Se connecter / S'enregistrer
Votre question

PC en derive....

Tags :
  • Ad aware
  • Sécurité
Dernière réponse : dans Sécurité et virus
1 Décembre 2007 11:10:09

Bonjour,

Cela fait des mois que mon PC 'derrive' lentement vers un etat de mauvais fonctionnement.... :
fenetres intempestiver s'ouvrant sous firefox
ralentissement du PC
arret soudain du PC sans pouvoir le redemarrer avant 15min
redemarrage du PC quand je lance ad aware...

J'essaye vainement de matitriser cela avec mon antivirus (AVG), un firewall (sygate) ne laissant rien passé, utilsation de spyboot (qui trouve rien), de ad aware (qui a pour seul effet de redemarrer le PC des que je lance ad aware). J'ai utilisé Hijack et fait l'analyse automatique sur un site web qui m'a conseillé d'effacer 2 fichiers nasty.
MAIS rien n'y fait : ca marche tjs aussi mal !!!!!
Je rends les armes et appelle au secours ! que dois je faire ????
Je colle ci dessous le rapport Hijak que j'ai.
Merci par avance de votre aide !
A.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:57:01, on 01/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Logitech\ImageStudio\LowLight.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\wvbdim.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avgav.exe (AVG) - Unknown owner - C:\WINDOWS\avgav.exe (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\qwerty12.exe (file missing)
O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINDOWS\system32\dllcache\ivchost.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

--
End of file - 5080 bytes

Autres pages sur : derive

1 Décembre 2007 11:23:18

Salut,

Tu es infecté en fait (Ton windows n'est pas à jour !)

Télécharge SDFix (d’Andy Manchesta)

Enregistre le sur ton le bureau.

Lance le.
Fais install afin qu’il puisse s’extraire.

Redémarre en mode sans échec
/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Lance SDFix.
Double clique sur RunThis.bat . (L’extension bat peut ne pas apparaître)
Appuie sur Y pour le lancer.

Il te sera demandé d'appuyer sur une touche pour redemarrer , fais le
Il est probable que le redémarrage soit un peu plus long que d’habitude.
Une fois l’apparition de ton Bureau, il affichera Finished

Appuie sur une touche.

Un rapport est généré , poste le dans ta réponse.
Il se trouve également. dans le dossier SDFix >Report.txt<

+++++++++++++++

Infection Vundo :

Fais ces manips dans l’ordre :

1/ Télécharge VundoFix.exe (d’ Atribune) :

Double-clique VundoFix.exe .
Clique sur Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Ensuite clique sur YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu auras un message comme quoi l’ordinateur va s’éteindre, fais ok

Poste le rapport qui se trouve dans C:\vundofix.txt

2/ Télécharge Combofix (de sUBs) sur ton Bureau.

Désactive toute protection résidente ! (Antivirus, antispywares..)
Double clique combofix.exe.
Tape sur la touche 1 (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

Le rapport se trouve ici : C:\Combofix.txt

3/ Poste un nouveau rapport HiJackThis (en ayant renommé HiJackthis.exe en SCANNER.EXE)
1 Décembre 2007 14:58:41

Super. Merci !
J'ai fait toutes les manip' .
Je poste en dessous les differents rapports !
Est ce ok ???
Merci.

Rapport SDFIX


SDFix: Version 1.116

Run by Arnaud on 01/12/2007 at 14:04

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:
AVG
mshexdefx

Path:
"C:\WINDOWS\avgav.exe"
"C:\WINDOWS\system32\dllcache\ivchost.exe"

AVG - Deleted
mshexdefx - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\SYSTEM32\IEXPLO~1.EXE - Deleted
C:\WINDOWS\SYSTEM32\SETUP_~1.EXE - Deleted
C:\WINDOWS\SYSTEM32\SETUP_~2.EXE - Deleted
C:\WINDOWS\SYSTEM32\TSKMGR.EXE - Deleted
C:\WINDOWS\SYSTEM32\UPDETW~1.EXE - Deleted
C:\WINDOWS\SYSTEM32\WINLOLX.EXE - Deleted
C:\WINDOWS\system32\5_exception.nls - Deleted
C:\WINDOWS\system32\i - Deleted
C:\WINDOWS\system32\setup_34755.exe - Deleted
C:\WINDOWS\system32\setup_66746.exe - Deleted
C:\WINDOWS\system32\Tilecomfree.com - Deleted
C:\WINDOWS\system32\Tilecomnu.com - Deleted
C:\WINDOWS\system32\tskmgr.exe - Deleted
C:\WINDOWS\system32\winlolx.exe - Deleted
C:\WINDOWS\Temp\removalfile.bat - Deleted




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-01 14:07:41
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Authorized Application Key Export:

Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Tue 20 Aug 2002 1,511,453 ...H. --- "C:\Program Files\Messenger\msmsgs.exe"
Mon 28 May 2007 294 ..SH. --- "C:\WINDOWS\system32\tqavcmee.tmp"
Mon 24 Dec 2007 6,526 ..SH. --- "C:\WINDOWS\system32\ututv.bak1"
Sat 1 Dec 2007 6,934 ..SH. --- "C:\WINDOWS\system32\ututv.bak2"
Sun 29 Apr 2007 551,326 ..SH. --- "C:\WINDOWS\system32\wybeg.tmp"
Tue 1 May 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Finished!

RAPPORT VUNDOFIX :


VundoFix V6.6.2

Checking Java version...

Scan started at 14:14:13 01/12/2007

Listing files found while scanning....

C:\WINDOWS\System32\agdqjjko.dll
C:\windows\system32\aipwgsve.ini
C:\windows\system32\anypltdl.dll
C:\windows\system32\bdgtnoqw.dll
C:\windows\system32\buvcuflf.dll
C:\windows\system32\cbfonlvg.dll
C:\windows\system32\ccpylpow.dll
C:\WINDOWS\System32\cfvliwki.dll
C:\windows\system32\chqhrosr.dll
C:\windows\system32\chqobusa.dll
C:\windows\system32\cvhyugeg.ini
C:\windows\system32\dapecays.dll
C:\windows\system32\dawrcfft.dll
C:\windows\system32\dkjlbrvl.dll
C:\windows\system32\dskakkur.ini
C:\windows\system32\edhbwxvy.ini
C:\windows\system32\efavgxgn.dll
C:\windows\system32\ekrrjohh.ini
C:\windows\system32\ethmflqw.ini
C:\WINDOWS\System32\euopgrju.dll
C:\windows\system32\evakxqbo.ini
C:\windows\system32\evsgwpia.dll
C:\windows\system32\fftxwwyr.dll
C:\windows\system32\fgynaybj.ini
C:\windows\system32\flfucvub.ini
C:\windows\system32\fqllgkal.dll
C:\windows\system32\gegqndyx.ini
C:\windows\system32\geguyhvc.dll
C:\windows\system32\gvnmivwu.dll
C:\WINDOWS\System32\haaccunr.dll
C:\windows\system32\hhojrrke.dll
C:\windows\system32\hpbgjkcx.dll
C:\windows\system32\hpnlcvmr.dll
C:\WINDOWS\System32\huejsovl.dll
C:\windows\system32\hupqkphk.dll
C:\windows\system32\jbyanygf.dll
C:\windows\system32\jehvjhrj.ini
C:\windows\system32\jexwduip.dll
C:\windows\system32\jijbgdvy.dll
C:\WINDOWS\system32\jkkjgdb.dll
C:\windows\system32\jnjqljhv.dll
C:\windows\system32\jrhjvhej.dll
C:\windows\system32\kanxfrfx.ini
C:\windows\system32\khpkqpuh.ini
C:\windows\system32\kuqqdrcm.dll
C:\windows\system32\lakgllqf.ini
C:\windows\system32\lcthpgfr.dll
C:\windows\system32\ldtlpyna.ini
C:\windows\system32\ljmyfeyt.dll
C:\windows\system32\lslnpjru.dll
C:\windows\system32\lvrbljkd.ini
C:\windows\system32\mcrdqquk.ini
C:\windows\system32\nwywplob.dll
C:\windows\system32\obqxkave.dll
C:\windows\system32\odxdxoer.dll
C:\windows\system32\ogmhpsbu.dll
C:\windows\system32\ollsdiut.ini
C:\windows\system32\ouotmbdo.dll
C:\windows\system32\pbtwvajq.ini
C:\windows\system32\qjavwtbp.dll
C:\windows\system32\qqfcwhfa.dll
C:\windows\system32\reoxdxdo.ini
C:\windows\system32\rfgphtcl.ini
C:\windows\system32\rmvclnph.ini
C:\windows\system32\rukkaksd.dll
C:\windows\system32\rywwxtff.ini
C:\WINDOWS\System32\sgdxpswr.dll
C:\WINDOWS\System32\sshlvwgq.dll
C:\windows\system32\syacepad.ini
C:\windows\system32\tffcrwad.ini
C:\windows\system32\tuidsllo.dll
C:\windows\system32\tyefymjl.ini
C:\windows\system32\ubsphmgo.ini
C:\windows\system32\urjpnlsl.ini
C:\windows\system32\ututv.bak1
C:\windows\system32\ututv.bak2
C:\windows\system32\ututv.ini
C:\windows\system32\vhjlqjnj.ini
C:\windows\system32\vtphhopk.dll
C:\WINDOWS\System32\vtutu.dll
C:\windows\system32\woplypcc.ini
C:\windows\system32\wqlfmhte.dll
C:\windows\system32\xckjgbph.ini
C:\windows\system32\xfrfxnak.dll
C:\windows\system32\xydnqgeg.dll
C:\windows\system32\yjtchfoy.ini
C:\windows\system32\yofhctjy.dll
C:\windows\system32\yvdgbjij.ini
C:\windows\system32\yvxwbhde.dll

Beginning removal...

Attempting to delete C:\windows\system32\aipwgsve.ini
C:\windows\system32\aipwgsve.ini Has been deleted!

Attempting to delete C:\windows\system32\anypltdl.dll
C:\windows\system32\anypltdl.dll Has been deleted!

Attempting to delete C:\windows\system32\bdgtnoqw.dll
C:\windows\system32\bdgtnoqw.dll Has been deleted!

Attempting to delete C:\windows\system32\buvcuflf.dll
C:\windows\system32\buvcuflf.dll Has been deleted!

Attempting to delete C:\windows\system32\cbfonlvg.dll
C:\windows\system32\cbfonlvg.dll Has been deleted!

Attempting to delete C:\windows\system32\ccpylpow.dll
C:\windows\system32\ccpylpow.dll Has been deleted!

Attempting to delete C:\windows\system32\chqhrosr.dll
C:\windows\system32\chqhrosr.dll Has been deleted!

Attempting to delete C:\windows\system32\chqobusa.dll
C:\windows\system32\chqobusa.dll Has been deleted!

Attempting to delete C:\windows\system32\cvhyugeg.ini
C:\windows\system32\cvhyugeg.ini Has been deleted!

Attempting to delete C:\windows\system32\dapecays.dll
C:\windows\system32\dapecays.dll Has been deleted!

Attempting to delete C:\windows\system32\dawrcfft.dll
C:\windows\system32\dawrcfft.dll Has been deleted!

Attempting to delete C:\windows\system32\dkjlbrvl.dll
C:\windows\system32\dkjlbrvl.dll Has been deleted!

Attempting to delete C:\windows\system32\dskakkur.ini
C:\windows\system32\dskakkur.ini Has been deleted!

Attempting to delete C:\windows\system32\edhbwxvy.ini
C:\windows\system32\edhbwxvy.ini Has been deleted!

Attempting to delete C:\windows\system32\efavgxgn.dll
C:\windows\system32\efavgxgn.dll Has been deleted!

Attempting to delete C:\windows\system32\ekrrjohh.ini
C:\windows\system32\ekrrjohh.ini Has been deleted!

Attempting to delete C:\windows\system32\ethmflqw.ini
C:\windows\system32\ethmflqw.ini Has been deleted!

Attempting to delete C:\WINDOWS\System32\euopgrju.dll
C:\WINDOWS\System32\euopgrju.dll Has been deleted!

Attempting to delete C:\windows\system32\evakxqbo.ini
C:\windows\system32\evakxqbo.ini Has been deleted!

Attempting to delete C:\windows\system32\evsgwpia.dll
C:\windows\system32\evsgwpia.dll Has been deleted!

Attempting to delete C:\windows\system32\fftxwwyr.dll
C:\windows\system32\fftxwwyr.dll Has been deleted!

Attempting to delete C:\windows\system32\fgynaybj.ini
C:\windows\system32\fgynaybj.ini Has been deleted!

Attempting to delete C:\windows\system32\flfucvub.ini
C:\windows\system32\flfucvub.ini Has been deleted!

Attempting to delete C:\windows\system32\fqllgkal.dll
C:\windows\system32\fqllgkal.dll Has been deleted!

Attempting to delete C:\windows\system32\gegqndyx.ini
C:\windows\system32\gegqndyx.ini Has been deleted!

Attempting to delete C:\windows\system32\geguyhvc.dll
C:\windows\system32\geguyhvc.dll Has been deleted!

Attempting to delete C:\windows\system32\gvnmivwu.dll
C:\windows\system32\gvnmivwu.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\haaccunr.dll
C:\WINDOWS\System32\haaccunr.dll Has been deleted!

Attempting to delete C:\windows\system32\hhojrrke.dll
C:\windows\system32\hhojrrke.dll Has been deleted!

Attempting to delete C:\windows\system32\hpbgjkcx.dll
C:\windows\system32\hpbgjkcx.dll Has been deleted!

Attempting to delete C:\windows\system32\hpnlcvmr.dll
C:\windows\system32\hpnlcvmr.dll Has been deleted!

Attempting to delete C:\windows\system32\hupqkphk.dll
C:\windows\system32\hupqkphk.dll Has been deleted!

Attempting to delete C:\windows\system32\jbyanygf.dll
C:\windows\system32\jbyanygf.dll Has been deleted!

Attempting to delete C:\windows\system32\jehvjhrj.ini
C:\windows\system32\jehvjhrj.ini Has been deleted!

Attempting to delete C:\windows\system32\jexwduip.dll
C:\windows\system32\jexwduip.dll Has been deleted!

Attempting to delete C:\windows\system32\jijbgdvy.dll
C:\windows\system32\jijbgdvy.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\jkkjgdb.dll
C:\WINDOWS\system32\jkkjgdb.dll Could not be deleted.

Attempting to delete C:\windows\system32\jnjqljhv.dll
C:\windows\system32\jnjqljhv.dll Has been deleted!

Attempting to delete C:\windows\system32\jrhjvhej.dll
C:\windows\system32\jrhjvhej.dll Has been deleted!

Attempting to delete C:\windows\system32\kanxfrfx.ini
C:\windows\system32\kanxfrfx.ini Has been deleted!

Attempting to delete C:\windows\system32\khpkqpuh.ini
C:\windows\system32\khpkqpuh.ini Has been deleted!

Attempting to delete C:\windows\system32\kuqqdrcm.dll
C:\windows\system32\kuqqdrcm.dll Has been deleted!

Attempting to delete C:\windows\system32\lakgllqf.ini
C:\windows\system32\lakgllqf.ini Has been deleted!

Attempting to delete C:\windows\system32\lcthpgfr.dll
C:\windows\system32\lcthpgfr.dll Has been deleted!

Attempting to delete C:\windows\system32\ldtlpyna.ini
C:\windows\system32\ldtlpyna.ini Has been deleted!

Attempting to delete C:\windows\system32\ljmyfeyt.dll
C:\windows\system32\ljmyfeyt.dll Has been deleted!

Attempting to delete C:\windows\system32\lslnpjru.dll
C:\windows\system32\lslnpjru.dll Has been deleted!

Attempting to delete C:\windows\system32\lvrbljkd.ini
C:\windows\system32\lvrbljkd.ini Has been deleted!

Attempting to delete C:\windows\system32\mcrdqquk.ini
C:\windows\system32\mcrdqquk.ini Has been deleted!

Attempting to delete C:\windows\system32\nwywplob.dll
C:\windows\system32\nwywplob.dll Has been deleted!

Attempting to delete C:\windows\system32\obqxkave.dll
C:\windows\system32\obqxkave.dll Has been deleted!

Attempting to delete C:\windows\system32\odxdxoer.dll
C:\windows\system32\odxdxoer.dll Has been deleted!

Attempting to delete C:\windows\system32\ogmhpsbu.dll
C:\windows\system32\ogmhpsbu.dll Has been deleted!

Attempting to delete C:\windows\system32\ollsdiut.ini
C:\windows\system32\ollsdiut.ini Has been deleted!

Attempting to delete C:\windows\system32\ouotmbdo.dll
C:\windows\system32\ouotmbdo.dll Has been deleted!

Attempting to delete C:\windows\system32\pbtwvajq.ini
C:\windows\system32\pbtwvajq.ini Has been deleted!

Attempting to delete C:\windows\system32\qjavwtbp.dll
C:\windows\system32\qjavwtbp.dll Has been deleted!

Attempting to delete C:\windows\system32\qqfcwhfa.dll
C:\windows\system32\qqfcwhfa.dll Has been deleted!

Attempting to delete C:\windows\system32\reoxdxdo.ini
C:\windows\system32\reoxdxdo.ini Has been deleted!

Attempting to delete C:\windows\system32\rfgphtcl.ini
C:\windows\system32\rfgphtcl.ini Has been deleted!

Attempting to delete C:\windows\system32\rmvclnph.ini
C:\windows\system32\rmvclnph.ini Has been deleted!

Attempting to delete C:\windows\system32\rukkaksd.dll
C:\windows\system32\rukkaksd.dll Has been deleted!

Attempting to delete C:\windows\system32\rywwxtff.ini
C:\windows\system32\rywwxtff.ini Has been deleted!

Attempting to delete C:\windows\system32\syacepad.ini
C:\windows\system32\syacepad.ini Has been deleted!

Attempting to delete C:\windows\system32\tffcrwad.ini
C:\windows\system32\tffcrwad.ini Has been deleted!

Attempting to delete C:\windows\system32\tuidsllo.dll
C:\windows\system32\tuidsllo.dll Has been deleted!

Attempting to delete C:\windows\system32\tyefymjl.ini
C:\windows\system32\tyefymjl.ini Has been deleted!

Attempting to delete C:\windows\system32\ubsphmgo.ini
C:\windows\system32\ubsphmgo.ini Has been deleted!

Attempting to delete C:\windows\system32\urjpnlsl.ini
C:\windows\system32\urjpnlsl.ini Has been deleted!

Attempting to delete C:\windows\system32\ututv.bak1
C:\windows\system32\ututv.bak1 Has been deleted!

Attempting to delete C:\windows\system32\ututv.bak2
C:\windows\system32\ututv.bak2 Has been deleted!

Attempting to delete C:\windows\system32\ututv.ini
C:\windows\system32\ututv.ini Has been deleted!

Attempting to delete C:\windows\system32\vhjlqjnj.ini
C:\windows\system32\vhjlqjnj.ini Has been deleted!

Attempting to delete C:\windows\system32\vtphhopk.dll
C:\windows\system32\vtphhopk.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\vtutu.dll
C:\WINDOWS\System32\vtutu.dll Has been deleted!

Attempting to delete C:\windows\system32\woplypcc.ini
C:\windows\system32\woplypcc.ini Has been deleted!

Attempting to delete C:\windows\system32\wqlfmhte.dll
C:\windows\system32\wqlfmhte.dll Has been deleted!

Attempting to delete C:\windows\system32\xckjgbph.ini
C:\windows\system32\xckjgbph.ini Has been deleted!

Attempting to delete C:\windows\system32\xfrfxnak.dll
C:\windows\system32\xfrfxnak.dll Has been deleted!

Attempting to delete C:\windows\system32\xydnqgeg.dll
C:\windows\system32\xydnqgeg.dll Has been deleted!

Attempting to delete C:\windows\system32\yjtchfoy.ini
C:\windows\system32\yjtchfoy.ini Has been deleted!

Attempting to delete C:\windows\system32\yofhctjy.dll
C:\windows\system32\yofhctjy.dll Has been deleted!

Attempting to delete C:\windows\system32\yvdgbjij.ini
C:\windows\system32\yvdgbjij.ini Has been deleted!

Attempting to delete C:\windows\system32\yvxwbhde.dll
C:\windows\system32\yvxwbhde.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\jkkjgdb.dll
C:\WINDOWS\system32\jkkjgdb.dll Has been deleted!

Performing Repairs to the registry.
Done!



RAPPORT COMBOFIX

ComboFix 07-11-19.4C - Arnaud 2007-12-01 14:52:23.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.243 [GMT 1:00]
Running from: C:\Documents and Settings\Arnaud\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((( Fichiers créés 2007-11-01 to 2007-12-01 ))))))))))))))))))))))))))))))))))))
.

2007-12-01 14:14 <REP> d-------- C:\VundoFix Backups
2007-11-18 21:47 <REP> d-------- C:\Program Files\Trend Micro

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-01 09:40 --------- d-----w C:\Documents and Settings\Arnaud\Application Data\AVG7
2007-11-27 21:38 --------- d-----w C:\Program Files\eMule
2007-11-27 20:11 --------- d-----w C:\Documents and Settings\Arnaud\Application Data\Skype
2007-10-12 18:54 --------- d-----w C:\Program Files\MSN Messenger
2007-07-10 10:21 949,344 --sh--w C:\WINDOWS\system32\wybeg.ini2
.

((((((((((((((((((((((((((((( snapshot@2007-12-01_14.46.29.28 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-12-01 13:23:23 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2007-12-01 13:45:46 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2007-12-01 13:23:23 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2007-12-01 13:45:46 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2007-12-01 13:23:23 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2007-12-01 13:45:46 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{15A92814-C893-42A1-8E42-62AF37E370A2}]
C:\WINDOWS\System32\chqhrosr.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D62792F8-A855-49B6-9645-1688A9E28BFC}]
C:\WINDOWS\System32\vtutu.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 18:40]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-11-06 18:30]
"SoundMan"="SOUNDMAN.EXE" [2002-08-15 05:46 C:\WINDOWS\SOUNDMAN.EXE]
"zBrowser Launcher"="C:\Program Files\Logitech\iTouch\iTouch.exe" [2002-07-22 01:10]
"LVCOMS"="C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE" [2002-12-10 16:54]
"LogitechGalleryRepair"="C:\Program Files\Logitech\ImageStudio\ISStart.exe" [2002-12-10 17:32]
"LogitechImageStudioTray"="C:\Program Files\Logitech\ImageStudio\LogiTray.exe" [2002-12-10 17:31]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 12:45]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-11-06 18:30]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Notification Packages"= :\WINDOW

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2002-08-29 12:45 13312 --a------ C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GPLv3]
rundll32.exe C:\WINDOWS\System32\jbyanygf.dll,realset

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
2004-02-25 00:20 401491 --a------ C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsft Security Monitor Process]
mssmpp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Internet Explorer]
C:\WINDOWS\System32\iexplore.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2007-02-13 19:29 35328 --a------ C:\Program Files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ztnjhdxr]
c:\windows\system32\ztnjhdxr.exe ztnjhdxr

S3 SetupNTGLM7X;SetupNTGLM7X;\??\E:\NTGLM7X.sys

.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-01 14:52:54
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-01 14:53:21
C:\ComboFix2.txt ... 2007-12-01 14:51
.
--- E O F ---



RAPPORT HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:55:49, on 01/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Logitech\ImageStudio\LowLight.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Trend Micro\HijackThis\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {15A92814-C893-42A1-8E42-62AF37E370A2} - C:\WINDOWS\System32\chqhrosr.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D62792F8-A855-49B6-9645-1688A9E28BFC} - C:\WINDOWS\System32\vtutu.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

--
End of file - 5071 bytes

Contenus similaires
1 Décembre 2007 15:18:32

Très beau ménage de la part de Vundofix.

Télécharge Navilog (de Il-Mafioso)

Enregistre-le sur ton Bureau.
Installe-le en double cliquant sur navilog.exe.
Une fois l'installation terminée, l'utilitaire s'exécutera automatiquement.
(Si ce n'est pas le cas, double clique sur le raccourci présent sur le Bureau)

Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
! N'utilise pas l'option 2,3 et 4 sans notre accord !
Patiente jusqu'à l'apparition de ce message :
"*** Analyse Termine le ..... ***"
Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste le rapport ici.

Le rapport se trouve ici :C:\fixnavi.txt
1 Décembre 2007 15:28:31

OK. Merci merci.
A.

Voici le rapport fixnavi :

Search Navipromo version 3.3.6 commencé le 01/12/2007 à 15:27:24,54

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106


*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Arnaud\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\ARNAUD\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans C:\DOCUME~1\ARNAUD\LOCALS~1\APPLIC~1 *



*** Recherche fichiers ***




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:
C:\WINDOWS\system32\wybeg.ini2 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche Heuristique :



3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse terminée le 01/12/2007 à 15:28:06,98 ***
1 Décembre 2007 16:03:34

Bizarre !

Copie le texte se situant dans le cadre ci-dessous :

File::
c:\windows\system32\ztnjhdxr.exe
C:\WINDOWS\system32\ztnjhdxr.dat
C:\WINDOWS\system32\ztnjhdxr.dat
C:\WINDOWS\system32\ztnjhdxr_navps.dat
C:\WINDOWS\System32\mssmpp.exe
C:\WINDOWS\System32\jbyanygf.dll
C:\WINDOWS\System32\chqhrosr.dll
C:\WINDOWS\System32\vtutu.dll
C:\WINDOWS\system32\wybeg.ini2

Folder::
C:\VundoFix Backups

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ztnjhdxr]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsft Security Monitor Process]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GPLv3]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{15A92814-C893-42A1-8E42-62AF37E370A2}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D62792F8-A855-49B6-9645-1688A9E28BFC}]


Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
S'il n'y a pas de rédémarrage, poste quand même les rapports.
1 Décembre 2007 16:29:25

OK OK.

voila le nouveau rapport combofix (et le rapport hijjack deriere).
Un Merci de plus !

ComboFix 07-11-19.4C - Arnaud 2007-12-01 16:21:57.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.102 [GMT 1:00]
Running from: C:\Documents and Settings\Arnaud\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Arnaud\Bureau\CFScript.txt..txt
* Created a new restore point

FILE
C:\WINDOWS\System32\chqhrosr.dll
C:\WINDOWS\System32\jbyanygf.dll
C:\WINDOWS\System32\mssmpp.exe
C:\WINDOWS\System32\vtutu.dll
C:\WINDOWS\system32\wybeg.ini2
C:\WINDOWS\system32\ztnjhdxr.dat
c:\windows\system32\ztnjhdxr.exe
C:\WINDOWS\system32\ztnjhdxr_navps.dat
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\VundoFix Backups
C:\VundoFix Backups\aipwgsve.ini.bad
C:\VundoFix Backups\anypltdl.dll.bad
C:\VundoFix Backups\bdgtnoqw.dll.bad
C:\VundoFix Backups\buvcuflf.dll.bad
C:\VundoFix Backups\cbfonlvg.dll.bad
C:\VundoFix Backups\ccpylpow.dll.bad
C:\VundoFix Backups\chqhrosr.dll.bad
C:\VundoFix Backups\chqobusa.dll.bad
C:\VundoFix Backups\cvhyugeg.ini.bad
C:\VundoFix Backups\dapecays.dll.bad
C:\VundoFix Backups\dawrcfft.dll.bad
C:\VundoFix Backups\dkjlbrvl.dll.bad
C:\VundoFix Backups\dskakkur.ini.bad
C:\VundoFix Backups\edhbwxvy.ini.bad
C:\VundoFix Backups\efavgxgn.dll.bad
C:\VundoFix Backups\ekrrjohh.ini.bad
C:\VundoFix Backups\ethmflqw.ini.bad
C:\VundoFix Backups\euopgrju.dll.bad
C:\VundoFix Backups\evakxqbo.ini.bad
C:\VundoFix Backups\evsgwpia.dll.bad
C:\VundoFix Backups\fftxwwyr.dll.bad
C:\VundoFix Backups\fgynaybj.ini.bad
C:\VundoFix Backups\flfucvub.ini.bad
C:\VundoFix Backups\fqllgkal.dll.bad
C:\VundoFix Backups\gegqndyx.ini.bad
C:\VundoFix Backups\geguyhvc.dll.bad
C:\VundoFix Backups\gvnmivwu.dll.bad
C:\VundoFix Backups\haaccunr.dll.bad
C:\VundoFix Backups\hhojrrke.dll.bad
C:\VundoFix Backups\hpbgjkcx.dll.bad
C:\VundoFix Backups\hpnlcvmr.dll.bad
C:\VundoFix Backups\hupqkphk.dll.bad
C:\VundoFix Backups\jbyanygf.dll.bad
C:\VundoFix Backups\jehvjhrj.ini.bad
C:\VundoFix Backups\jexwduip.dll.bad
C:\VundoFix Backups\jijbgdvy.dll.bad
C:\VundoFix Backups\jkkjgdb.dll.bad
C:\VundoFix Backups\jnjqljhv.dll.bad
C:\VundoFix Backups\jrhjvhej.dll.bad
C:\VundoFix Backups\kanxfrfx.ini.bad
C:\VundoFix Backups\khpkqpuh.ini.bad
C:\VundoFix Backups\kuqqdrcm.dll.bad
C:\VundoFix Backups\lakgllqf.ini.bad
C:\VundoFix Backups\lcthpgfr.dll.bad
C:\VundoFix Backups\ldtlpyna.ini.bad
C:\VundoFix Backups\ljmyfeyt.dll.bad
C:\VundoFix Backups\lslnpjru.dll.bad
C:\VundoFix Backups\lvrbljkd.ini.bad
C:\VundoFix Backups\mcrdqquk.ini.bad
C:\VundoFix Backups\nwywplob.dll.bad
C:\VundoFix Backups\obqxkave.dll.bad
C:\VundoFix Backups\odxdxoer.dll.bad
C:\VundoFix Backups\ogmhpsbu.dll.bad
C:\VundoFix Backups\ollsdiut.ini.bad
C:\VundoFix Backups\ouotmbdo.dll.bad
C:\VundoFix Backups\pbtwvajq.ini.bad
C:\VundoFix Backups\qjavwtbp.dll.bad
C:\VundoFix Backups\qqfcwhfa.dll.bad
C:\VundoFix Backups\reoxdxdo.ini.bad
C:\VundoFix Backups\rfgphtcl.ini.bad
C:\VundoFix Backups\rmvclnph.ini.bad
C:\VundoFix Backups\rukkaksd.dll.bad
C:\VundoFix Backups\rywwxtff.ini.bad
C:\VundoFix Backups\syacepad.ini.bad
C:\VundoFix Backups\tffcrwad.ini.bad
C:\VundoFix Backups\tuidsllo.dll.bad
C:\VundoFix Backups\tyefymjl.ini.bad
C:\VundoFix Backups\ubsphmgo.ini.bad
C:\VundoFix Backups\urjpnlsl.ini.bad
C:\VundoFix Backups\ututv.bak1.bad
C:\VundoFix Backups\ututv.bak2.bad
C:\VundoFix Backups\ututv.ini.bad
C:\VundoFix Backups\vhjlqjnj.ini.bad
C:\VundoFix Backups\vtphhopk.dll.bad
C:\VundoFix Backups\vtutu.dll.bad
C:\VundoFix Backups\woplypcc.ini.bad
C:\VundoFix Backups\wqlfmhte.dll.bad
C:\VundoFix Backups\xckjgbph.ini.bad
C:\VundoFix Backups\xfrfxnak.dll.bad
C:\VundoFix Backups\xydnqgeg.dll.bad
C:\VundoFix Backups\yjtchfoy.ini.bad
C:\VundoFix Backups\yofhctjy.dll.bad
C:\VundoFix Backups\yvdgbjij.ini.bad
C:\VundoFix Backups\yvxwbhde.dll.bad
C:\WINDOWS\system32\wybeg.ini2

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-01 to 2007-12-01 ))))))))))))))))))))))))))))))))))))
.

2007-12-01 15:26 <REP> d-------- C:\Program Files\Navilog1
2007-11-18 21:47 <REP> d-------- C:\Program Files\Trend Micro

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-01 15:03 --------- d-----w C:\Program Files\eMule
2007-12-01 14:11 --------- d-----w C:\Documents and Settings\Arnaud\Application Data\AVG7
2007-11-27 20:11 --------- d-----w C:\Documents and Settings\Arnaud\Application Data\Skype
2007-10-12 18:54 --------- d-----w C:\Program Files\MSN Messenger
.

((((((((((((((((((((((((((((( snapshot@2007-12-01_14.46.29.28 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-12-01 13:23:23 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2007-12-01 13:45:46 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2007-12-01 13:23:23 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2007-12-01 13:45:46 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2007-12-01 13:23:23 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2007-12-01 13:45:46 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2007-12-01 15:24:59 28,160 ---ha-w C:\WINDOWS\system32\pjslkmy.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 18:40]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-11-06 18:30]
"SoundMan"="SOUNDMAN.EXE" [2002-08-15 05:46 C:\WINDOWS\SOUNDMAN.EXE]
"zBrowser Launcher"="C:\Program Files\Logitech\iTouch\iTouch.exe" [2002-07-22 01:10]
"LVCOMS"="C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE" [2002-12-10 16:54]
"LogitechGalleryRepair"="C:\Program Files\Logitech\ImageStudio\ISStart.exe" [2002-12-10 17:32]
"LogitechImageStudioTray"="C:\Program Files\Logitech\ImageStudio\LogiTray.exe" [2002-12-10 17:31]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 12:45]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-11-06 18:30]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Notification Packages"= :\WINDOW

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2002-08-29 12:45 13312 --a------ C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
2004-02-25 00:20 401491 --a------ C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Internet Explorer]
C:\WINDOWS\System32\iexplore.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2007-02-13 19:29 35328 --a------ C:\Program Files\Winamp\winampa.exe


.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-01 16:24:42
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************
.
Completion time: 2007-12-01 16:26:08 - machine was rebooted
C:\ComboFix2.txt ... 2007-12-01 14:53
C:\ComboFix3.txt ... 2007-12-01 14:51
.
--- E O F ---

et le rapport Hijjack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:28:53, on 01/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\Program Files\Logitech\ImageStudio\LowLight.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

--
End of file - 4855 bytes
1 Décembre 2007 16:54:03

Re,

C'est beaucoup mieux ;)  Et de ton côté ?

Clique sur démarrer --> exécuter, tape CMD puis valide par ok.
Colle ligne par ligne en validant entre deux (par entrée) les lignes suivantes dans la fenêtre noire qui apparaît.
del "C:\WINDOWS\system32\pjslkmy.exe"


+++++++++

Télécharge sur ton bureau : Clean (de Malekal) >Tuto<
Dézippe le sur ton bureau. Double-clic sur ce dossier clean.
Double-clic sur clean.cmd. (L’extension cmd peut ne pas apparaître) Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 puis entrée. Ensuite appuies sur une touche comme il te sera demandé et poste le rapport ici.
Le rapport se trouve ici : C:\rapport_clean.txt

Si tu obtiens un fichier C:\upload_moi.zip, merci de faire ceci.
1 Décembre 2007 20:20:30

Ouf....
Mon PC s'est de nouveau arreté subitement, avec impossible de le redemarré pdt 30min. IL me semble par contre qu'il tourne plus vite. De plus certaine 'applications" essayant de se connecté au net ont disparu ! c'est bon signe.

J'ai fait la derniere manip' que tu decris. Par contre j'ai pas pu effacé le fichier pjslkmy.exe en utilisant del, mais j'ai réussi avec l'explorateur de fichier windows (d'habitude c'est plutot l'inverse , mais bon).
Voici le rapport , il me semble bien vide ......
Alors ???
Merci de ton aide.

01/12/2007 a 20:15:51,82

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\mcrh.tmp FOUND

*** Recherche des fichiers dans C:\Program Files
1 Décembre 2007 20:38:14

Re,

Avec tout ce qu'on a supprimé d'infectieux, ton ordi devrait aller beaucoup mieux ;) 

Télécharge AVG Anti-Spyware Installes-le.
Si le lien ne fonctionne pas : >Clique ici<
Lance AVG et fais une mise à jour.
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglet comment réagir, clique sur Actions recommandées. Choisis Quarantaine.
Ne fais pas d’analyse pour le moment.
Redémarre en mode sans échec
/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\
Relance Avg.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas.
Clique sur "Enregistrer le rapport". Ceci génère un rapport qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.
Poste le ici.
&
Toujours en mode sans échec, relance clean et fais l'option 2, poste le rapport.
1 Décembre 2007 21:02:15

Super. Mais je dois partir au resto (anniv' de ma copine). Je fais ca demaine matin !
Merci merci a toi !
A demain.
2 Décembre 2007 14:17:09

Et hop. J'ai fait les dernieres manip' avec avg et clean : voici les 2 rapports :
Merci encore de ton aide.

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 11:37:31 02/12/2007

+ Résultat de l'analyse:



C:\SDFix\backups\backups.zip/backups/i -> Downloader.Ftp.ab : Nettoyé.
:mozilla.81:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.158:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
:mozilla.175:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Adrevolver : Nettoyé.
:mozilla.176:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Adrevolver : Nettoyé.
:mozilla.177:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Adrevolver : Nettoyé.
:mozilla.178:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Adrevolver : Nettoyé.
:mozilla.179:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Adrevolver : Nettoyé.
:mozilla.180:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Adrevolver : Nettoyé.
:mozilla.181:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Adrevolver : Nettoyé.
:mozilla.107:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.
:mozilla.160:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.161:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.162:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.163:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.164:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.20:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Arnaud\Cookies\arnaud@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.21:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Arnaud\Cookies\arnaud@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
:mozilla.295:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Casinotropez : Nettoyé.
:mozilla.207:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.
:mozilla.208:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.
:mozilla.209:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.
C:\Documents and Settings\Arnaud\Cookies\arnaud@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Nettoyé.
:mozilla.61:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.
:mozilla.70:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Estat : Nettoyé.
:mozilla.225:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Googleadservices : Nettoyé.
:mozilla.326:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Hitbox : Nettoyé.
:mozilla.327:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Hitbox : Nettoyé.
:mozilla.328:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Hitbox : Nettoyé.
:mozilla.252:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Documents and Settings\Arnaud\Cookies\arnaud@ie.search.msn[1].txt -> TrackingCookie.Msn : Nettoyé.
:mozilla.120:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Netflame : Nettoyé.
:mozilla.63:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Overture : Nettoyé.
:mozilla.132:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Questionmarket : Nettoyé.
:mozilla.133:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Questionmarket : Nettoyé.
:mozilla.171:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Realmedia : Nettoyé.
:mozilla.211:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.212:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.213:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.214:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.215:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.216:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.217:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Arnaud\Cookies\arnaud@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Arnaud\Cookies\arnaud@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.19:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.22:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.23:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.24:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.28:C:\WINDOWS\system32\config\systemprofile\Application Data\Mozilla\Firefox\Profiles\zcb84cyu.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.29:C:\WINDOWS\system32\config\systemprofile\Application Data\Mozilla\Firefox\Profiles\zcb84cyu.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.30:C:\WINDOWS\system32\config\systemprofile\Application Data\Mozilla\Firefox\Profiles\zcb84cyu.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Arnaud\Cookies\arnaud@smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.108:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
:mozilla.109:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
:mozilla.110:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
:mozilla.111:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
:mozilla.182:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Trafficmp : Nettoyé.
:mozilla.183:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Trafficmp : Nettoyé.
:mozilla.184:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Trafficmp : Nettoyé.
:mozilla.185:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Trafficmp : Nettoyé.
:mozilla.186:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Trafficmp : Nettoyé.
:mozilla.187:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Tribalfusion : Nettoyé.
:mozilla.24:C:\WINDOWS\system32\config\systemprofile\Application Data\Mozilla\Firefox\Profiles\zcb84cyu.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.46:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.47:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.48:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Arnaud\Cookies\arnaud@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.27:C:\WINDOWS\system32\config\systemprofile\Application Data\Mozilla\Firefox\Profiles\zcb84cyu.default\cookies.txt -> TrackingCookie.Webtrends : Nettoyé.
:mozilla.299:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Webtrends : Nettoyé.
:mozilla.169:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.172:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.173:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.174:C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\b9c632u6.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.


Fin du rapport

RAPPORT CLEAN:
Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 02/12/2007 a 14:10:05,10

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\mcrh.tmp

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
2 Décembre 2007 14:18:25

Re,

Reposte un Hijackthis ;) 
2 Décembre 2007 14:22:03

le voila !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:22:24, on 02/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Logitech\ImageStudio\LowLight.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

--
End of file - 5245 bytes
2 Décembre 2007 14:48:52

Re,

Relance HiJackThis, do a system scan only, coche ces lignes :
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

Puis Fix Checked !

Supprime C:\Qoobox

Fais une analyse antivirus en ligne sur Kaspersky avec Internet Explorer. (Tuto)
Autorise les active x.
Clique sur Démarrer Online Scanner.
Sélectionne le poste de travail comme analyse. Enregistres sous le rapport en format .txt.
Colle son rapport ici.

2 Décembre 2007 20:34:50

Bonsoir,

Bon...
J'ai fit sans pb la mamip avec hijack et effacé le rep Qoobox.
Par contre, j'ai passé l'apres midi a essayé de faire l'analyse en ligne Kaspersky et la, impossible : apres 15min (4-5%), le PC s'arrete tout simplement : black out et impossible de le rallumer pdt 20min !!! (appuyant sur le bouton ON)
J'ai fait la manip 4-5 fois et tjs pareil.
En plus, je viens de le rallumer et depuis que je tape ce message mon antivirus AVG arrete pas de m'envoyter des message me disant qu'il adetecté des virus, chose que jamais il n'avait fiat !!! voici la liste (en 2min !)

cbzqa.exe
fevd.exe
mlizf.exe
nhxerxod.exe
sxyrcbc.exe
yzonn.exe

Je me croyais presque sorti d'affaire, snif .
Que dois-je faire ????
Mille mercis.
rapport hijack :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:35:41, on 02/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Logitech\ImageStudio\LowLight.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
F:\7 - Logiciels divers\Enlever VIRUS !\VundoFix.exe
C:\Program Files\Trend Micro\HijackThis\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavweb...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

--
End of file - 5038 bytes




2 Décembre 2007 22:59:36

Repasse Combofix, poste le raport.
2 Décembre 2007 23:19:16

et hop

ComboFix 07-11-19.4C - Arnaud 2007-12-02 23:16:41.5 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.156 [GMT 1:00]
Running from: C:\Documents and Settings\Arnaud\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((( Fichiers créés 2007-11-02 to 2007-12-02 ))))))))))))))))))))))))))))))))))))
.

2007-12-02 22:46 22,016 --ah----- C:\WINDOWS\system32\kmeuhqjo.exe
2007-12-02 20:28 <REP> d-------- C:\VundoFix Backups
2007-12-02 17:21 0 --ah----- C:\WINDOWS\system32\jltdp.exe
2007-12-02 16:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2007-12-01 20:59 <REP> d-------- C:\Documents and Settings\Arnaud\Application Data\Grisoft
2007-12-01 20:58 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-01 15:26 <REP> d-------- C:\Program Files\Navilog1
2007-12-01 14:04 <REP> d-------- C:\WINDOWS\SDFIX
2007-11-18 21:47 <REP> d-------- C:\Program Files\Trend Micro

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-02 21:43 46,686 --sh--r C:\WINDOWS\Acronis.exe
2007-12-02 21:43 46,686 ----a-w C:\WINDOWS\system32\tba.exe
2007-12-02 19:53 --------- d-----w C:\Documents and Settings\Arnaud\Application Data\AVG7
2007-12-02 19:26 15,188 ---ha-w C:\WINDOWS\system32\vtufsxb.exe
2007-12-02 15:01 --------- d-----w C:\Program Files\eMule
2007-12-02 08:58 13,824 ---ha-w C:\WINDOWS\system32\yzonn.exe
2007-12-01 19:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-01 16:33 --------- d-----w C:\Documents and Settings\Arnaud\Application Data\Skype
2007-10-12 18:54 --------- d-----w C:\Program Files\MSN Messenger
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 18:40]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-11-06 18:30]
"SoundMan"="SOUNDMAN.EXE" [2002-08-15 05:46 C:\WINDOWS\SOUNDMAN.EXE]
"zBrowser Launcher"="C:\Program Files\Logitech\iTouch\iTouch.exe" [2002-07-22 01:10]
"LVCOMS"="C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE" [2002-12-10 16:54]
"LogitechGalleryRepair"="C:\Program Files\Logitech\ImageStudio\ISStart.exe" [2002-12-10 17:32]
"LogitechImageStudioTray"="C:\Program Files\Logitech\ImageStudio\LogiTray.exe" [2002-12-10 17:31]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
"Acronis.exe"="C:\WINDOWS\Acronis.exe" [2007-12-02 22:43]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 12:45]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-11-06 18:30]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Notification Packages"= :\WINDOW

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2002-08-29 12:45 13312 --a------ C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
2004-02-25 00:20 401491 --a------ C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Internet Explorer]
C:\WINDOWS\System32\iexplore.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2007-02-13 19:29 35328 --a------ C:\Program Files\Winamp\winampa.exe

S3 SetupNTGLM7X;SetupNTGLM7X;\??\E:\NTGLM7X.sys

.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-02 23:18:33
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-02 23:19:48
C:\ComboFix2.txt ... 2007-12-01 16:26
C:\ComboFix3.txt ... 2007-12-01 14:53
.
--- E O F ---
2 Décembre 2007 23:23:33

Re,

Copie le texte se situant dans le cadre ci-dessous :

File::
C:\WINDOWS\Acronis.exe
C:\WINDOWS\system32\tba.exe
C:\WINDOWS\system32\vtufsxb.exe
C:\WINDOWS\system32\yzonn.exe
C:\WINDOWS\system32\kmeuhqjo.exe
C:\WINDOWS\system32\jltdp.exe

Folder::
C:\VundoFix Backups

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Acronis.exe"=-


Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
S'il n'y a pas de rédémarrage, poste quand même les rapports.

3 Décembre 2007 08:48:55

Bonjour,

J'ai repassé combofix, je donne le rapport en dessous et celui Hijack.

Par contre, ce matin en allumant l'ordi (apres un we compliqué donc), j'ai eu le message suivant apres l'ouverture de xp :
"debugger detected. Please close it down and restart. Windows NT users : please note that havinig the WInIce/SoftIce services installed means that you are running a debugger".
Je suis au boulot toute a journée, je m'occupe de ca ce soir.
Merci beaucoup de ton aide.

rapport combofix:
ComboFix 07-11-19.4C - Arnaud 2007-12-03 8:36:55.6 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.106 [GMT 1:00]
Running from: C:\Documents and Settings\Arnaud\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Arnaud\Bureau\CFScript.txt
* Created a new restore point

FILE
C:\WINDOWS\Acronis.exe
C:\WINDOWS\system32\jltdp.exe
C:\WINDOWS\system32\kmeuhqjo.exe
C:\WINDOWS\system32\tba.exe
C:\WINDOWS\system32\vtufsxb.exe
C:\WINDOWS\system32\yzonn.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\VundoFix Backups
C:\WINDOWS\Acronis.exe
C:\WINDOWS\system32\jltdp.exe
C:\WINDOWS\system32\kmeuhqjo.exe
C:\WINDOWS\system32\tba.exe
C:\WINDOWS\system32\vtufsxb.exe
C:\WINDOWS\system32\yzonn.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2007-11-03 to 2007-12-03 ))))))))))))))))))))))))))))))))))))
.

2007-12-02 22:43 46,846 --a------ C:\WINDOWS\Marry_Christmas_jpg.zip
2007-12-02 16:32 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-12-02 16:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2007-12-01 20:59 <REP> d-------- C:\Documents and Settings\Arnaud\Application Data\Grisoft
2007-12-01 20:58 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-01 15:26 <REP> d-------- C:\Program Files\Navilog1
2007-12-01 14:04 <REP> d-------- C:\WINDOWS\SDFIX
2007-11-18 21:47 <REP> d-------- C:\Program Files\Trend Micro

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-03 07:27 --------- d-----w C:\Documents and Settings\Arnaud\Application Data\AVG7
2007-12-02 15:01 --------- d-----w C:\Program Files\eMule
2007-12-01 19:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-01 16:33 --------- d-----w C:\Documents and Settings\Arnaud\Application Data\Skype
2007-10-12 18:54 --------- d-----w C:\Program Files\MSN Messenger
.

((((((((((((((((((((((((((((( snapshot@2007-12-02_23.18.37,53 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-12-02 21:46:50 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2007-12-03 07:27:19 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2007-12-02 21:46:50 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2007-12-03 07:27:19 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2007-12-02 21:46:50 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2007-12-03 07:27:19 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2007-12-02 22:16:33 249,856 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
+ 2007-12-03 07:36:48 249,856 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 18:40]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-11-06 18:30]
"SoundMan"="SOUNDMAN.EXE" [2002-08-15 05:46 C:\WINDOWS\SOUNDMAN.EXE]
"zBrowser Launcher"="C:\Program Files\Logitech\iTouch\iTouch.exe" [2002-07-22 01:10]
"LVCOMS"="C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE" [2002-12-10 16:54]
"LogitechGalleryRepair"="C:\Program Files\Logitech\ImageStudio\ISStart.exe" [2002-12-10 17:32]
"LogitechImageStudioTray"="C:\Program Files\Logitech\ImageStudio\LogiTray.exe" [2002-12-10 17:31]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 12:45]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-11-06 18:30]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Notification Packages"= :\WINDOW

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2002-08-29 12:45 13312 --a------ C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
2004-02-25 00:20 401491 --a------ C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Internet Explorer]
C:\WINDOWS\System32\iexplore.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2007-02-13 19:29 35328 --a------ C:\Program Files\Winamp\winampa.exe

S3 SetupNTGLM7X;SetupNTGLM7X;\??\E:\NTGLM7X.sys

.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-03 08:38:14
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-03 8:38:48
C:\ComboFix2.txt ... 2007-12-02 23:19
C:\ComboFix3.txt ... 2007-12-01 16:26
.
--- E O F ---

rapport hijak
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:49:19, on 03/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Logitech\ImageStudio\LowLight.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavweb...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

--
End of file - 5000 bytes

3 Décembre 2007 20:20:34

Re,

Supprime C:\WINDOWS\Marry_Christmas_jpg.zip

Fais une analye antivirus en ligne sur Bitdefender avec Internet Explorer. (Tuto)
Clique en bas à gauche sur "Scan on line".
Puis, accepte la licence et laisse-le installer l'ActiveX.
Laisse-toi guider. Colle son rapport ici.
3 Décembre 2007 21:50:53

Bonsoir,

Je suis vraiment deseperé : j'ai lancé le scan en ligne bitedefender, et paf, comme avec le scan en ligne Kasperky, le pc s'est soudainement eteint au bout de 20 min, et impossible de le redemarré pdt 20 min. Je me suis dit que c'etait peut etre tout simplement un pb de surchauffe du HW, mais si je fait rien, le pc peut rester allumer toute l'apres midi sans s'eteindre...
Je relance le scan en ligne pour voir, j'ai bougé mon UC histoire qu'elle soit bien au frais.
Franchement je capte plus !
C'est possible un sale virus ou autre qui arrete mon pc quand on le touche (scan) et qui empeche le redemarrage ?
Merci de ton aide.
3 Décembre 2007 22:11:05

Re,

Tan pis pour le scan en ligne.
Tu peux esssayer un scan en sans échec avec ton propre av ?
4 Décembre 2007 20:16:50

Bonsoir,

J'ai passé mon antivirus AVG Free edition (pas en mode sans echec) et le scan a été au bout.
2 choses detectées :
C:\WINDOWS\system32\drivers\etc\hosts
Result : Change
Status : changed

C:\WINDOWS\system32\mejf.exe (trojan horse BackDoor.VB.LJ)
Status : deleted

Y'a t'il d'autres choses a faire ???
Merci.


4 Décembre 2007 20:21:27

Toujours des problèmes ?
4 Décembre 2007 20:30:40

- Le PC tourne beaucoup plus vite.
- Je n'ai plus de fenetre intempestive (cela est surement du au fait que AVG antispyware est installé avec l'option bouclier resident de la version evaluation pdt 30j :que se passerara t'il ensuite.....)
- le pc ne s'est pas eteint tout seul sauf lors des scan en ligne.
-par contre je suis etonnée mon av AVG ne detectait jamais de visrus ou autres.... Depuis 2 jours, j'ai des message regulier de virus detectés et maitrisés !!!
Derniere question : faut il que je passe regulierement les remove undo , combofix et autres ???

Franchement je trouve que tu as fait du super boulot !!!!
Merci encore de ton aide et de ta disponibilité, c'est vraiment super ce que tu fais pour les autres.
Arnaud.



4 Décembre 2007 20:33:49

Re,

Pour les pubs, c'est ce qu'on a fait avant, pas avg :p 

Tu n'auras plus la protection résidente et les Maj auto, c'est en aucun grave et ça te fera gagner ou pas perdre des ressources physiques.

Il te fait encore des alertes avg ?
4 Décembre 2007 21:00:06

Non, j'ai pas eu de message AVG depuis 2h.
Je viens de passer avg antispyware qui a enlevé 56 trucs, dont 2 "elevé"

Pour ce soir donc, ca se passe plutot bien pour l'instant.
4 Décembre 2007 21:01:45

J'y pense : j'ai attrapé tout ces trucs avec AVG, Sygate, adware spyboot utilisés regulierement !
Faut il que je fasse quelques choses pour ne pas rattrapé des trucs ? MAJ de windows XP ? autres logiciels de protections, refaire tes manips regulierement ???
4 Décembre 2007 21:04:13

Mets le Pack SP2 pour ton Windows. Tu le trouveras très facilement.
Surtout pas d'auters logiciels de protection, retire adaware et spybot. La surprotection va te faire ramer.
Le moyen de pas rattraper, avoir des bonnes navigations ;) 
4 Décembre 2007 21:36:51

Je viens d'installer le SP2. Faut il que j'active les MAJ de windows (MAJ auto ou autres ) ?
Merci !!!
4 Décembre 2007 21:38:44

Oui, bien-sûr => Maj auto ;) 
4 Décembre 2007 21:45:46

Super.
Merci encore de ton aide.
4 Décembre 2007 23:42:34

De rien, bonne soirée ;) 
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS