWS\system32\winctrl32.dl_
    C:\WINDOWS\system32\winctrl32.dll
    C:\WINDOWS\system32\wlctrl32.dll
    C:\WINDOWS\tmlpwin.exe
    C:\WINDOWS\wininit.ini
    C:\Documents and Settings\jhhj\bureau\privacy protector.url
    C:\Documents and Settings\jhhj\redir.dll
    C:\Documents and Settings\jhhj\spyguarder.exe
    c:\documents and settings\all users\application data\microsoft\network\downloader\qmgr0.dat
    c:\documents and settings\all users\application data\microsoft\network\downloader\qmgr1.dat
    Folders to delete:
    C:\Documents and Settings\All Users\application data\izstwxgb
    C:\Documents and Settings\jhhj\Application Data\axpdefender
    C:\Documents and Settings\jhhj\Application Data\spyguarder
    C:\Program Files\antivirus 2008 pro
    C:\Program Files\isecurity
    C:\dhm99
    12 Juin 2008 00:15:34

    Re,

    Il est tard on va arrêter pour ce soir.

    Je vais me renseigner sur ce qui a merdé. Soit tranquille, je connais une autre méthode que je maîtrise très bien, donc il y a d'autres possibilités. Je tiens quand même à te signaler que ton pc est lourdement infecté.

    Donc je me renseigne, et je te tiens au courant. Ne t'inquiète pas, j'ai une autre méthode le cas échéant.

    ;) 
    12 Juin 2008 00:20:13

    Ok, je dois m'absenter demain dans le cadre de mon stage et serai de retour vendredi soir donc tu as le temps pour te renseigner.
    Merci de ton aide et bonne nuit.
    12 Juin 2008 10:53:30

    :hello:  Bonjour,

    Oki à vendredi soir :super:
    12 Juin 2008 10:59:58

    Bonjour,
    d'ici vendredi je pense faire un ghost de la machine, il sera rempli de virus mais en cas de problème au moins je pourrai le remettre et on aura le droit à un autre essai car le fait qu'il ai pas redémarrer hier m'a fait un peu peur. Si ça avait été mon PC je n'aurais pas réfléchit j'aurais formaté et réinstallé mais la c'est le PC d'un ami qui n'a plus ses CD donc si je format il perd la licence...
    12 Juin 2008 11:35:17

    Re,

    Ne t'inquiète pas, il y a toujours moyen de rattraper.

    De plus, si tu as un CD de windows correspond à sa version, tu peux utiliser le tiens pour formater + installer en utilisant sa clé :) 

    Son PC est méchamment infecté, j'insiste là-dessus. Ce genre de désinfection n'est jamais sans risque ^^

    Oui on va réessayer, d'autant plus que je me renseigner actuellement, et dans le pire des cas, on fera autrement, avec une autre méthode, qui marchera très bien.

    Donc pas de souci, je vasis te désinfecter le PC. Mais avant de continuer, j'aimerais comprendre ce qui a merdé... si ça ne te gêne pas bien sûr de patienter :super:

    Ne formate pas ou ne réinstalle pas windows sans mon accord pour le moment. Et je te conseille de ne pas trop toucher au PC, je veux dire n'essaie pas de te dépatouiller tout seul, si bien sûr tu souhaites que je continue à t'aider.

    Bonne journée :hello: 
    12 Juin 2008 11:52:43

    Egwene a dit :
    De plus, si tu as un CD de windows correspond à sa version, tu peux utiliser le tiens pour formater + installer en utilisant sa clé :) 


    Le problème c'est que je tourne sous XP Pro personnellement car j'ai des licences grace à MSDNA donc j'ai pas de CD XP familiale et même si j'en avait je sais que parfois c'est chiant avec les clées OEM. J'ai bien compris qu'il est méchamment infecté c'est pour ça que j'ai fait appel à vous et je sais qu'il ya un risque en désinfectant c'est pour ça que je vais réaliser un ghost de la partition C pour pouvoir revenir en arrière en cas de problèmes.

    Bonne journée à toi aussi.
    12 Juin 2008 12:04:21

    Re,

    Oui c'est une très bonne initiative. :super:

    J'insiste sur le fait que je suis largement en mesure de désinfecter ce PC.

    Donc pas de souci :super:
    13 Juin 2008 21:44:49

    Je suis de retour,
    l'infection empêche de faire un ghost donc on aura pas de deuxième chance :(  As-tu trouvé des infos concernant mon infection ?
    13 Juin 2008 22:41:41

    :hello:  Bonsoir,

    Pas besoin de ghost, on va procéder autrement ;) 

    ***

    ==> Désactive toute protection résidente ( antivirus…) ! Aide ici : http://forum.pcastuces.com/desactiver_les_protections_r...

  • Télécharge Combofix de sUBs
  • Sauvegarde le sur ton bureau et pas ailleurs !
  • Redémarre en mode sans échecs

    Note : /!\ Ne jamais redémarrer en mode sans échec via msconfig ! /!\


  • Déconnecte-toi d’internet, ferme tous les programmes en cours.
  • Double-clic sur combofix.exe ( le .exe peut ne pas apparaître ).
  • Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
  • Laisse combofix travailler : ne fais donc pas autre chose en même temps ! Et surtout ne clique pas sur la fenêtre avec ta souris au risque de planter le PC.
  • Attends que combofix ait terminé, un rapport sera créé. Poste le rapport. Il se trouve ici : C:\Combofix.txt

    Aide :Un guide et un tutoriel sur l'utilisation de ComboFix

    ==> Copie/colle un nouveau rapport HiJackThis avec.

    ;) 
  • [/b]
    13 Juin 2008 22:43:28

    Ok je fait ça tout de suite
    14 Juin 2008 11:31:25

    :hello: 

    Désactive toute protection résidente ( antivirus…) ! <------- Pense-y !

    Si tu as spybot, ouvre Spybot , clique sur l'onglet Mode et choisis Mode Avancé
    Ne tiens pas compte de l'avertissement
    En bas à gauche , clique sur Outils
    Toujours dans la colonne de gauche , clique sur Résident ( pas dans la fenêtre centrale )
    Et décoche l'option Resident "TeaTimer"

    Copie le texte se situant dans le cadre ci-dessous : ( Ctrl + C )

    Citation :
    Driver::
    Jor82
    Mrw61
    Vae71

    File::
    C:\WINDOWS\system32\73715819.dat
    C:\42123.bat
    C:\8934gr.bat
    C:\818646.bat
    C:\345543.bat
    C:\Documents and Settings\jhhj\spyguarder.exe
    C:\Documents and Settings\jhhj\redir.dll
    C:\WINDOWS\system32\blackster.scr
    G:\ClickMe.exe
    C:\WINDOWS\system32\Drivers\Jor82.sys
    C:\WINDOWS\system32\Drivers\Mrw61.sys
    C:\WINDOWS\system32\Drivers\Vae71.sys

    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{54192079-8E8A-43D8-BCBC-3874916159AF}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{709A1BFF-1B71-4CC2-9A24-0CCF70BCFB8A}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9807584B-124F-484A-87C3-10A2EED3AAB2}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{42F72442-2DD5-4B32-8A09-D2276C4EB3B9}"=-
    [-HKEY_CLASSES_ROOT\clsid\{42f72442-2dd5-4b32-8a09-d2276c4eb3b9}]
    [-HKEY_CLASSES_ROOT\atfxqogp.1]
    [-HKEY_CLASSES_ROOT\TypeLib\{34BBA365-0E6F-4A54-B741-09779799BB20}]
    [-HKEY_CLASSES_ROOT\atfxqogp]
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "sqrgltoi"=-
    "antivirus-2008pro.exe"=-
    "WinSpywareProtect (ver. 5.1)"=-
    "eoyqyqawm"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    "DrvRam"=-
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Jor82.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mrw61.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Vae71.sys]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b9fdc7ac-04af-11dd-8639-0014d148e5a8}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eeede80b-da31-11dc-85e3-0018e7137063}]


    => Ouvre le Bloc Notes : Démarrer > Tous les programmes > Accessoires > Bloc notes

    - Colles y le texte (CTRL + V)
    - Enregistre ce fichier dans : Bureau
    - Nom du fichier : CFScript
    - Type du fichier : tous les fichiers !!
    - Clique sur Enregistrer
    - Quitte le Bloc Notes

    Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :



    * Cela va relancer Combofix : au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.
    * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
    * Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher : Copie/Colle son contenue sur le forum.
    Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt
    * Poste un nouveau rapport hijackthis.

    ;) 
    14 Juin 2008 14:57:42

    Re,

    Je pense qu'on a eu la source de l'infection, mais on va vérifier. refais un scan normal en mode sans échec avec combofix et poste-moi le rapport.

    Je t'avais dit qu'il n'y avait pas de souci :super: Mais j'aurais préféré venir à bout de l'infection avec la première méthode, car j'essaie de me familiariser avec ;)  Pour t'expliquer la chose, un bon "helper" doit pouvoir avoir de nombreuses cordes à son arc et ne pas utiliser systématiquement le même outil, la même méthode, car si jamais l'outil venait à disparaît ou si l'on rencontre un problème avec la dite méthode, et bien on se retrouve bien bête et impuissant :D 

    ;) 
    14 Juin 2008 16:01:59

    Re,
    voici le rapport comboFix:
    http://www.mediafire.com/?mkfdz12zmni

    Je viens de relancer spybot et visiblement il veut restaurer le registre a savoir instant acces et autres saloperies ... La je vais ne pas autoriser le changement à tous ou ya un autre moyen ?

    Sinon encore merci pour ton aide et j'ai vu sur d'autre sujets qu'il exister un logiciel pour enlever tout les logiciels utiolisés pour la désinfection peux tu me donner un lien please?
    14 Juin 2008 16:11:15

    Re,

    Nous n'avons pas terminé ;) 

    N'autorise surtout pas spybot a recréer les clés de registre infectées ! Refuse tout !

    Je dois m'absenter, je reviens demain, on finir la désinfection demain ;) 

    Bonne fin de journée, à demain :hello: 
    14 Juin 2008 16:14:17

    C'est ce que j'ai fait j'ai tout refusé ^^ la question était plus si il y avait un moyende dire on à tout direct mais la je l'ai fait à la main.
    D'accord bonne fin de journnée aussi et à demain.
    15 Juin 2008 17:57:42

    Re,

    Télécharge MalwareByte's Anti-Malware sur ton Bureau.
    Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

    Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.
    AIDE : Redémarrer en mode sans échec

  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    -- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    -- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
    [#ff0000]REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

    AIDE : Tuto en images sur MBAM

    Puis poste un nouveau rapport HiJackThis.

    ;) 
    15 Juin 2008 19:22:21

    Re,

    Les rapports courts tu peux les poster sur le forum ;) 

    Merci :jap: 

    (gain de temps pour moi, car si je dois tout télécharger à chaque fois :pt1cable:  )
    15 Juin 2008 19:25:01

    Veux tu que je les remette ou c'est bon ?
    15 Juin 2008 19:31:05

    Je suis chiant je sais :p 

    Je veux bien que tu mettes le HiJacKthis.

    Je re en soirée ;) 
    15 Juin 2008 19:32:39

    Ok pas de problèmes

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:23, on 2008-06-15
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\mHotkey.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    C:\WINDOWS\Logi_MwX.Exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
    C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    C:\Program Files\Windows Media Player\WMPNSCFG.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
    C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe
    C:\Program Files\Microsoft Office\Office\OSA.EXE
    C:\PROGRA~1\Wanadoo\Toaster.exe
    C:\PROGRA~1\Wanadoo\Inactivity.exe
    C:\PROGRA~1\Wanadoo\PollingModule.exe
    C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
    C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
    C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
    O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
    O2 - BHO: (no name) - {4A3F62A9-AFEB-4543-AE4D-DC2442444E64} - (no file)
    O2 - BHO: (no name) - {709A1BFF-1B71-4CC2-9A24-0CCF70BCFB8A} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
    O3 - Toolbar: (no name) - {42F72442-2DD5-4B32-8A09-D2276C4EB3B9} - (no file)
    O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O5 "LPT1:" /M "Stylus Photo RX420"
    O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P41 "EPSON Stylus Photo RX420 Series (Copie 1)" /O6 "USB001" /M "Stylus Photo RX420"
    O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
    O4 - HKLM\..\Run: [YeppStudioAgent] C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
    O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O4 - Global Startup: Wireless Configuration Utility HW.14.lnk = C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe
    O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?10b537c6aad24a56a1d5d9256365548c
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?10b537c6aad24a56a1d5d9256365548c
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
    O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont...
    O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_10...
    O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: Ati HotKey Poller AtiAppMgmt (AtiAppMgmt) - Unknown owner -  .exe (file missing)
    O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
    O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
    O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

    --
    End of file - 11913 bytes
    16 Juin 2008 16:09:43

    Re,
    j'ai fait un ptit scan antivir qui m'a encore trouvé des saloperies,
    je fais quoi maintenant ?
    16 Juin 2008 16:10:56

    :hello:  Bonjour,

    J'allais te répondre :) 

    Poste ton rapport antivir et un nouveau rapport HiJackThis.

    ;) 
    16 Juin 2008 16:15:13

    Re,
    ok je fait ça dès que je rentre la je suis au boulot, j'ai fait mon scan hier soir tard donc j'ai pas eu le temps de le poster. Par contre ya un truc bizarre, quand je veux désinstaller un logiciel par exemple il dit que c'est impossible car il dit que l'ordinateur est en mode sans échec alors que ce n'est pas le cas. As tu déjà vu ce genre de problèmes?
    16 Juin 2008 17:19:22

    Voici le scan antivir d'hier:



    Avira AntiVir Personal
    Report file date: 2008-06-14 16:15

    Scanning for 1331133 virus strains and unwanted programs.

    Licensed to: Avira AntiVir PersonalEdition Classic
    Serial number: 0000149996-ADJIE-0001
    Platform: Windows XP
    Windows version: (Service Pack 2) [5.1.2600]
    Boot mode: Normally booted
    Username: SYSTEM
    Computer name: NOM_ORDINATEUR

    Version information:
    BUILD.DAT : 8.1.0.308 16478 Bytes 2008-05-28 17:03:00
    AVSCAN.EXE : 8.1.2.12 311553 Bytes 2008-03-18 09:02:56
    AVSCAN.DLL : 8.1.1.0 53505 Bytes 2008-02-07 08:43:37
    LUKE.DLL : 8.1.2.9 151809 Bytes 2008-02-28 08:41:23
    LUKERES.DLL : 8.1.2.1 12033 Bytes 2008-02-21 08:28:40
    ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 2007-07-18 10:33:34
    ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 2008-03-07 13:08:58
    ANTIVIR2.VDF : 7.0.4.120 2206720 Bytes 2008-06-01 21:44:25
    ANTIVIR3.VDF : 7.0.4.194 377344 Bytes 2008-06-13 18:18:41
    Engineversion : 8.1.0.55
    AEVDF.DLL : 8.1.0.5 102772 Bytes 2008-02-25 09:58:21
    AESCRIPT.DLL : 8.1.0.40 266618 Bytes 2008-06-10 21:44:34
    AESCN.DLL : 8.1.0.21 119156 Bytes 2008-06-10 21:44:34
    AERDL.DLL : 8.1.0.20 418165 Bytes 2008-06-10 21:44:32
    AEPACK.DLL : 8.1.1.5 364918 Bytes 2008-06-10 21:44:32
    AEOFFICE.DLL : 8.1.0.18 192890 Bytes 2008-06-10 21:44:31
    AEHEUR.DLL : 8.1.0.30 1253750 Bytes 2008-06-10 21:44:30
    AEHELP.DLL : 8.1.0.15 115063 Bytes 2008-06-10 21:44:28
    AEGEN.DLL : 8.1.0.28 307572 Bytes 2008-06-10 21:44:28
    AEEMU.DLL : 8.1.0.6 430451 Bytes 2008-06-10 21:44:27
    AECORE.DLL : 8.1.0.31 168310 Bytes 2008-06-10 21:44:27
    AVWINLL.DLL : 1.0.0.7 14593 Bytes 2008-01-23 17:07:53
    AVPREF.DLL : 8.0.0.1 25857 Bytes 2008-02-18 10:37:50
    AVREP.DLL : 7.0.0.1 155688 Bytes 2007-04-16 13:26:47
    AVREG.DLL : 8.0.0.0 30977 Bytes 2008-01-23 17:07:49
    AVARKT.DLL : 1.0.0.23 307457 Bytes 2008-02-12 08:29:23
    AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 2008-02-28 08:31:31
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 2008-01-22 17:28:02
    SMTPLIB.DLL : 1.2.0.19 28929 Bytes 2008-01-23 17:08:39
    NETNT.DLL : 8.0.0.1 7937 Bytes 2008-01-25 12:05:10
    RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 2008-03-10 14:37:25
    RCTEXT.DLL : 8.0.32.0 86273 Bytes 2008-03-06 12:02:11

    Configuration settings for the scan:
    Jobname..........................: Complete system scan
    Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
    Logging..........................: low
    Primary action...................: interactive
    Secondary action.................: ignore
    Scan master boot sector..........: on
    Scan boot sector.................: on
    Boot sectors.....................: C:, D:, E:,
    Scan memory......................: on
    Process scan.....................: on
    Scan registry....................: on
    Search for rootkits..............: off
    Scan all files...................: Intelligent file selection
    Scan archives....................: on
    Recursion depth..................: 20
    Smart extensions.................: on
    Macro heuristic..................: on
    File heuristic...................: medium

    Start of the scan: 2008-06-14 16:15

    The scan of running processes will be started
    Scan process 'avscan.exe' - '1' Module(s) have been scanned
    Scan process 'avcenter.exe' - '1' Module(s) have been scanned
    Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
    Scan process 'epmworker.exe' - '1' Module(s) have been scanned
    Scan process 'Generic.exe' - '1' Module(s) have been scanned
    Scan process 'hpqste08.exe' - '1' Module(s) have been scanned
    Scan process 'alg.exe' - '1' Module(s) have been scanned
    Scan process 'OSA.EXE' - '1' Module(s) have been scanned
    Scan process 'WlanCU.exe' - '1' Module(s) have been scanned
    Scan process 'ONENOTEM.EXE' - '1' Module(s) have been scanned
    Scan process 'hpqtra08.exe' - '1' Module(s) have been scanned
    Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned
    Scan process 'wmpnscfg.exe' - '1' Module(s) have been scanned
    Scan process 'CapabilityManager.exe' - '1' Module(s) have been scanned
    Scan process 'backWeb-8876480.exe' - '1' Module(s) have been scanned
    Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
    Scan process 'wmpnetwk.exe' - '1' Module(s) have been scanned
    Scan process 'GhostTray.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'avgnt.exe' - '1' Module(s) have been scanned
    Scan process 'slserv.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'realsched.exe' - '1' Module(s) have been scanned
    Scan process 'hpwuSchd2.exe' - '1' Module(s) have been scanned
    Scan process 'TaskBarIcon.exe' - '1' Module(s) have been scanned
    Scan process 'Application Launcher.exe' - '1' Module(s) have been scanned
    Scan process 'E_FATI9CE.EXE' - '1' Module(s) have been scanned
    Scan process 'ApntEx.exe' - '1' Module(s) have been scanned
    Scan process 'E_FATI9CE.EXE' - '1' Module(s) have been scanned
    Scan process 'rundll32.exe' - '1' Module(s) have been scanned
    Scan process 'qttask.exe' - '1' Module(s) have been scanned
    Scan process 'LOGI_MWX.EXE' - '1' Module(s) have been scanned
    Scan process 'WkUFind.exe' - '1' Module(s) have been scanned
    Scan process 'SOUNDMAN.EXE' - '1' Module(s) have been scanned
    Scan process 'atiptaxx.exe' - '1' Module(s) have been scanned
    Scan process 'Apoint.exe' - '1' Module(s) have been scanned
    Scan process 'mHotkey.exe' - '1' Module(s) have been scanned
    Scan process 'explorer.exe' - '1' Module(s) have been scanned
    Scan process 'PQV2iSvc.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'LogWatNT.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'gearsec.exe' - '1' Module(s) have been scanned
    Scan process 'FTRTSVC.exe' - '1' Module(s) have been scanned
    Scan process 'avguard.exe' - '1' Module(s) have been scanned
    Scan process 'sched.exe' - '1' Module(s) have been scanned
    Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
    Scan process 'lsass.exe' - '1' Module(s) have been scanned
    Scan process 'services.exe' - '1' Module(s) have been scanned
    Scan process 'winlogon.exe' - '1' Module(s) have been scanned
    Scan process 'csrss.exe' - '1' Module(s) have been scanned
    Scan process 'smss.exe' - '1' Module(s) have been scanned
    59 processes with 59 modules were scanned

    Starting master boot sector scan:
    Master boot sector HD0
    [INFO] No virus was found!

    Start scanning boot sectors:
    Boot sector 'C:\'
    [INFO] No virus was found!
    Boot sector 'D:\'
    [INFO] No virus was found!
    Boot sector 'E:\'
    [INFO] No virus was found!

    Starting to scan the registry.
    The registry was scanned ( '53' files ).


    Starting the file scan:

    Begin scan in 'C:\' <BOOT>
    C:\hiberfil.sys
    [WARNING] The file could not be opened!
    C:\pagefile.sys
    [WARNING] The file could not be opened!
    C:\QooBox\Quarantine\catchme2008-06-13_230450,89.zip
    [0] Archive type: ZIP
    --> joR71.sys
    [1] Archive type: RSRC
    --> Object
    [DETECTION] Is the Trojan horse TR/Dldr.Mutant.aea
    --> urqQiIaW.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [NOTE] The file was moved to '48c7d556.qua'!
    C:\QooBox\Quarantine\C\Program Files\iSecurity\v7\iSecurity.cpl.vir
    [DETECTION] Is the Trojan horse TR/Emgr.S.9
    [NOTE] The file was moved to '48b8d54e.qua'!
    C:\QooBox\Quarantine\C\WINDOWS\system32\geBuVpoO.dll.vir
    [DETECTION] Is the Trojan horse TR/Monderb.322944.1
    [NOTE] The file was moved to '4895d568.qua'!
    C:\QooBox\Quarantine\C\WINDOWS\system32\hgicbnhs.dll.vir
    [DETECTION] Is the Trojan horse TR/Monderb.92608.1
    [NOTE] The file was moved to '48bcd56d.qua'!
    C:\QooBox\Quarantine\C\WINDOWS\system32\inunpuue.dll.vir
    [DETECTION] Is the Trojan horse TR/Monderb.92608.1
    [NOTE] The file was moved to '48c8d575.qua'!
    C:\QooBox\Quarantine\C\WINDOWS\system32\nsinet.exe.vir
    [DETECTION] Contains detection pattern of the dial-up program DIAL/148952.A
    [NOTE] The file was moved to '48bcd57d.qua'!
    C:\QooBox\Quarantine\C\WINDOWS\system32\urqQiIaW.dll.vir
    [DETECTION] Is the Trojan horse TR/Trash.Gen
    [NOTE] The file was moved to '48c4d581.qua'!
    C:\QooBox\Quarantine\C\WINDOWS\system32\WinCtrl32.dll.vir
    [DETECTION] Is the Trojan horse TR/Dldr.Mutant.aea
    [NOTE] The file was moved to '48c1d579.qua'!
    C:\QooBox\Quarantine\C\WINDOWS\system32\WLCtrl32.dll.vir
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4896d560.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP181\A0072112.dll
    [DETECTION] Is the Trojan horse TR/Vapsup.erq
    [NOTE] The file was moved to '4883d615.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP181\A0072272.exe
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d61c.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP183\A0072515.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d629.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP183\A0072530.sys
    [0] Archive type: RSRC
    --> Object
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d62a.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP183\A0072536.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d62b.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP183\A0072537.exe
    [DETECTION] Is the Trojan horse TR/BHO.Gen
    [NOTE] The file was moved to '4883d62c.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP183\A0072556.sys
    [0] Archive type: RSRC
    --> Object
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d62e.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP183\A0073536.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d630.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP183\A0074536.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d632.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP186\A0074565.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d638.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP186\A0074627.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d63a.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP186\A0074646.sys
    [0] Archive type: RSRC
    --> Object
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d63c.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP186\A0074647.dll
    [DETECTION] Is the Trojan horse TR/BHO.Gen
    [NOTE] The file was moved to '4883d63d.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP186\A0074655.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d63e.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP186\A0074656.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '49ffa04f.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP186\A0074682.sys
    [0] Archive type: RSRC
    --> Object
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d63f.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP186\A0074685.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '49ffa030.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP186\A0074687.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d640.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP186\A0074712.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d642.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP186\A0074742.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d644.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP186\A0074764.sys
    [0] Archive type: RSRC
    --> Object
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d645.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0074776.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d648.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0075776.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d649.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0076776.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d64a.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0077776.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d64b.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0078777.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d657.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0078931.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d660.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0079668.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d671.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0080668.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '49ffa002.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0080693.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d672.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0080695.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '49ffa003.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0080700.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d673.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0080705.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '49ffa004.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0080710.sys
    [0] Archive type: RSRC
    --> Object
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d675.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0080711.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [NOTE] The file was moved to '4883d674.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081705.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '49ffa006.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081710.sys
    [0] Archive type: RSRC
    --> Object
    [DETECTION] Is the Trojan horse TR/Dldr.Mutant.aea
    [NOTE] The file was moved to '4883d676.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081723.exe
    [DETECTION] Contains detection pattern of the dropper DR/FraudTool.WinFixer.G
    [NOTE] The file was moved to '4883d678.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081724.exe
    [DETECTION] Contains detection pattern of the dropper DR/Fraud.Advanced-6
    [NOTE] The file was moved to '4883d67c.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081728.exe
    [DETECTION] Is the Trojan horse TR/Spy.Agent.aci
    [NOTE] The file was moved to '4883d67e.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081729.exe
    [DETECTION] Is the Trojan horse TR/BHO.Gen
    [NOTE] The file was moved to '49ffa00f.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081737.exe
    [DETECTION] Is the Trojan horse TR/Dldr.Agent.qpc
    [NOTE] The file was moved to '4883d67f.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081744.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [NOTE] The file was moved to '49ffa0f0.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081745.dll
    [DETECTION] Is the Trojan horse TR/Vapsup.erp
    [NOTE] The file was moved to '4883d680.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081748.dll
    [DETECTION] Is the Trojan horse TR/Dldr.Mutant.aea
    [NOTE] The file was moved to '4883d681.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081752.sys
    [0] Archive type: RSRC
    --> Object
    [DETECTION] Is the Trojan horse TR/Dldr.Mutant.aea
    [NOTE] The file was moved to '4883d682.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081756.exe
    [DETECTION] Is the Trojan horse TR/Agent.5178.2
    [NOTE] The file was moved to '49ffa0f3.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081757.exe
    [DETECTION] Is the Trojan horse TR/Agent.5178.2
    [NOTE] The file was moved to '4883d684.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081758.exe
    [DETECTION] Is the Trojan horse TR/DelAll.Q.2
    [NOTE] The file was moved to '4883d683.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081759.dll
    [DETECTION] Is the Trojan horse TR/Agent.qnj
    [NOTE] The file was moved to '49ffa0f4.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081760.exe
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '4883d685.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081763.dll
    [DETECTION] Is the Trojan horse TR/Dldr.Mutant.aea
    [NOTE] The file was moved to '49ffa0f6.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081769.sys
    [0] Archive type: RSRC
    --> Object
    [DETECTION] Is the Trojan horse TR/Dldr.Mutant.aea
    [NOTE] The file was moved to '49ffa0f5.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081792.exe
    [DETECTION] Is the Trojan horse TR/Dldr.Agent.qpc
    [NOTE] The file was moved to '4883d688.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081793.exe
    [DETECTION] Is the Trojan horse TR/Vapsup.fqb
    [NOTE] The file was moved to '49ffa0f9.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081794.exe
    [DETECTION] Is the Trojan horse TR/Vapsup.fqd
    [NOTE] The file was moved to '4883d68a.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081795.exe
    [DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.VirusIsolator.L
    [NOTE] The file was moved to '4883d689.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081796.exe
    [DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.VirusIsolator.L
    [NOTE] The file was moved to '49ffa0fa.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081797.exe
    [DETECTION] Is the Trojan horse TR/Dldr.Agent.qpc
    [NOTE] The file was moved to '49ffa0fb.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081798.exe
    [DETECTION] Is the Trojan horse TR/Dldr.Agent.qpc
    [NOTE] The file was moved to '4883d68c.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081799.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [NOTE] The file was moved to '49ffa0fd.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081800.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [NOTE] The file was moved to '4883d68b.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081801.dll
    [DETECTION] Is the Trojan horse TR/BHO.Gen
    [NOTE] The file was moved to '4883d68e.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081804.dll
    [DETECTION] Is the Trojan horse TR/Monderb.322432
    [NOTE] The file was moved to '4883d68d.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081820.dll
    [DETECTION] Is the Trojan horse TR/Dldr.Mutant.aea
    [NOTE] The file was moved to '49ffa0ff.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081827.sys
    [0] Archive type: RSRC
    --> Object
    [DETECTION] Is the Trojan horse TR/Dldr.Mutant.aea
    [NOTE] The file was moved to '4883d770.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081829.dll
    [DETECTION] Is the Trojan horse TR/Dldr.Mutant.aea
    [NOTE] The file was moved to '49ffa101.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081833.sys
    [0] Archive type: RSRC
    --> Object
    [DETECTION] Is the Trojan horse TR/Dldr.Mutant.aea
    [NOTE] The file was moved to '4883d68f.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081874.dll
    [DETECTION] Is the Trojan horse TR/Dldr.Mutant.aea
    [NOTE] The file was moved to '4883d692.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081875.dll
    [DETECTION] Is the Trojan horse TR/Monderb.93120
    [NOTE] The file was moved to '49ffa0e3.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081891.sys
    [0] Archive type: RSRC
    --> Object
    [DETECTION] Is the Trojan horse TR/Dldr.Mutant.aea
    [NOTE] The file was moved to '4883d693.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081909.dll
    [DETECTION] Is the Trojan horse TR/Dldr.Mutant.aea
    [NOTE] The file was moved to '4883d694.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081927.dll
    [DETECTION] Is the Trojan horse TR/Dldr.Mutant.afj
    [NOTE] The file was moved to '4883d695.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP188\A0081959.dll
    [DETECTION] Is the Trojan horse TR/Dldr.Mutant.afj
    [NOTE] The file was moved to '4883d69a.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP188\A0081972.dll
    [DETECTION] Is the Trojan horse TR/Dldr.Mutant.afj
    [NOTE] The file was moved to '49ffa0eb.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP188\A0082972.dll
    [DETECTION] Is the Trojan horse TR/Dldr.Mutant.afj
    [NOTE] The file was moved to '4883d69b.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP188\A0082977.sys
    [0] Archive type: RSRC
    --> Object
    [DETECTION] Is the Trojan horse TR/Dldr.Mutant.afj
    [NOTE] The file was moved to '4883d69c.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP188\A0082979.dll
    [DETECTION] Is the Trojan horse TR/Dldr.Mutant.afj
    [NOTE] The file was moved to '4883d69d.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP188\A0082993.dll
    [DETECTION] Is the Trojan horse TR/Dldr.Mutant.aea
    [NOTE] The file was moved to '49ffa0ee.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP188\A0083001.cpl
    [DETECTION] Is the Trojan horse TR/Emgr.S.9
    [NOTE] The file was moved to '4883d69e.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP188\A0083007.exe
    [DETECTION] Contains detection pattern of the dial-up program DIAL/148952.A
    [NOTE] The file was moved to '49ffa0ef.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP188\A0083009.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '49ffa0f1.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP188\A0083048.dll
    [DETECTION] Is the Trojan horse TR/BHO.Gen
    [NOTE] The file was moved to '4883d6a0.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP188\A0083051.dll
    [DETECTION] Is the Trojan horse TR/Monderb.322944.1
    [NOTE] The file was moved to '4883d6a1.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP188\A0083052.dll
    [DETECTION] Is the Trojan horse TR/Monderb.92608.1
    [NOTE] The file was moved to '4883d6a2.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP188\A0083053.dll
    [DETECTION] Is the Trojan horse TR/Monderb.92608.1
    [NOTE] The file was moved to '49ffa0d3.qua'!
    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP188\A0083082.dll
    [DETECTION] Is the Trojan horse TR/Trash.Gen
    [NOTE] The file was moved to '4883d6a3.qua'!
    Begin scan in 'D:\' <BACKUP>
    D:\RECYCLER\S-1-5-21-2616158678-670706710-3181590343-1003\Dd27.exe
    [WARNING] No further files can be extracted from this archive. The archive will be closed
    Begin scan in 'E:\' <RECOVER>


    End of the scan: 2008-06-14 16:49
    Used time: 34:04 min

    The scan has been done completely.

    5217 Scanning directories
    218587 Files were scanned
    97 viruses and/or unwanted programs were found
    0 Files were classified as suspicious:
    0 files were deleted
    0 files were repaired
    96 files were moved to quarantine
    0 files were renamed
    3 Files cannot be scanned
    218490 Files not concerned
    7923 Archives were scanned
    3 Warnings
    96 Notes

    16 Juin 2008 17:19:53

    et le hijackThis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:27, on 2008-06-16
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\mHotkey.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    C:\WINDOWS\Logi_MwX.Exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
    C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    C:\Program Files\Windows Media Player\WMPNSCFG.exe
    C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
    C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe
    C:\Program Files\Microsoft Office\Office\OSA.EXE
    C:\PROGRA~1\Wanadoo\Toaster.exe
    C:\PROGRA~1\Wanadoo\Inactivity.exe
    C:\PROGRA~1\Wanadoo\PollingModule.exe
    C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
    C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
    C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    C:\Program Files\HP\Smart Web Printing\hpswp_clipbook.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\WINDOWS\system32\taskmgr.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
    O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
    O2 - BHO: (no name) - {4A3F62A9-AFEB-4543-AE4D-DC2442444E64} - (no file)
    O2 - BHO: (no name) - {709A1BFF-1B71-4CC2-9A24-0CCF70BCFB8A} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
    O3 - Toolbar: (no name) - {42F72442-2DD5-4B32-8A09-D2276C4EB3B9} - (no file)
    O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O5 "LPT1:" /M "Stylus Photo RX420"
    O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P41 "EPSON Stylus Photo RX420 Series (Copie 1)" /O6 "USB001" /M "Stylus Photo RX420"
    O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
    O4 - HKLM\..\Run: [YeppStudioAgent] C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
    O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O4 - Global Startup: Wireless Configuration Utility HW.14.lnk = C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe
    O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?10b537c6aad24a56a1d5d9256365548c
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?10b537c6aad24a56a1d5d9256365548c
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
    O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont...
    O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_10...
    O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: Ati HotKey Poller AtiAppMgmt (AtiAppMgmt) - Unknown owner -  .exe (file missing)
    O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
    O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
    O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

    --
    End of file - 12030 bytes
    17 Juin 2008 00:15:15

    Re,

  • Fais un scan en ligne Kaspersky avec Internet Explorer :
  • Clique sur
  • Clique maintenant sur J'accepte.
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.

    AIDE : Tuto sur le scan en ligne

    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

    Comment va le PC ? Toujours des problèmes ?

    ;) 
    17 Juin 2008 21:00:53

    Bonsoir,
    oui le PC galère toujours, il redémarre en mode normal mais réagi comme en mode sans échec, affichage sommaire, impossible de désinstaller des logiciels car d'après lui je sui en mode sans échec.
    Est il possible que MalwareByte's Anti-Malware est supprimé ou abimé des fichiers système? Et pour infos si c'est le cas j'avais réussi à faire un ghost de la machine avant son exécution.
    Le scan kaspersky est en cours au 4/5 et n'a pour l'instant rien détecté.
    17 Juin 2008 21:48:40

    Re,
    voici le rapport kaspersky:

    KASPERSKY ON-LINE SCANNER REPORT
    Tuesday, June 17, 2008 9:52:19 PM
    Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
    Kaspersky On-line Scanner version : 5.0.83.0
    Dernière mise à jour de la base antivirus Kaspersky : 17/06/2008
    Enregistrements dans la base antivirus Kaspersky : 877027


    Paramètres d'analyse
    Analyser avec la base antivirus suivante étendue
    Analyser les archives vrai
    Analyser les bases de messagerie vrai

    Cible de l'analyse Dossiers
    C:\

    Statistiques de l'analyse
    Total d'objets analysés 64724
    Nombre de virus trouvés 11
    Nombre d'objets infectés 19 / 0
    Nombre d'objets suspects 0
    Durée de l'analyse 00:46:56

    Nom de l'objet infecté Nom du virus Dernière action
    C:\Documents and Settings\Administrateur\Application Data\Microsoft\MSNLiveFav\LiveFavorites.xml L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\Application Data\Teleca\Telecalib\Logging\Application logs\SpecificUSB_log.txt L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\Cookies\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\MSHist012008061720080618\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\NTUSER.DAT L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\ntuser.dat.LOG L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

    C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

    C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

    C:\QooBox\Quarantine\C\Program Files\PC-Cleaner\install\PC-Cleaner.exe.vir Infecté : not-a-virus:FraudTool.Win32.UltimateDefender.il ignoré

    C:\QooBox\Quarantine\C\WINDOWS\system32\kqbfntwp.dll.vir Infecté : not-a-virus:AdWare.Win32.Virtumonde.trx ignoré

    C:\QooBox\Quarantine\C\WINDOWS\system32\umwxiquh.dll.vir Infecté : not-a-virus:AdWare.Win32.Virtumonde.trx ignoré

    C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP181\A0072111.dll Infecté : Trojan.Win32.Vapsup.ers ignoré

    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP183\A0072531.dll Infecté : Trojan.Win32.Vapsup.ern ignoré

    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP183\A0072532.exe Infecté : Trojan.Win32.Vapsup.err ignoré

    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP183\A0073537.dll Infecté : not-a-virus:AdWare.Win32.Virtumonde.trx ignoré

    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP186\A0074650.dll Infecté : Trojan.Win32.Vapsup.fpz ignoré

    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP186\A0074658.dll Infecté : Trojan.Win32.Vapsup.fpy ignoré

    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP186\A0074659.dll Infecté : Trojan.Win32.Vapsup.fpw ignoré

    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP186\A0074686.dll Infecté : not-a-virus:AdWare.Win32.Virtumonde.trx ignoré

    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0074777.dll Infecté : not-a-virus:AdWare.Win32.Virtumonde.trx ignoré

    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081721.exe Infecté : not-a-virus:FraudTool.Win32.WinSpywareProtect.e ignoré

    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP187\A0081746.dll Infecté : Trojan.Win32.Vapsup.fqa ignoré

    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP188\A0083003.exe Infecté : not-a-virus:FraudTool.Win32.UltimateDefender.il ignoré

    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP188\A0083054.dll Infecté : not-a-virus:AdWare.Win32.Virtumonde.trx ignoré

    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP188\A0083055.dll Infecté : not-a-virus:AdWare.Win32.Virtumonde.trx ignoré

    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP188\snapshot\MFEX-1.DAT Infecté : Trojan-Downloader.Win32.Mutant.agh ignoré

    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP188\snapshot\MFEX-2.DAT Infecté : Trojan-Downloader.Win32.Mutant.agh ignoré

    C:\System Volume Information\_restore{26C9EE8D-40CF-4AC9-B341-E2D76EEF8A39}\RP191\change.log L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB824141$\user32.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB824141$\win32k.sys L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\accwiz.exe L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\crypt32.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\hh.exe L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\hhctrl.ocx L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\html32.cnv L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\itircl.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\itss.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\locator.exe L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\magnify.exe L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\mrxsmb.sys L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\msconv97.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\narrator.exe L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\newdev.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\ntdll.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\ntkrnlpa.exe L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\ntoskrnl.exe L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\ole32.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\osk.exe L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\raspptp.sys L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\rpcrt4.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\rpcss.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\shdocvw.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\shell32.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\srv.sys L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\sysmain.sdb L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\urlmon.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\user32.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\win32k.sys L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826939$\zipfldr.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826942$\dhcpcsvc.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826942$\ndis.sys L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826942$\ndisuio.sys L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826942$\netshell.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826942$\wzcdlg.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826942$\wzcsapi.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB826942$\wzcsvc.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB828741$\catsrv.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB828741$\catsrvut.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB828741$\clbcatex.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB828741$\clbcatq.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB828741$\colbact.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB828741$\comadmin.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB828741$\comrepl.exe L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB828741$\comsvcs.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB828741$\comuid.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB828741$\es.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB828741$\migregdb.exe L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB828741$\msdtcprx.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB828741$\msdtctm.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB828741$\msdtcuiu.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB828741$\mtxclu.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB828741$\mtxoci.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB828741$\ole32.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB828741$\rpcrt4.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB828741$\rpcss.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB828741$\txflog.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB833998$\shell32.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB833998$\sxs.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB835732$\callcont.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB835732$\gdi32.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB835732$\h323.tsp L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB835732$\h323msp.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB835732$\ipnathlp.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB835732$\lsasrv.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB835732$\mf3216.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB835732$\msasn1.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB835732$\msgina.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB835732$\mst120.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB835732$\netapi32.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB835732$\nmcom.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB835732$\rtcdll.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB835732$\schannel.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB839645$\fldrclnr.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB839645$\shell32.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB839645$\shlwapi.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB839645$\sxs.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallKB839645$\xpsp2res.dll L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallQ828026$\msdxm.ocx L'objet est verrouillé ignoré

    C:\WINDOWS\$NtUninstallQ828026$\wmp.dll L'objet est verrouillé ignoré

    C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\Prefetch\layout.ini L'objet est verrouillé ignoré

    C:\WINDOWS\RTacDbg.txt L'objet est verrouillé ignoré

    C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

    C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

    Analyse terminée.
    17 Juin 2008 22:55:49

    Re,

    1) Suis ces étapes pour désinstaller proprement combofix et les tools que nous avons utilisés pendant la désinfection

  • Menu démarrer puis exécuter
  • Tape maintenant Combofix /u dans la fenêtre que apparaît puis valide par OK. Veille à bien laisser un espace entre le X et le /U, car cela est nécessaire ici.


    2) Télécharge ToolsCleaner sur ton bureau.
    http://www.commentcamarche.net/telecharger/toolscleaner...

    Ce programme va te faire désinstaller tous les outils que je t’ai faits utiliser.

  • Clique sur Recherche et laisse le scan agir ...
  • Clique sur Suppression pour finaliser.
  • Tu peux, si tu le souhaites, te servir des Options facultatives.
  • Clique sur Quitter pour obtenir le rapport.
  • Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

    3) Télécharge et installe Ccleaner :
    http://www.01net.com/telecharger/windows/Utilitaire/net...
  • Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Clique sur l'onglet "Nettoyeur" puis sur "Lancer le Nettoyage".
  • Ensuite clique sur l'onglet Registre, clique sur "Chercher des erreurs" puis sur "Réparer les erreurs sélectionnées". Il est inutile de faire des sauvegardes des clés. Répète l'opération autant de fois qu'il le faut jusqu'à qu'il ne trouve plus d'erreurs.
  • Tutorial ici : http://www.infos-du-net.com/forum/272336-7-ccleaner-und...

    4) Fais un scan en linge avec BitDefender, avec internet explorer ! Sauvegarde tes musiques et photos, il arrive que BitDefender les supprime ;) 

    http://www.bitdefender.fr/
    et copie colle le résultat ici
    * En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
    * Dans la nouvelle fenêtre, clique sur I agree
    * La fenêtre change encore, clique sur Click here to scan
    * Les signatures se chargent, etc.

    Tutorial en image : http://forum.pcastuces.com/sujet.asp?f=25&s=31584

    Poste-moi le rapport en entier ;) 
    18 Juin 2008 18:01:22

    Re,
    TCleaner n'a pas créé de rapport voici ce qui est affiché dans le logiciel:

    -->- Recherche:

    C:\Combofix: trouvé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
    C:\Documents and Settings\jhhj\Bureau\Otscanit.exe: trouvé !
    C:\Documents and Settings\jhhj\Bureau\HijackThis.lnk: trouvé !
    C:\Documents and Settings\jhhj\Bureau\avenger.exe: trouvé !
    C:\Documents and Settings\jhhj\Bureau\ComboFix.exe: trouvé !
    C:\Documents and Settings\jhhj\Bureau\HJTInstall.exe: trouvé !
    C:\Documents and Settings\jhhj\Bureau\OtscanIt: trouvé !
    C:\Documents and Settings\jhhj\Bureau\OTScanIt\Otscanit.exe: trouvé !
    C:\Documents and Settings\jhhj\Recent\HijackThis.lnk: trouvé !
    C:\Program Files\Trend Micro\HijackThis: trouvé !
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

    ---------------------------------
    -->- Suppression:

    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
    C:\Documents and Settings\jhhj\Bureau\Otscanit.exe: supprimé !
    C:\Documents and Settings\jhhj\Bureau\HijackThis.lnk: supprimé !
    C:\Documents and Settings\jhhj\Bureau\avenger.exe: supprimé !
    C:\Documents and Settings\jhhj\Bureau\ComboFix.exe: supprimé !
    C:\Documents and Settings\jhhj\Bureau\HJTInstall.exe: supprimé !
    C:\Documents and Settings\jhhj\Bureau\OTScanIt\Otscanit.exe: supprimé !
    C:\Documents and Settings\jhhj\Recent\HijackThis.lnk: supprimé !
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
    C:\Combofix: supprimé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
    C:\Documents and Settings\jhhj\Bureau\OtscanIt: supprimé !
    C:\Program Files\Trend Micro\HijackThis: supprimé !
    18 Juin 2008 21:56:00

    Re,
    bit defender n'a rien trouvé mais j'ai toujours le même problème, l'ordi semble en mode sans échec, je ne peut donc pas exécuter certains logiciels ou en désinstaller d'autres. Ce problème est apparu depuis l'exécution de anti-malware, sais tu d'ou cela provient? si non je suis tenté de remettre le ghost que j'avais fait avant l'exécution de ce programme et de tenter de faire la fin de la désinfection autrement.

    Pour info voici le rapport bitdefender:

    BitDefender Online Scanner



    Rapport d'analyse généré à: Wed, Jun 18, 2008 - 19:38:10





    Voie d'analyse: C:\;D:\;E:\;F:\;







    Statistiques

    Temps
    00:24:22

    Fichiers
    54496

    Directoires
    5106

    Secteurs de boot
    4

    Archives
    1027

    Paquets programmes
    3371




    Résultats

    Virus identifiés
    0

    Fichiers infectés
    0

    Fichiers suspects
    0

    Avertissements
    0

    Désinfectés
    0

    Fichiers effacés
    0




    Info sur les moteurs

    Définition virus
    1261935

    Version des moteurs
    AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

    Analyse des plugins
    16

    Archive des plugins
    42

    Unpack des plugins
    7

    E-mail plugins
    6

    Système plugins
    5




    Paramètres d'analyse

    Première action
    Désinfecté

    Seconde Action
    Supprimé

    Heuristique
    Oui

    Acceptez les avertissements
    Oui

    Extensions analysées
    exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

    Excludez les extensions


    Analyse d'emails
    Oui

    Analyse des Archives
    Oui

    Analyser paquets programmes
    Oui

    Analyse des fichiers
    Oui

    Analyse de boot
    Oui




    Fichier analysé
    Statut

    Aucun virus trouvé.






        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS