Se connecter / S'enregistrer
Votre question

Ordinateur infecté (pubs antivirus + msg barre de taches)

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
19 Novembre 2007 19:31:31

bonsoir,
Meme probleme que certains..
Depuis hier des pages IE s'ouvrent en me demandant de telecharger des antivirus etc...
quelqu'un peut m'aider a l'enlever..
merci

Autres pages sur : ordinateur infecte pubs antivirus msg barre taches

19 Novembre 2007 19:42:45

Salut,


Télécharge Hijackthis (de Trend Micro)
Poste un rapport en suivant ce tuto.
19 Novembre 2007 19:54:01

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:35:42, on 19/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\mrofinu1188.exe
C:\WINDOWS\Fonts\svchost.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\LOCALS~1\Temp\Rar$EX03.906\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\bnyrvjyb.dll
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1188.exe 61A847B5BBF72813339330466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKLM\..\Run: [5c5ecc0f] rundll32.exe "C:\WINDOWS\system32\phjcguml.dll",b
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Rechercher avec Voila - file://C:\Program Files\WANADOO_TOOLBAR\Cache\SelectedContextSearch.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\dtv\EXPLBAR.DLL
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c006ACAA.dat
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 6772 bytes
Contenus similaires
19 Novembre 2007 19:56:46


Infection Vundo :

Fais ces manips dans l’ordre :

1/ Télécharge VundoFix.exe (d’ Atribune) :

Double-clique VundoFix.exe .
Clique sur Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Ensuite clique sur YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu auras un message comme quoi l’ordinateur va s’éteindre, fais ok

Poste le rapport qui se trouve dans C:\vundofix.txt

2/ Télécharge Combofix (de sUBs) sur ton Bureau.

Désactive toute protection résidente ! (Antivirus, antispywares..)
Double clique combofix.exe.
Tape sur la touche 1 (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

Le rapport se trouve ici : C:\Combofix.txt

3/ Poste un nouveau rapport HiJackThis (en ayant renommé HiJackthis.exe en SCANNER.EXE)
19 Novembre 2007 20:24:08

Le PC a redémarré mais il n'y a plus que la fenetre de vundo il restait un fichier qui n'avais pas été supprimé j'ai donc cliqué sur Remove Vundo et depuis rien ne se passe. Reboot??
19 Novembre 2007 20:26:33

Tu peux rebooter, et tu me posteras le rapport Vundofix ?
Après avoir fait le reste ;) 
19 Novembre 2007 20:28:36

ok je poste le rapport des que je peut y acceder.
19 Novembre 2007 20:38:04



VundoFix V6.6.2
Le reste arrive des que possible


Checking Java version...

Java version is 1.4.2.5
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.4
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Scan started at 19:39:03 19/11/2007

Listing files found while scanning....

C:\windows\system32\__c006ACAA.dat
C:\windows\system32\__c00D7B0B.dat
C:\windows\system32\atcnfool.dll
C:\WINDOWS\system32\bnyrvjyb.dll
C:\windows\system32\bnyrvjyb.dllbox
C:\windows\system32\dxgpadpb.dll
C:\windows\system32\gebyy.dll
C:\windows\system32\jsqidljk.dll
C:\windows\system32\ksmmtqwc.dllbox
C:\windows\system32\lsywchdv.dll
C:\windows\system32\udthacox.dll
C:\windows\system32\yybeg.ini
C:\windows\system32\yybeg.ini2

Beginning removal...

Attempting to delete C:\windows\system32\__c006ACAA.dat
C:\windows\system32\__c006ACAA.dat Could not be deleted.

Attempting to delete C:\windows\system32\__c00D7B0B.dat
C:\windows\system32\__c00D7B0B.dat Has been deleted!

Attempting to delete C:\windows\system32\atcnfool.dll
C:\windows\system32\atcnfool.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\bnyrvjyb.dll
C:\WINDOWS\system32\bnyrvjyb.dll Has been deleted!

Attempting to delete C:\windows\system32\bnyrvjyb.dllbox
C:\windows\system32\bnyrvjyb.dllbox Has been deleted!

Attempting to delete C:\windows\system32\dxgpadpb.dll
C:\windows\system32\dxgpadpb.dll Has been deleted!

Attempting to delete C:\windows\system32\gebyy.dll
C:\windows\system32\gebyy.dll Has been deleted!

Attempting to delete C:\windows\system32\jsqidljk.dll
C:\windows\system32\jsqidljk.dll Has been deleted!

Attempting to delete C:\windows\system32\ksmmtqwc.dllbox
C:\windows\system32\ksmmtqwc.dllbox Has been deleted!

Attempting to delete C:\windows\system32\lsywchdv.dll
C:\windows\system32\lsywchdv.dll Has been deleted!

Attempting to delete C:\windows\system32\udthacox.dll
C:\windows\system32\udthacox.dll Has been deleted!

Attempting to delete C:\windows\system32\yybeg.ini
C:\windows\system32\yybeg.ini Has been deleted!

Attempting to delete C:\windows\system32\yybeg.ini2
C:\windows\system32\yybeg.ini2 Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...
19 Novembre 2007 20:44:26

Impossible de démarrer combofix un message me dit que cette version a expiré et me demande de supprimer cette copie et d'en dl une a jour. Je fais quoi?
19 Novembre 2007 20:50:16

Supprime-le.
Retélécharge le à partir de mon lien ;) 
19 Novembre 2007 20:55:50

Non, rien a faire, meme a partir de ton lien la version est expirée
19 Novembre 2007 20:59:30

En effet, indisponible pour moi aussi.
Ennuyant mais bon, on va faire autrement.

Merci de bien lire et suivre attentivement ce qui est écrit car tu dois appuyer sur une touche lors du scan.. si tu ne le fais pas le rapport ne sera pas entier et tu devras recommencer donc :

Télécharge DiagHelp.zip (de Malekal) sur ton bureau (Tuto)
Dézippe le ,ouvre le nouveau dossier DiagHelp, et double-clic sur go.cmd (le .cmd peut ne pas apparaître ! )
Choisis l’option 1 dans la fenêtre qui s’ouvrira.
Ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand cela t’est demandé..

ATTENTION : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran !

A la fin de l'analyse, ton ordi devra peut-être être redémarré... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve également >> C:\resultat.txt <<
Poste le rapport ici.

Si tu obtiens un fichier C:\upload_moi.zip, merci de l’envoyer sur http://upload.malekal.com/.
Tuto
19 Novembre 2007 21:08:32

DiagHelp version v1.4 - http://www.malekal.com
excute le 19/11/2007 à 21:05:20,71


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->19/11/2007 21:04:54
C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->19/11/2007 21:03:57
C:\WINDOWS\prefetch\REGEDIT.EXE-1B606482.pf -->19/11/2007 20:56:34
C:\WINDOWS\prefetch\COMBOFIX.EXE-0764A715.pf -->19/11/2007 20:56:23
C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->19/11/2007 20:55:35
C:\WINDOWS\prefetch\SWREG.CFEXE-2BF4FFCD.pf -->19/11/2007 20:55:11
C:\WINDOWS\prefetch\SED.CFEXE-268D7E58.pf -->19/11/2007 20:55:11
C:\WINDOWS\prefetch\NIRCMD.CFEXE-19FF4781.pf -->19/11/2007 20:55:10
C:\WINDOWS\prefetch\GREP.CFEXE-20443039.pf -->19/11/2007 20:55:10
C:\WINDOWS\prefetch\SWXCACLS.CFEXE-365F7973.pf -->19/11/2007 20:55:07

C:\WINDOWS\System32\drivers\sp_rsdrv2.sys -->12/09/2007 19:01:37
C:\WINDOWS\System32\drivers\aswmon.sys -->06/09/2007 11:05:25
C:\WINDOWS\System32\drivers\aswmon2.sys -->06/09/2007 11:05:10
C:\WINDOWS\System32\drivers\aswRdr.sys -->06/09/2007 11:03:02
C:\WINDOWS\System32\drivers\aswTdi.sys -->06/09/2007 11:02:20
C:\WINDOWS\System32\drivers\aavmker4.sys -->06/09/2007 11:00:53
C:\WINDOWS\System32\drivers\sptd.sys -->24/03/2007 13:05:05

C:\WINDOWS\System32\lmugcjhp.ini -->19/11/2007 20:56:31
C:\WINDOWS\System32\wpa.dbl -->19/11/2007 20:33:45
C:\WINDOWS\System32\VundoFixSVC.exe -->19/11/2007 20:19:09
C:\WINDOWS\System32\mcrh.tmp -->19/11/2007 17:51:09
C:\WINDOWS\System32\krcbowcj.dll -->19/11/2007 17:44:35
C:\WINDOWS\System32\phjcguml.dll -->19/11/2007 17:38:37
C:\WINDOWS\System32\fidrufmb.exe -->19/11/2007 17:35:37
C:\WINDOWS\System32\__c006ACAA.dat -->19/11/2007 17:32:37
C:\WINDOWS\System32\efcaxxv.dll -->19/11/2007 17:30:49
C:\WINDOWS\System32\schjlagc.ini -->19/11/2007 17:29:17
C:\WINDOWS\System32\gvdvbbpi.dll -->18/11/2007 09:19:16
C:\WINDOWS\System32\pmnnkkh.dll -->18/11/2007 09:07:37
C:\WINDOWS\System32\ssqoolk.dll -->17/11/2007 09:27:21
C:\WINDOWS\System32\vbzip10.dll -->16/11/2007 13:56:48
C:\WINDOWS\System32\yayxuvs.dll -->16/11/2007 13:53:46
C:\WINDOWS\System32\ljjjkli.dll -->16/11/2007 13:53:22
C:\WINDOWS\System32\MRT.exe -->02/11/2007 08:12:57
C:\WINDOWS\System32\xpsp3res.dll -->29/10/2007 16:07:16
C:\WINDOWS\System32\PerfStringBackup.INI -->28/10/2007 06:24:25
C:\WINDOWS\System32\perfh00C.dat -->28/10/2007 06:24:25
C:\WINDOWS\System32\perfh009.dat -->28/10/2007 06:24:25
C:\WINDOWS\System32\perfc00C.dat -->28/10/2007 06:24:25
C:\WINDOWS\System32\perfc009.dat -->28/10/2007 06:24:25
C:\WINDOWS\System32\shell32.dll -->25/10/2007 17:43:25
C:\WINDOWS\System32\pac.txt -->24/09/2007 02:05:14

C:\WINDOWS\WindowsUpdate.log -->19/11/2007 20:34:02
C:\WINDOWS\0.log -->19/11/2007 20:32:13
C:\WINDOWS\wiadebug.log -->19/11/2007 20:31:47
C:\WINDOWS\ModemLog_Smart Link 56K Modem.txt -->19/11/2007 20:30:51
C:\WINDOWS\wiaservc.log -->19/11/2007 20:30:37
C:\WINDOWS\bootstat.dat -->19/11/2007 20:29:51
C:\WINDOWS\mrofinu1188.exe -->19/11/2007 17:31:58
C:\WINDOWS\SchedLgU.Txt -->18/11/2007 20:38:58
C:\WINDOWS\Fantastic Flame Screensaver.ini -->18/11/2007 19:28:29
C:\WINDOWS\cookies.ini -->18/11/2007 12:52:23
C:\WINDOWS\setupapi.log -->18/11/2007 12:48:00
C:\WINDOWS\ntbtlog.txt -->18/11/2007 11:00:01
C:\WINDOWS\mrofinu1188.exe.tmp -->18/11/2007 09:07:46
C:\WINDOWS\winamp.ini -->17/11/2007 12:45:09
C:\WINDOWS\NeroDigital.ini -->17/11/2007 12:44:09

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1484
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x10000000 0xb000 C:\WINDOWS\system32\__c006ACAA.dat
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x00f30000 0x10000 5.02.5358.4827 C:\WINDOWS\system32\WPDShServiceObj.dll
0x01b90000 0x2d000 5.02.5358.4827 C:\WINDOWS\system32\PortableDeviceTypes.dll
0x01da0000 0x6000 9.71.0000.0000 C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\LGMOUSHK.dll
0x00db0000 0x2d000 C:\WINDOWS\system32\phjcguml.dll
0x00c00000 0x2d000 C:\WINDOWS\system32\krcbowcj.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x02760000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x03120000 0x17000 9.15.0000.0001 C:\Program Files\ATI Multimedia\mlibrary\mlenu.rsc
0x016c0000 0x2c000 C:\Program Files\WinRAR\rarext.dll
0x02190000 0x28000 1.01.0000.0014 C:\Program Files\Spyware Terminator\sptcontmenu.dll
0x00eb0000 0x10000 9.15.0000.0001 C:\Program Files\ATI Multimedia\mlibrary\MLShell.dll
0x7c140000 0x103000 7.10.3077.0000 C:\WINDOWS\system32\MFC71.DLL
0x7c340000 0x56000 7.10.3052.0004 C:\WINDOWS\system32\MSVCR71.dll
0x015d0000 0x10000 9.15.0000.0001 C:\Program Files\ATI Multimedia\atisserv.dll
0x64f00000 0x12000 4.07.1043.0000 C:\Program Files\Alwil Software\Avast4\ashShell.dll
0x01190000 0xe000 1.05.0000.0000 C:\Program Files\Pando Networks\Pando\PandoShellExt.dll
0x014e0000 0x19000 1.00.0201.0000 C:\WINDOWS\system32\CmdLineExt.dll
0x02db0000 0x58000 5.02.5358.4827 C:\WINDOWS\system32\PortableDeviceApi.dll
0x043f0000 0x25d000 11.00.5358.4827 C:\WINDOWS\system32\WMVCore.DLL
0x070e0000 0x39000 11.00.5358.4827 C:\WINDOWS\system32\WMASF.DLL
0x08dd0000 0x4d000 11.00.5358.4827 C:\WINDOWS\system32\MSWMDM.dll
0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\msvcp60.dll
0x08d60000 0x35000 11.00.5358.4827 C:\WINDOWS\system32\MsPMSP.dll
0x08d10000 0x39000 11.00.5358.4827 C:\WINDOWS\system32\cewmdm.dll
0x03290000 0x67000 5.02.5358.4827 C:\WINDOWS\system32\wpdsp.dll
0x08e50000 0xd000 11.00.5358.4827 C:\WINDOWS\system32\WMDMPS.dll
0x00c90000 0xd000 7.00.0009.0050 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
0x01df0000 0xd5000 1.04.0000.0000 C:\PROGRA~1\SPYBOT~1\SDHelper.dll
0x025a0000 0x1c000 7.00.0000.0000 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 1056
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
0x10000000 0xb000 C:\WINDOWS\system32\__c006ACAA.dat
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x00c60000 0x11000 6.14.0010.4132 C:\WINDOWS\system32\Ati2evxx.dll
0x02010000 0x3b000 1.07.0017.0000 C:\WINDOWS\system32\WgaLogon.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll


Le volume dans le lecteur C s'appelle 53_03_40
Le numéro de série du volume est 5C5E-CCA0

Répertoire de C:\WINDOWS\system32

20/08/2004 00:09 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 56 682 336 256 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C s'appelle 53_03_40
Le numéro de série du volume est 5C5E-CCA0

Répertoire de C:\WINDOWS\Downloaded Program Files

18/11/2007 12:48 <REP> .
18/11/2007 12:48 <REP> ..
01/10/2004 17:42 65 desktop.ini
16/05/2007 07:22 399 gp.inf
16/05/2007 07:22 166 512 gp.ocx
08/08/2006 11:45 576 kavwebscan.inf
20/06/2006 14:44 379 704 MsnPUpld.dll
19/06/2006 13:40 393 MsnPUpld.inf
20/06/2006 14:44 117 560 PURen-us.dll
09/01/2007 07:30 110 592 PURfr-fr.dll
09/11/2006 14:36 5 019 swflash.inf
12/09/2006 09:51 32 250 tra2_3_0.rc
10 fichier(s) 813 070 octets

Total des fichiers listés :
10 fichier(s) 813 070 octets
2 Rép(s) 56 682 332 160 octets libres

Recherche de rootkit! (Merci S!Ri)
19 Novembre 2007 21:16:39

J'ai déjà pas mal d'infos sur quoi virer, mais manque la fin du rappor, as-tu bien fait toutes les manips ?
19 Novembre 2007 21:18:57

Oui oui j'ai fais tout ce qui etait demandé la commande s'est fermée toute seule sans prévenir et le fichier .txt etait dans C:

19 Novembre 2007 21:35:57

Je suis sûr qu'il ya du texte encore après. Mais bon j'ai assez de renseignements je pense.
Tu ressaieras après ;) 

Télécharge OTMoveIt >> Tuto<<

Sauvegarde-le sur le Bureau

Séléctionne l'encadré ci-dessous
C:\WINDOWS\system32\__c006ACAA.dat
C:\WINDOWS\system32\phjcguml.dll
C:\WINDOWS\system32\krcbowcj.dll
C:\WINDOWS\mrofinu1188.exe.tmp
C:\WINDOWS\mrofinu1188.exe
C:\WINDOWS\System32\lmugcjhp.ini
C:\WINDOWS\System32\VundoFixSVC.exe
C:\WINDOWS\System32\mcrh.tmp
C:\WINDOWS\System32\krcbowcj.dll
C:\WINDOWS\System32\phjcguml.dll
C:\WINDOWS\System32\fidrufmb.exe
C:\WINDOWS\System32\efcaxxv.dll
C:\WINDOWS\System32\schjlagc.ini
C:\WINDOWS\System32\gvdvbbpi.dll
C:\WINDOWS\System32\pmnnkkh.dll
C:\WINDOWS\System32\yayxuvs.dll
C:\WINDOWS\System32\ljjjkli.dll

Lance maintenant OTMoveIt .

Deux cadres apparaissent , clique droit sur le cadre de gauche , puis colle l'encadré ci desssus.
Et clique sur Movelt !

Si le programme te demande de redemarrer, accepte.

Poste le rapport qui se trouve dans : C:\_OTMoveIt\MovedFiles\date de création!

NOTE : Si tu obtiens un message comme quoi le rapport ne peut pas être créé, copie/colle ce qui apparaît dans la colonne droite de l’outil.


19 Novembre 2007 21:41:18

Ok je reboot, mais j'suis désolé pour le truc d'avant j'ai réessayé rien a faire toujours le meme rapport. :??:  En attendant je peut avoir des information sur ce que mon PC a eu?
Merci
19 Novembre 2007 21:51:19

Message au redemarrage:
Erreur de chargement C:\System32\phjcguml.dll
module introuvable




File move failed. C:\WINDOWS\system32\__c006ACAA.dat scheduled to be moved on reboot.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\phjcguml.dll
C:\WINDOWS\system32\phjcguml.dll NOT unregistered.
C:\WINDOWS\system32\phjcguml.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\krcbowcj.dll
C:\WINDOWS\system32\krcbowcj.dll NOT unregistered.
C:\WINDOWS\system32\krcbowcj.dll moved successfully.
C:\WINDOWS\mrofinu1188.exe.tmp moved successfully.
C:\WINDOWS\mrofinu1188.exe moved successfully.
C:\WINDOWS\System32\lmugcjhp.ini moved successfully.
C:\WINDOWS\System32\VundoFixSVC.exe moved successfully.
C:\WINDOWS\System32\mcrh.tmp moved successfully.
File/Folder C:\WINDOWS\System32\krcbowcj.dll not found.
File/Folder C:\WINDOWS\System32\phjcguml.dll not found.
C:\WINDOWS\System32\fidrufmb.exe moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\System32\efcaxxv.dll
C:\WINDOWS\System32\efcaxxv.dll NOT unregistered.
C:\WINDOWS\System32\efcaxxv.dll moved successfully.
C:\WINDOWS\System32\schjlagc.ini moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\System32\gvdvbbpi.dll
C:\WINDOWS\System32\gvdvbbpi.dll NOT unregistered.
C:\WINDOWS\System32\gvdvbbpi.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\System32\pmnnkkh.dll
C:\WINDOWS\System32\pmnnkkh.dll NOT unregistered.
C:\WINDOWS\System32\pmnnkkh.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\System32\yayxuvs.dll
C:\WINDOWS\System32\yayxuvs.dll NOT unregistered.
C:\WINDOWS\System32\yayxuvs.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\System32\ljjjkli.dll
C:\WINDOWS\System32\ljjjkli.dll NOT unregistered.
C:\WINDOWS\System32\ljjjkli.dll moved successfully.

Created on 11/19/2007 21:38:36
19 Novembre 2007 22:02:59

Re,

REfais la même manip et transmets moi le rapport.
Asssure toi d'avoir bien "Unregister Dll's and Ocx's" de coché ;) 
19 Novembre 2007 22:05:47

File/Folder C:\WINDOWS\system32\__c006ACAA.dat not found.
File/Folder C:\WINDOWS\system32\phjcguml.dll not found.
File/Folder C:\WINDOWS\system32\krcbowcj.dll not found.
File/Folder C:\WINDOWS\mrofinu1188.exe.tmp not found.
C:\WINDOWS\mrofinu1188.exe moved successfully.
File/Folder C:\WINDOWS\System32\lmugcjhp.ini not found.
File/Folder C:\WINDOWS\System32\VundoFixSVC.exe not found.
File/Folder C:\WINDOWS\System32\mcrh.tmp not found.
File/Folder C:\WINDOWS\System32\krcbowcj.dll not found.
File/Folder C:\WINDOWS\System32\phjcguml.dll not found.
File/Folder C:\WINDOWS\System32\fidrufmb.exe not found.
File/Folder C:\WINDOWS\System32\efcaxxv.dll not found.
File/Folder C:\WINDOWS\System32\schjlagc.ini not found.
File/Folder C:\WINDOWS\System32\gvdvbbpi.dll not found.
File/Folder C:\WINDOWS\System32\pmnnkkh.dll not found.
File/Folder C:\WINDOWS\System32\yayxuvs.dll not found.
File/Folder C:\WINDOWS\System32\ljjjkli.dll not found.

Created on 11/19/2007 22:04:46
19 Novembre 2007 22:06:25

Mieux ?
Reposte un Hijackthis (renomme Hijackthis.exe en scanner.exe)
19 Novembre 2007 22:11:53

Oui mieux, retour au calme, plus de fenetres IE et de messages d'alerte.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:10:15, on 19/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\Fonts\svchost.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\QdrPack\QdrPack9.exe
C:\WINDOWS\17PHolmes1188.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\MOI\Bureau\HiJackThis\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Media Holding Enterprises, LLC - {0D39A900-0F3A-4C29-A254-3E65244FDC34} - C:\Program Files\ContextTool\ContextTool-2.dll
O2 - BHO: (no name) - {2DD6A6D4-7F02-48E7-AEF2-6A2A558F578C} - C:\WINDOWS\system32\gebyy.dll (file missing)
O2 - BHO: (no name) - {528217C2-8008-46E2-944B-266BDDB4836A} - C:\WINDOWS\system32\ssqpn.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: BndShell3 BHO Class - {875A1348-7674-42aa-ADAC-B4F36A004A2D} - C:\Program Files\QdrDrive\QdrDrive8.dll
O2 - BHO: {6b969ede-0918-a2a8-e144-1e8882926ac8} - {8ca62928-88e1-441e-8a2a-8190ede969b6} - C:\WINDOWS\system32\krcbowcj.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {D57C6156-C1D5-4B50-8024-725607CEF646} - C:\Program Files\Windows NT\metobC:\WINDOWS\system32\k4\mper83122.exe.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [5c5ecc0f] rundll32.exe "C:\WINDOWS\system32\phjcguml.dll",b
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1188.exe 61A847B5BBF72813339330466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKCU\..\Run: [QdrPack9] "C:\Program Files\QdrPack\QdrPack9.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Rechercher avec Voila - file://C:\Program Files\WANADOO_TOOLBAR\Cache\SelectedContextSearch.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\dtv\EXPLBAR.DLL
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c006ACAA.dat
O20 - Winlogon Notify: urqnlkl - C:\WINDOWS\SYSTEM32\urqnlkl.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 7877 bytes
19 Novembre 2007 22:28:04

Re,

Relance HiJackThis, do a system scan only, coche ces lignes :
O2 - BHO: (no name) - {2DD6A6D4-7F02-48E7-AEF2-6A2A558F578C} - C:\WINDOWS\system32\gebyy.dll (file missing)
O2 - BHO: (no name) - {528217C2-8008-46E2-944B-266BDDB4836A} - C:\WINDOWS\system32\ssqpn.dll
O2 - BHO: BndShell3 BHO Class - {875A1348-7674-42aa-ADAC-B4F36A004A2D} - C:\Program Files\QdrDrive\QdrDrive8.dll
O2 - BHO: (no name) - {D57C6156-C1D5-4B50-8024-725607CEF646} - C:\Program Files\Windows NT\metobC:\WINDOWS\system32\k4\mper83122.exe.dll (file missing)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [5c5ecc0f] rundll32.exe "C:\WINDOWS\system32\phjcguml.dll",b
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1188.exe 61A847B5BBF72813339330466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKCU\..\Run: [QdrPack9] "C:\Program Files\QdrPack\QdrPack9.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c006ACAA.dat
O20 - Winlogon Notify: urqnlkl - C:\WINDOWS\SYSTEM32\urqnlkl.dll

Puis Fix Checked !

++++++++++++

Fais analyser ces fichier sur ce site >> Virustotal <<

Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier : C:\Program Files\QdrPack\QdrPack9.exe
Clique maintenant sur envoyer le fichier.
Poste le rapport

+++++++++++++++

Fais ce cadre avec Otmovelt :
C:\WINDOWS\17PHolmes1188.exe
C:\WINDOWS\Fonts\Crack.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\system32\phjcguml.dll
C:\WINDOWS\system32\__c006ACAA.dat
C:\WINDOWS\SYSTEM32\urqnlkl.dll
C:\WINDOWS\mrofinu1188.exe

19 Novembre 2007 22:37:52

Citation :
Fais ce cadre avec Otmovelt :


C:\WINDOWS\17PHolmes1188.exe
C:\WINDOWS\Fonts\Crack.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\system32\phjcguml.dll
C:\WINDOWS\system32\__c006ACAA.dat
C:\WINDOWS\SYSTEM32\urqnlkl.dll
C:\WINDOWS\mrofinu1188.exe



Je ne comprends pas cette etape :??: 
19 Novembre 2007 22:40:29


Séléctionne l'encadré ci-dessous
C:\WINDOWS\17PHolmes1188.exe
C:\WINDOWS\Fonts\Crack.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\system32\phjcguml.dll
C:\WINDOWS\system32\__c006ACAA.dat
C:\WINDOWS\SYSTEM32\urqnlkl.dll
C:\WINDOWS\mrofinu1188.exe

Lance maintenant OTMoveIt .

;) 
Deux cadres apparaissent , clique droit sur le cadre de gauche , puis colle l'encadré ci desssus.
Et clique sur Movelt !

Si le programme te demande de redemarrer, accepte.

Poste le rapport qui se trouve dans : C:\_OTMoveIt\MovedFiles\date de création!

NOTE : Si tu obtiens un message comme quoi le rapport ne peut pas être créé, copie/colle ce qui apparaît dans la colonne droite de l’outil.

19 Novembre 2007 22:41:54

voila le rapport:

Fichier QdrPack9.exe reçu le 2007.11.19 22:36:55 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 5/32 (15.63%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 45 et 65 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.11.19.0 2007.11.19 -
AntiVir 7.6.0.34 2007.11.19 TR/Dldr.Trarch.A
Authentium 4.93.8 2007.11.19 -
Avast 4.7.1074.0 2007.11.19 -
AVG 7.5.0.503 2007.11.19 -
BitDefender 7.2 2007.11.19 -
CAT-QuickHeal 9.00 2007.11.19 -
ClamAV 0.91.2 2007.11.19 -
DrWeb 4.44.0.09170 2007.11.19 -
eSafe 7.0.15.0 2007.11.14 -
eTrust-Vet 31.3.5308 2007.11.19 -
Ewido 4.0 2007.11.19 -
FileAdvisor 1 2007.11.19 -
Fortinet 3.11.0.0 2007.11.19 -
F-Prot 4.4.2.54 2007.11.19 -
F-Secure 6.70.13030.0 2007.11.19 -
Ikarus T3.1.1.12 2007.11.19 -
Kaspersky 7.0.0.125 2007.11.19 -
McAfee 5166 2007.11.19 -
Microsoft 1.3007 2007.11.19 -
NOD32v2 2670 2007.11.19 -
Norman 5.80.02 2007.11.19 -
Panda 9.0.0.4 2007.11.18 Suspicious file
Prevx1 V2 2007.11.19 Heuristic: Suspicious File With Bad Child Associations
Rising 20.19.00.00 2007.11.19 -
Sophos 4.23.0 2007.11.19 -
Sunbelt 2.2.907.0 2007.11.17 Hyperlinks Rotator
Symantec 10 2007.11.19 -
TheHacker 6.2.9.134 2007.11.19 -
VBA32 3.12.2.5 2007.11.19 -
VirusBuster 4.3.26:9 2007.11.19 -
Webwasher-Gateway 6.0.1 2007.11.19 Trojan.Dldr.Trarch.A
Information additionnelle
File size: 376832 bytes
MD5: d7fd8471130b35b58901ab9606774c59
SHA1: 76ca49735835825a7217c7880b99831abddf7f99
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=9302FB87009F...
19 Novembre 2007 22:46:21

vraiment desolé je ne me rappelai meme pas avoir deja fais cette manip' :sleep: 

File/Folder C:\WINDOWS\17PHolmes1188.exe not found.
C:\WINDOWS\Fonts\Crack.exe moved successfully.
C:\WINDOWS\Fonts\svchost.exe moved successfully.
File/Folder C:\WINDOWS\system32\phjcguml.dll not found.
File/Folder C:\WINDOWS\system32\__c006ACAA.dat not found.
DllUnregisterServer procedure not found in C:\WINDOWS\SYSTEM32\urqnlkl.dll
C:\WINDOWS\SYSTEM32\urqnlkl.dll NOT unregistered.
File move failed. C:\WINDOWS\SYSTEM32\urqnlkl.dll scheduled to be moved on reboot.
File/Folder C:\WINDOWS\mrofinu1188.exe not found.

Created on 11/19/2007 22:44:12
19 Novembre 2007 23:02:35

Re,

Va dans démarrer>cmd>ok
Tape successivement ces lignes dans la console validée par entrée.

rd /s/q "C:\Program Files\QdrPack"
del "C:\WINDOWS\SYSTEM32\urqnlkl.dll"

Puis ensuite reposte un Hijackthis.
19 Novembre 2007 23:03:37

:sleep:  vraiment trop fatigué, je pars... Merci beaucoup pour tout quand meme et si il y d'autres manips a faire je les ferais demain :hello:  a demain et encore merci
20 Novembre 2007 18:28:37

bonsoir,
Y a t'il une methode rapide et efficace pour enlever ce virus car il est revenu... :fou: 
20 Novembre 2007 19:31:51

Un helper peut m'aider?? c'est le meme probleme que tout le monde ( security toolbar + triangle jaune)

Merci ;) 
20 Novembre 2007 20:15:29

Re,

Tu as fait les dernières manips ?

Redémarre en mode sans échec.
Repasse Vundofix une fois.

Puis refais un diagHelp ;) 
20 Novembre 2007 20:25:00

cette etape ne fonctionnait pas :
Citation :
Va dans démarrer>cmd>ok
Tape successivement ces lignes dans la console validée par entrée.


rd /s/q "C:\Program Files\QdrPack"
del "C:\WINDOWS\SYSTEM32\urqnlkl.dll"


Je redemarre en mode sans echec mais qu'est ce qu'un diagHelp??
20 Novembre 2007 20:44:27

tu as mis la première ligne, valider puis la deuxième, valider ?
20 Novembre 2007 21:12:10

j'ai reussi a faire l'etape d'hier ds l'invit. des commandes voila le rapport HijackThis.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:10:32, on 20/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\cidaemon.exe
C:\DOCUME~1\A~1\LOCALS~1\Temp\Rar$EX04.469\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [5c5ecc0f] rundll32.exe "C:\WINDOWS\system32\egxnnbaf.dll",b
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Rechercher avec Voila - file://C:\Program Files\WANADOO_TOOLBAR\Cache\SelectedContextSearch.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\dtv\EXPLBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0012493.dat
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 5670 bytes
20 Novembre 2007 21:17:40

En effet l'infection est là ...

Relance Vundofix en mode sans échec.
Ensuite fais un rapport DiagHelp (nous l'avons utilisé plus haut) et en entier cette fois ;) 
20 Novembre 2007 21:20:58

Je viens tout juste de refaire une analyse avec vundofix en mode sans echec! Je dois la recommencer absolument??
20 Novembre 2007 21:26:53

Ah bah poste le rapport ^^
20 Novembre 2007 21:30:58

Voila le rapport en suivant toute la procédure decrite au dessus:

DiagHelp version v1.4 - http://www.malekal.com
excute le 20/11/2007 à 21:19:45,75


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->20/11/2007 21:19:46
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->20/11/2007 21:19:42
C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->20/11/2007 21:10:42
C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->20/11/2007 21:10:20
C:\WINDOWS\prefetch\HIJACKTHIS.EXE-236131D1.pf -->20/11/2007 21:09:32
C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->20/11/2007 21:08:44
C:\WINDOWS\prefetch\CIDAEMON.EXE-27AE97A4.pf -->20/11/2007 21:05:25
C:\WINDOWS\prefetch\CLI.EXE-20D5A08B.pf -->20/11/2007 21:03:48
C:\WINDOWS\prefetch\FIREFOX.EXE-28641590.pf -->20/11/2007 21:03:39
C:\WINDOWS\prefetch\WMIAPSRV.EXE-1E2270A5.pf -->20/11/2007 21:03:21

C:\WINDOWS\System32\drivers\sp_rsdrv2.sys -->12/09/2007 19:01:37
C:\WINDOWS\System32\drivers\aswmon.sys -->06/09/2007 11:05:25
C:\WINDOWS\System32\drivers\aswmon2.sys -->06/09/2007 11:05:10
C:\WINDOWS\System32\drivers\aswRdr.sys -->06/09/2007 11:03:02
C:\WINDOWS\System32\drivers\aswTdi.sys -->06/09/2007 11:02:20
C:\WINDOWS\System32\drivers\aavmker4.sys -->06/09/2007 11:00:53
C:\WINDOWS\System32\drivers\sptd.sys -->24/03/2007 13:05:05

C:\WINDOWS\System32\npqss.ini -->20/11/2007 21:19:44
C:\WINDOWS\System32\npqss.ini2 -->20/11/2007 21:17:04
C:\WINDOWS\System32\wpa.dbl -->20/11/2007 21:02:08
C:\WINDOWS\System32\fabnnxge.ini -->20/11/2007 19:40:46
C:\WINDOWS\System32\mcrh.tmp -->20/11/2007 19:36:12
C:\WINDOWS\System32\wmteputu.dll -->20/11/2007 10:05:34
C:\WINDOWS\System32\egxnnbaf.dll -->20/11/2007 10:02:38
C:\WINDOWS\System32\fiyymckx.exe -->20/11/2007 10:02:31
C:\WINDOWS\System32\__c0012493.dat -->20/11/2007 09:59:32
C:\WINDOWS\System32\ssqpn.dll -->19/11/2007 21:52:31
C:\WINDOWS\System32\ssqoolk.dll -->17/11/2007 09:27:21
C:\WINDOWS\System32\vbzip10.dll -->16/11/2007 13:56:48
C:\WINDOWS\System32\MRT.exe -->02/11/2007 08:12:57
C:\WINDOWS\System32\xpsp3res.dll -->29/10/2007 16:07:16
C:\WINDOWS\System32\PerfStringBackup.INI -->28/10/2007 06:24:25
C:\WINDOWS\System32\perfh00C.dat -->28/10/2007 06:24:25
C:\WINDOWS\System32\perfh009.dat -->28/10/2007 06:24:25
C:\WINDOWS\System32\perfc00C.dat -->28/10/2007 06:24:25
C:\WINDOWS\System32\perfc009.dat -->28/10/2007 06:24:25
C:\WINDOWS\System32\shell32.dll -->25/10/2007 17:43:25
C:\WINDOWS\System32\pac.txt -->24/09/2007 02:05:14
C:\WINDOWS\System32\client.sid -->16/09/2007 11:44:44
C:\WINDOWS\System32\CONFIG.NT -->11/09/2007 17:07:19
C:\WINDOWS\System32\aswBoot.exe -->06/09/2007 11:09:49
C:\WINDOWS\System32\AVASTSS.scr -->06/09/2007 11:00:07

C:\WINDOWS\WindowsUpdate.log -->20/11/2007 21:02:50
C:\WINDOWS\0.log -->20/11/2007 21:00:38
C:\WINDOWS\wiadebug.log -->20/11/2007 20:59:59
C:\WINDOWS\ModemLog_Smart Link 56K Modem.txt -->20/11/2007 20:59:41
C:\WINDOWS\wiaservc.log -->20/11/2007 20:59:23
C:\WINDOWS\bootstat.dat -->20/11/2007 20:57:47
C:\WINDOWS\ntbtlog.txt -->20/11/2007 20:47:35
C:\WINDOWS\SchedLgU.Txt -->20/11/2007 20:24:07
C:\WINDOWS\winamp.ini -->19/11/2007 22:23:37
C:\WINDOWS\b148.exe -->19/11/2007 11:43:33
C:\WINDOWS\Fantastic Flame Screensaver.ini -->18/11/2007 19:28:29
C:\WINDOWS\cookies.ini -->18/11/2007 12:52:23
C:\WINDOWS\setupapi.log -->18/11/2007 12:48:00
C:\WINDOWS\NeroDigital.ini -->17/11/2007 12:44:09
C:\WINDOWS\tsoc.log -->16/11/2007 18:52:45

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 988
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x10000000 0xb000 C:\WINDOWS\system32\__c0012493.dat
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x00af0000 0xa3000 C:\WINDOWS\system32\ssqpn.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x019d0000 0x10000 5.02.5358.4827 C:\WINDOWS\system32\WPDShServiceObj.dll
0x026b0000 0x2d000 5.02.5358.4827 C:\WINDOWS\system32\PortableDeviceTypes.dll
0x02500000 0x6000 9.71.0000.0000 C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\LGMOUSHK.dll
0x00ed0000 0x1c000 7.00.0000.0000 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
0x01a00000 0x2d000 C:\WINDOWS\system32\wmteputu.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 1052
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
0x10000000 0xb000 C:\WINDOWS\system32\__c0012493.dat
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x00c60000 0x11000 6.14.0010.4132 C:\WINDOWS\system32\Ati2evxx.dll
0x01ef0000 0x3b000 1.07.0017.0000 C:\WINDOWS\system32\WgaLogon.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll


Le volume dans le lecteur C s'appelle 53_03_40
Le numéro de série du volume est 5C5E-CCA0

Répertoire de C:\WINDOWS\system32

20/08/2004 00:09 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 56 724 795 392 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C s'appelle 53_03_40
Le numéro de série du volume est 5C5E-CCA0

Répertoire de C:\WINDOWS\Downloaded Program Files

18/11/2007 12:48 <REP> .
18/11/2007 12:48 <REP> ..
01/10/2004 17:42 65 desktop.ini
16/05/2007 07:22 399 gp.inf
16/05/2007 07:22 166 512 gp.ocx
08/08/2006 11:45 576 kavwebscan.inf
20/06/2006 14:44 379 704 MsnPUpld.dll
19/06/2006 13:40 393 MsnPUpld.inf
20/06/2006 14:44 117 560 PURen-us.dll
09/01/2007 07:30 110 592 PURfr-fr.dll
09/11/2006 14:36 5 019 swflash.inf
12/09/2006 09:51 32 250 tra2_3_0.rc
10 fichier(s) 813 070 octets

Total des fichiers listés :
10 fichier(s) 813 070 octets
2 Rép(s) 56 724 795 392 octets libres

Recherche de rootkit! (Merci S!Ri)
20 Novembre 2007 21:46:11

Rapport Incomplet, suis bien toutes les manips .. Sinon je reviendrai l'analyser demain ;) 
20 Novembre 2007 21:53:36

Je ne comprends pas j'ai bien fait toutes les manips.
j'ouvre le fichier go.cmd
je tape 1 > Entrée
et ensuite rien ne m'est demandé la fenetre se ferme tte seule...

Si j'eteins mon PC il risque de revenir y a t-il un danger si je le laisse allumé pendant la nuit en attendant une reponse demain?
Merci
20 Novembre 2007 21:56:04

Non, justement, c'est en étant sur internet avec l'ordi allumé que tu vas en choper encore :D 
20 Novembre 2007 21:57:20

Ok donc j'eteins et on vois ca demain?
20 Novembre 2007 22:01:38

Ja ;)  Passe un Coup de Vundofix (en sans échec de préférece) avant de reposter demain :D 
21 Novembre 2007 20:16:00

Bonsoir,
Je viens de redemarrer mon pc en mode sans echec je lance Vundofix et je fais quoi apres?
merci
21 Novembre 2007 20:18:36

Combofix est à nouveau disponible ;) 

Télécharge Combofix (de sUBs) sur ton Bureau.

Désactive toute protection résidente ! (Antivirus, antispywares..)
Double clique combofix.exe.
Tape sur la touche 1 (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

Le rapport se trouve ici : C:\Combofix.txt


++++++++

Essaie d'éviter Internet pour le moment.


Installe un parefeu :
Je t'en propose plusieurs :
Sygate, Oupost, Kerio, ou encore Zone Alarm, etc ....
Désactive le parefeu de Windows après avoir installé un nouveau parefeu
Tuto.
21 Novembre 2007 21:38:27

Voila le rapport Combofix


ComboFix 07-11-19.3 - A 2007-11-21 21:05:41.1 - NTFSx86
Running from: C:\Documents and Settings\A \Bureau\ComboFix.exe
* Created a new restore point
.
ADS - svchost.exe: deleted 68 bytes in 1 streams.

Incapable d'obtenir les privilèges Système

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Menu Démarrer\Live Safety Center.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Online Security Guide.lnk
C:\Documents and Settings\A\Bureau\Live Safety Center.lnk
C:\Documents and Settings\A\Bureau\Online Security Guide.lnk
C:\Documents and Settings\A\Favoris\Online Security Guide.lnk
C:\Documents and Settings\A\Local Settings\Application Data\kbbohrd.dat
C:\Documents and Settings\A\Local Settings\Application Data\kbbohrd.exe
C:\Documents and Settings\A\Local Settings\Application Data\kbbohrd_nav.dat
C:\Documents and Settings\A\Local Settings\Application Data\kbbohrd_navps.dat
C:\Documents and Settings\A\Menu Démarrer\Programmes\Internet Speed Monitor
C:\Documents and Settings\A\Menu Démarrer\Programmes\Internet Speed Monitor\Check Now.lnk
C:\Documents and Settings\A\Menu Démarrer\Programmes\Internet Speed Monitor\Uninstall.lnk
C:\Program Files\inetget2
C:\Program Files\ISM
C:\Program Files\ISM\ism.exe
C:\Program Files\ISM\Uninstall.exe
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\WINDOWS\b148.exe
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\__c0012493.dat
C:\WINDOWS\system32\b3
C:\WINDOWS\system32\f1
C:\WINDOWS\system32\f1\bemwdll3.exe
C:\WINDOWS\system32\k4
C:\WINDOWS\system32\kernel.dll
C:\WINDOWS\system32\npqss.ini
C:\WINDOWS\system32\npqss.ini2
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\ssqpn.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\DomainService
-------\poof


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-21 to 2007-11-21 ))))))))))))))))))))))))))))))))))))
.

2007-11-20 19:50 <REP> d-------- C:\VundoFix Backups
2007-11-20 19:30 143 --a------ C:\WINDOWS\system32\mcrh.tmp
2007-11-20 10:05 84,544 --a------ C:\WINDOWS\system32\wmteputu.dll
2007-11-20 10:02 714,401 ---hs---- C:\WINDOWS\system32\fabnnxge.ini
2007-11-20 10:02 85,056 --a------ C:\WINDOWS\system32\egxnnbaf.dll
2007-11-20 10:02 71,232 --a------ C:\WINDOWS\system32\fiyymckx.exe
2007-11-19 21:48 120 --a------ C:\n.bat
2007-11-19 21:47 0 --a------ C:\z.dat
2007-11-19 21:47 0 --a------ C:\x.dat
2007-11-19 21:16 <REP> d-------- C:\Program Files\QdrDrive
2007-11-17 19:50 <REP> d-------- C:\Program Files\ContextTool
2007-11-17 09:28 40,960 C:\Documents and Settings\A 2007-11-17 09:28 40,960 D\f.exe
2007-11-17 09:28 770 C:\Documents and Settings\A 2007-11-17 09:28 770 D\z.dat
2007-11-17 09:28 290 C:\Documents and Settings\A 2007-11-17 09:28 290 D\x.dat
2007-11-17 09:27 36,352 --a------ C:\WINDOWS\system32\ssqoolk.dll
2007-11-16 13:56 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2007-11-16 13:55 35,840 --a------ C:\WINDOWS\mrofinu1000106.exe
2007-11-16 13:53 <REP> d-------- C:\WINDOWS\system32\rMa18yy
2007-11-16 13:53 <REP> d-------- C:\Temp\abW9
2007-11-16 13:51 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-11-14 22:21 <REP> C:\Documents and Settings\A 2007-11-14 22:21 <REP> D\Recent
2007-11-13 20:18 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2007-11-13 20:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-21 19:51 --------- d-----w C:\Program Files\Wanadoo
2007-11-19 20:50 --------- d-----w C:\Documents and Settings\A\Application Data\LimeWire
2007-11-19 20:48 770 ----a-w C:\Documents and Settings\A\z.dat
2007-11-19 20:48 40,960 ----a-w C:\Documents and Settings\A\f.exe
2007-11-19 20:48 290 ----a-w C:\Documents and Settings\A\x.dat
2007-11-19 17:08 --------- d-----w C:\Documents and Settings\A\Application Data\Spyware Terminator
2007-11-18 11:37 --------- d-----w C:\Program Files\Spyware Terminator
2007-11-18 10:05 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spyware Terminator
2007-11-18 08:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-16 17:22 --------- d-----w C:\Program Files\Windows Live
2007-11-15 09:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2007-09-29 09:33 --------- d-----w C:\Program Files\DivX
2007-06-22 15:03 266,240 ----a-w C:\Program Files\Uninstall Pando Toolbar.dll
2007-06-18 17:50 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2006-09-18 17:16 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0D39A900-0F3A-4C29-A254-3E65244FDC34}]
2007-06-27 21:27 1044480 --a------ C:\Program Files\ContextTool\ContextTool-2.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ae175538-7014-4c6e-a237-45b1ee613f71}]
2007-11-20 10:05 84544 --a------ C:\WINDOWS\system32\wmteputu.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-04 10:20]
"Pando"="C:\Program Files\Pando Networks\Pando\Pando.exe" [2007-07-11 19:59]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LVCOMS"="C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE" [2003-09-04 10:45]
"EM_EXEC"="C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2002-07-09 08:50]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 16:41]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 11:06]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 13:49]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 15:55]
"5c5ecc0f"="C:\WINDOWS\system32\egxnnbaf.dll" [2007-11-20 10:02]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09]
"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)
"NoUserNameInStartMenu"= 1 (0x1)
"NoLogOff"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\system32\\logonui.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\ssqpn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2007-06-28 08:14 270648 --a------ C:\Program Files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
C:\Program Files\TomTom HOME\TomTomHOME.exe -s

R1 sp_rsdrv2;Spyware Terminator Driver 2;\??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
R2 Vcs;Vcs support;\??\C:\WINDOWS\system32\Drivers\Vcs.sys
R3 LCcFltr;Logitech USB Filter Driver;C:\WINDOWS\system32\drivers\LCcFltr.Sys
S1 SysTool;SysTool Overclocking Utility;C:\WINDOWS\system32\DRIVERS\SysTool.sys
S3 CnxEtP;ZTE ZXDSL852 Adapter Filter Driver;C:\WINDOWS\system32\DRIVERS\CnxEtP.sys
S3 CnxEtU;ZTE ZXDSL852 Interface Device Driver;C:\WINDOWS\system32\DRIVERS\CnxEtU.sys
S3 CrystalCpuInfo;CrystalCpuInfo;\??\C:\Program Files\OCCT\CpuInfo.sys
S3 DarkSpy;DarkSpy;\??\C:\WINDOWS\system32\DarkSpyKernel.sys
S3 DSDrv4;DSDrv4;\??\C:\PROGRA~1\K!TV\Plugins\S_Bt8x8\DSDrv4.sys
S3 DTVFW;DVB-T USB adapter firmware;C:\WINDOWS\system32\DRIVERS\dtvfw.sys
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\NSNDIS5.SYS
S3 p2pgasvc;Authentification de groupe réseau homologue;C:\WINDOWS\System32\svchost.exe -k p2psvc
S3 p2pimsvc;Gestionnaire d'identité réseau homologue;C:\WINDOWS\System32\svchost.exe -k p2psvc
S3 p2psvc;Réseau homologue;C:\WINDOWS\System32\svchost.exe -k p2psvc
S3 PID_0920;Logitech QuickCam Express(PID_0920);C:\WINDOWS\system32\DRIVERS\LV532AV.SYS
S3 PNRPSvc;Protocole de résolution de noms d'homologues;C:\WINDOWS\System32\svchost.exe -k p2psvc
S3 usbdtv;DVB-T TV Tuner;C:\WINDOWS\system32\Drivers\usbdtv.sys
S4 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc p2psvc p2pimsvc p2pgasvc PNRPSvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18076ff7-1c3a-11dc-9921-000fea4a80b1}]
\Shell\AutoRun\command - K:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f27db02b-ed08-11db-98da-000fea4a80b1}]
\Shell\AutoRun\command - N:\InstallTomTomHOME.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-11-05 13:23:09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2007-03-17 06:39:08 C:\WINDOWS\Tasks\MP Scheduled Quick Scan.job"
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-21 21:26:36
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************
.
Completion time: 2007-11-21 21:31:59 - machine was rebooted
.
--- E O F ---
21 Novembre 2007 22:14:36

Je reposte un rapport HijackThis...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:11:44, on 21/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Documents and Settings\A\Bureau\HiJackThis\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Media Holding Enterprises, LLC - {0D39A900-0F3A-4C29-A254-3E65244FDC34} - C:\Program Files\ContextTool\ContextTool-2.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: {17f316ee-1b54-732a-e6c4-4107835571ea} - {ae175538-7014-4c6e-a237-45b1ee613f71} - C:\WINDOWS\system32\wmteputu.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [5c5ecc0f] rundll32.exe "C:\WINDOWS\system32\egxnnbaf.dll",b
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Rechercher avec Voila - file://C:\Program Files\WANADOO_TOOLBAR\Cache\SelectedContextSearch.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\dtv\EXPLBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 6550 bytes
22 Novembre 2007 19:16:06

Re,

Télécharge ZebRestore
Dézippe-le. Ouvre le dossier, lance le en double cliquant sur l’exe.
Coche :
- Policies
- Sites de confiance et sensibles
- Préfixes et Protocoles Internet
- Réinitialiser Fichier Hosts
Clique sur Restaurer. Ferme le programme.

+++++++++

Télécharge SDFix (d’Andy Manchesta)

Enregistre le sur ton le bureau.

Lance le.
Fais install afin qu’il puisse s’extraire.

Redémarre en mode sans échec
/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Lance SDFix.
Double clique sur RunThis.bat .
Appuie sur Y pour le lancer.

Il te sera demandé d'appuyer sur une touche pour redemarrer , fais le
Il est probable que le redémarrage soit un peu plus long que d’habitude.
Une fois l’apparition de ton Bureau, il affichera Finished

Appuie sur une touche.

Un rapport est généré , poste le dans ta réponse.
Il se trouve également. dans le dossier SDFix >Report.txt<

Repasse combofix, et poste son rapport.
22 Novembre 2007 19:35:18

Ok je m'y mets je poste ca des que possible et pour info j'ai la "security toolbar 7.1" qui s'affichait avec le petit triangle jaune si ça peut t'aider.
Merci
      • 1 / 2
      • 2
      • Dernier
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS