Votre question

virus, ver ou pas?

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
24 Septembre 2007 14:38:25

Bonjour
j'ai besoin d'un peu d'aide. Serait il possible de me dire si mon ordi est virolé et comment faire pour m'en derasser. Voila mon rapport HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:49:45, on 24/09/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Documents and Settings\Papy\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\czsrv.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Log System] C:\WINDOWS\System32\vgyyircxj.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [FolderView] rundll32.exe "C:\WINDOWS\System32\kpftaati.dll",sitypnow
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 2915 bytes
Merci bcp

Autres pages sur : virus ver

24 Septembre 2007 17:08:08

bonsoir

Citation :
j'ai besoin d'un peu d'aide. Serait il possible de me dire si mon ordi est virolé et comment faire pour m'en derasser.


oui, ton log montre des signes d'infection.

1

~Télécharge. F-Secure Blacklight

https://europe.f-secure.com/exclude/blacklight/fsbl.exe


- Lance F-Secure Blacklight (fichier fsbl.exe)
- Accepte la licence, et clique enfin sur "Scan" puis Next et Exit.
- Un rapport fsbl-bxxxx.log (xx sont des chiffres) va être créé dans le même dossier que blbeta.exe
- Ouvre fsbl-bxxxx.log , fais un copier/coller dans ton prochain message.

Attention ! .
Il ne faut pas choisir l'option "Rename". de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe .
Tuto de F-Secure BlackLight : (merci à Malekal) .
http://www.malekal.com/tutorial_f-secure_BlackLight.htm...


2


~Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
Double-clique VundoFix.exe afin de le lancer
Clique sur le bouton Scan for Vundo.
~Lorsque le scan est complété, clique sur le bouton Remove Vundo
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK.
~Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo
24 Septembre 2007 20:42:39

Merci déja pour ton aide
j'ai effectuer le 1er point, et voila le résultat
09/24/07 17:58:20 [Info]: BlackLight Engine 1.0.64 initialized
09/24/07 17:58:20 [Info]: OS: 5.1 build 2600 ()
09/24/07 17:58:20 [Note]: 7019 4
09/24/07 17:58:20 [Note]: 7005 0
09/24/07 17:58:26 [Note]: 7006 0
09/24/07 17:58:26 [Note]: 7011 1260
09/24/07 17:58:27 [Note]: 7026 0
09/24/07 17:58:27 [Note]: 7026 0
09/24/07 17:58:31 [Note]: FSRAW library version 1.7.1022
09/24/07 17:59:14 [Note]: 7007 0

J'a effectué le 2eme point. cela c'est passé comme tu l'as dit, avec des fichiers kil n'est pas parvenu à supprimer de suite. Néanmoins voila le nouveau HijackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:38:30, on 24/09/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\vgyyircxj.exe
C:\WINDOWS\System32\carpserv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Documents and Settings\Papy\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\czsrv.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Log System] C:\WINDOWS\System32\vgyyircxj.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 3550 bytes
MErci et bonne soirée
Contenus similaires
Pas de réponse à votre question ? Demandez !
24 Septembre 2007 20:57:34

bonsoir

j'ai besoin du rapport de vundofix pour continuer

dans
C:\vundofix.txt

ajoute ceci stp:
~Fais un clic droit sur Hijackthis.exe et renomme-le en VEGA44.exe , puis
~Lance VEGA44.exe "do a system scan & save log file",et fais un copier coller du rapport généré dans ton prochain post.

(parfois l'infection masque les lignes 2 et 20, je voudrais les voir)
25 Septembre 2007 09:45:22

Bonjour
voila les éléments demandés

VundoFix V6.5.9

Checking Java version...

Sun Java not detected
Scan started at 18:07:31 24/09/2007

Listing files found while scanning....

C:\windows\system32\byxyvut.dll
C:\windows\system32\cbxyyyx.dll
C:\windows\system32\efcbxwx.dll
C:\windows\system32\fccawxw.dll
C:\WINDOWS\System32\itaatfpk.ini
C:\windows\system32\jkkkhee.dll
C:\WINDOWS\System32\khfgdcc.dll
C:\WINDOWS\System32\kpftaati.dll
C:\WINDOWS\System32\nnlml.dll
C:\windows\system32\qommlij.dll
C:\windows\system32\rqrsqno.dll
C:\WINDOWS\System32\sibapjcg.dll
C:\windows\system32\ssqopoo.dll
C:\windows\system32\tuvtusr.dll
C:\windows\system32\vtustsq.dll
C:\windows\system32\xxyawwx.dll
C:\windows\system32\xxyvvtr.dll
C:\windows\system32\yaywwvt.dll

Beginning removal...

Attempting to delete C:\windows\system32\byxyvut.dll
C:\windows\system32\byxyvut.dll Has been deleted!

Attempting to delete C:\windows\system32\cbxyyyx.dll
C:\windows\system32\cbxyyyx.dll Has been deleted!

Attempting to delete C:\windows\system32\efcbxwx.dll
C:\windows\system32\efcbxwx.dll Has been deleted!

Attempting to delete C:\windows\system32\fccawxw.dll
C:\windows\system32\fccawxw.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\itaatfpk.ini
C:\WINDOWS\System32\itaatfpk.ini Has been deleted!

Attempting to delete C:\windows\system32\jkkkhee.dll
C:\windows\system32\jkkkhee.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\khfgdcc.dll
C:\WINDOWS\System32\khfgdcc.dll Could not be deleted.

Attempting to delete C:\WINDOWS\System32\kpftaati.dll
C:\WINDOWS\System32\kpftaati.dll Could not be deleted.

Attempting to delete C:\WINDOWS\System32\nnlml.dll
C:\WINDOWS\System32\nnlml.dll Could not be deleted.

Attempting to delete C:\windows\system32\qommlij.dll
C:\windows\system32\qommlij.dll Has been deleted!

Attempting to delete C:\windows\system32\rqrsqno.dll
C:\windows\system32\rqrsqno.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\sibapjcg.dll
C:\WINDOWS\System32\sibapjcg.dll Could not be deleted.

Attempting to delete C:\windows\system32\ssqopoo.dll
C:\windows\system32\ssqopoo.dll Has been deleted!

Attempting to delete C:\windows\system32\tuvtusr.dll
C:\windows\system32\tuvtusr.dll Has been deleted!

Attempting to delete C:\windows\system32\vtustsq.dll
C:\windows\system32\vtustsq.dll Has been deleted!

Attempting to delete C:\windows\system32\xxyawwx.dll
C:\windows\system32\xxyawwx.dll Has been deleted!

Attempting to delete C:\windows\system32\xxyvvtr.dll
C:\windows\system32\xxyvvtr.dll Has been deleted!

Attempting to delete C:\windows\system32\yaywwvt.dll
C:\windows\system32\yaywwvt.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\System32\khfgdcc.dll
C:\WINDOWS\System32\khfgdcc.dll Could not be deleted.

Attempting to delete C:\WINDOWS\System32\kpftaati.dll
C:\WINDOWS\System32\kpftaati.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\nnlml.dll
C:\WINDOWS\System32\nnlml.dll Could not be deleted.

Attempting to delete C:\WINDOWS\System32\sibapjcg.dll
C:\WINDOWS\System32\sibapjcg.dll Has been deleted!

Performing Repairs to the registry.
Done!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:36:10, on 25/09/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\vgyyircxj.exe
C:\WINDOWS\System32\carpserv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Documents and Settings\Papy\Bureau\hijackthis\Vega.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\czsrv.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4AA49418-D47E-47EB-AAD9-3FA5155F3025} - C:\WINDOWS\system32\khfgdcc.dll
O2 - BHO: (no name) - {DD3ACAEE-C1AE-4742-AA01-F50568412BF6} - C:\WINDOWS\System32\nnlml.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Log System] C:\WINDOWS\System32\vgyyircxj.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O20 - Winlogon Notify: khfgdcc - C:\WINDOWS\SYSTEM32\khfgdcc.dll
O20 - Winlogon Notify: nnlml - C:\WINDOWS\System32\nnlml.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 4133 bytes
Bonne journée
25 Septembre 2007 13:01:47

bonjour

vundo est encore présent...

~Lance VundoFix.exe
NE clique PAS sur le bouton Scan for Vundo
Clique Droit dans la fenêtre blanche, choisis Add more files ?
Rajoute dans la première ligne :
C:\WINDOWS\system32\khfgdcc.dll

Rajoute dans la deuxième ligne :

C:\WINDOWS\System32\nnlml.dll

dans la troisième:

C:\WINDOWS\System32\vgyyircxj.exe

Clique successivement sur:
- Add Files
- Close Windows
- Remove Vundo
Si l'outil te demande de redémarrer, accepte.
Copie/Colle ensuite le rapport C:\vundofix.txt

++++++++++++++++++


puis:

Cette procédure doit être imprimée pour que tu puisses l’avoir sous les yeux quand tu seras en mode sans échec.

~Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

http://downloads.andymanchesta.com/RemovalTools/SDFix.e...

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

~Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.

~Déroule la liste des instructions ci-dessous :
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

~Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis



25 Septembre 2007 14:12:44

Re Bonjour
tout d'abord le rapport vundofix

VundoFix V6.5.9

Checking Java version...

Sun Java not detected
Scan started at 18:07:31 24/09/2007

Listing files found while scanning....

C:\windows\system32\byxyvut.dll
C:\windows\system32\cbxyyyx.dll
C:\windows\system32\efcbxwx.dll
C:\windows\system32\fccawxw.dll
C:\WINDOWS\System32\itaatfpk.ini
C:\windows\system32\jkkkhee.dll
C:\WINDOWS\System32\khfgdcc.dll
C:\WINDOWS\System32\kpftaati.dll
C:\WINDOWS\System32\nnlml.dll
C:\windows\system32\qommlij.dll
C:\windows\system32\rqrsqno.dll
C:\WINDOWS\System32\sibapjcg.dll
C:\windows\system32\ssqopoo.dll
C:\windows\system32\tuvtusr.dll
C:\windows\system32\vtustsq.dll
C:\windows\system32\xxyawwx.dll
C:\windows\system32\xxyvvtr.dll
C:\windows\system32\yaywwvt.dll

Beginning removal...

Attempting to delete C:\windows\system32\byxyvut.dll
C:\windows\system32\byxyvut.dll Has been deleted!

Attempting to delete C:\windows\system32\cbxyyyx.dll
C:\windows\system32\cbxyyyx.dll Has been deleted!

Attempting to delete C:\windows\system32\efcbxwx.dll
C:\windows\system32\efcbxwx.dll Has been deleted!

Attempting to delete C:\windows\system32\fccawxw.dll
C:\windows\system32\fccawxw.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\itaatfpk.ini
C:\WINDOWS\System32\itaatfpk.ini Has been deleted!

Attempting to delete C:\windows\system32\jkkkhee.dll
C:\windows\system32\jkkkhee.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\khfgdcc.dll
C:\WINDOWS\System32\khfgdcc.dll Could not be deleted.

Attempting to delete C:\WINDOWS\System32\kpftaati.dll
C:\WINDOWS\System32\kpftaati.dll Could not be deleted.

Attempting to delete C:\WINDOWS\System32\nnlml.dll
C:\WINDOWS\System32\nnlml.dll Could not be deleted.

Attempting to delete C:\windows\system32\qommlij.dll
C:\windows\system32\qommlij.dll Has been deleted!

Attempting to delete C:\windows\system32\rqrsqno.dll
C:\windows\system32\rqrsqno.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\sibapjcg.dll
C:\WINDOWS\System32\sibapjcg.dll Could not be deleted.

Attempting to delete C:\windows\system32\ssqopoo.dll
C:\windows\system32\ssqopoo.dll Has been deleted!

Attempting to delete C:\windows\system32\tuvtusr.dll
C:\windows\system32\tuvtusr.dll Has been deleted!

Attempting to delete C:\windows\system32\vtustsq.dll
C:\windows\system32\vtustsq.dll Has been deleted!

Attempting to delete C:\windows\system32\xxyawwx.dll
C:\windows\system32\xxyawwx.dll Has been deleted!

Attempting to delete C:\windows\system32\xxyvvtr.dll
C:\windows\system32\xxyvvtr.dll Has been deleted!

Attempting to delete C:\windows\system32\yaywwvt.dll
C:\windows\system32\yaywwvt.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\System32\khfgdcc.dll
C:\WINDOWS\System32\khfgdcc.dll Could not be deleted.

Attempting to delete C:\WINDOWS\System32\kpftaati.dll
C:\WINDOWS\System32\kpftaati.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\nnlml.dll
C:\WINDOWS\System32\nnlml.dll Could not be deleted.

Attempting to delete C:\WINDOWS\System32\sibapjcg.dll
C:\WINDOWS\System32\sibapjcg.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\khfgdcc.dll
C:\WINDOWS\system32\khfgdcc.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\nnlml.dll
C:\WINDOWS\system32\nnlml.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\vgyyircxj.exe
C:\WINDOWS\system32\vgyyircxj.exe Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\khfgdcc.dll
C:\WINDOWS\system32\khfgdcc.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\nnlml.dll
C:\WINDOWS\system32\nnlml.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\vgyyircxj.exe
C:\WINDOWS\system32\vgyyircxj.exe Has been deleted!

Performing Repairs to the registry.
Done!
Ensuite
le fichier Report.txt

SDFix: Version 1.107

Run by Papy on 25/09/2007 at 14:03

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\Papy\Bureau\SDFix

Safe Mode:
Checking Services:

Name:
Szservice

ImagePath:
"C:\WINDOWS\czsrv.exe"

Szservice - Deleted


C:\WINDOWS\system32\Microsoft\backup.ftp Found
C:\WINDOWS\system32\Microsoft\backup.tftp Found

Checking files:

Genuine:

Dummy:
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\Microsoft\backup.tftp
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache\tftp.exe

Files copied to SDFix\Backups

Restoring files if backups are found

Final Check:

Genuine:

Dummy:
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\Microsoft\backup.tftp
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache\tftp.exe



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\Program Files\Fichiers communs\Carlson\carlton - Deleted
C:\WINDOWS\astra32.exe - Deleted
C:\WINDOWS\czsrv.exe - Deleted
C:\WINDOWS\system32\Microsoft\backup.ftp - Deleted
C:\WINDOWS\system32\Microsoft\backup.tftp - Deleted


Folder C:\Program Files\Fichiers communs\Carlson - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\System32\\vgyyircxj.exe"="C:\\WINDOWS\\System32\\vgyyircxj.exe:*:Enabled:Log System"

Remaining Files:
---------------

File Backups: - C:\DOCUME~1\Papy\Bureau\SDFix\backups\backups.zip

Files with Hidden Attributes:

Tue 28 Aug 2001 80,384 ...H. --- "C:\spittlcnd.exe"
Tue 11 Sep 2007 20,992 A..H. --- "C:\WINDOWS\system32\korlfhv.exe"
Fri 21 Sep 2007 1,030,620 ..SH. --- "C:\WINDOWS\system32\lmlnn.bak2"
Tue 11 Sep 2007 1,135,411 ..SH. --- "C:\WINDOWS\system32\lmlnn.bak1"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP2\A0001101.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP2\A0002102.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP2\A0002122.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP2\A0003124.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP2\A0003145.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP2\A0004144.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP2\A0006144.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP2\A0006165.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP2\A0006185.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP2\A0007187.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP2\A0008187.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP2\A0008220.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP2\A0009220.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP2\A0009241.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP2\A0009262.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP2\A0009294.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP2\A0009333.exe"
Tue 28 Aug 2001 80,384 A.SHR --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009349.exe"
Tue 28 Aug 2001 69,860 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009359.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009387.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009410.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009451.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009487.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009503.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009521.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009540.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009589.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009606.exe"

Finished!

Et enfin, un nouveau log de hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:07:44, on 25/09/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\carpserv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Documents and Settings\Papy\Bureau\hijackthis\Vega.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {C27C45C1-A7B2-433E-B227-D54E6BA4F3F7} - C:\WINDOWS\System32\nnlml.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Log System] C:\WINDOWS\System32\vgyyircxj.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 3913 bytes
Tout cas cé du chinois, mais tes explications sont tres clairs, Bravo et merci
25 Septembre 2007 17:06:37

re

1

Un fichier résiste, je voudrais vérifier à qui on a affaire:
Rends toi sur ce lien : Virus Total
  • Clique sur Parcourir
  • Rends toi jusque sur ce fichier si tu le trouves :

    C:\WINDOWS\System32\vgyyircxj.exe

  • Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image :
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
    Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.


    2

    On passe à un outil plus puissant.

    Télécharge Combofix de sUBs :
    combofix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur combofix, Il va te poser une question, réponds en appuyant sur la touche1 puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé. Poste le rapport.

    ajoute un nouveau rapport Hijackthis.
    25 Septembre 2007 19:58:22

    Re
    1°) j'ai pas trouver le fichier indiqué dans ton point 1
    2°) Fichier log.txt
    ComboFix 07-09-21.2 - "Papy" 2007-09-25 19:49:50.1 - FAT32x86
    Microsoft Windows XP dition familiale 5.1.2600.0.1252.33.1036.18.117 [GMT 2:00]
    * Created a new restore point
    .

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Autorun.inf
    C:\WINDOWS\cookies.ini
    C:\WINDOWS\system32\akjdodqs.ini
    C:\WINDOWS\system32\khfgdcc.dll
    C:\WINDOWS\system32\pnarkbgw.dll
    C:\WINDOWS\system32\sqdodjka.dll
    C:\WINDOWS\system32\wgbkranp.ini
    D:\Autorun.inf

    .
    ((((((((((((((((((((((((( Files Created from 2007-08-25 to 2007-09-25 )))))))))))))))))))))))))))))))
    .

    2007-09-25 19:49 51,200 --a------ C:\WINDOWS\NirCmd.exe
    2007-09-25 17:52 <REP> d-------- C:\Program Files\Free.fr
    2007-09-25 14:02 <REP> d-------- C:\WINDOWS\ERUNT
    2007-09-25 09:23 80,384 ---h----- C:\spittlcnd.exe
    2007-09-24 18:07 <REP> d-------- C:\VundoFix Backups
    2007-09-24 13:35 0 --a------ C:\WINDOWS\nsreg.dat
    2007-09-24 12:57 <REP> d-------- C:\Program Files\CONEXANT
    2007-09-24 11:44 <REP> d-------- C:\Program Files\Yahoo!
    2007-09-24 11:44 <REP> d-------- C:\Program Files\CCleaner
    2007-09-24 11:38 <REP> d-------- C:\Program Files\Lavasoft
    2007-09-24 11:38 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2007-09-24 11:38 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft
    2007-09-21 15:26 <REP> d--hs---- C:\Recycled
    2007-09-21 15:24 98,304 --a------ C:\WINDOWS\system32\msir3jp.dll
    2007-09-21 15:24 838,144 --a------ C:\WINDOWS\system32\chtbrkr.dll
    2007-09-21 15:24 73,216 --a------ C:\WINDOWS\system32\uniime.dll
    2007-09-21 15:24 70,656 --a------ C:\WINDOWS\system32\korwbrkr.dll
    2007-09-21 15:24 11,840 --a------ C:\WINDOWS\system32\ljkqblbm.dll
    2007-09-21 15:24 1,677,824 --a------ C:\WINDOWS\system32\chsbrkr.dll
    2007-09-21 15:20 52,749 --a------ C:\WINDOWS\gh941.exe
    2007-09-19 17:27 <REP> d--hs---- C:\FOUND.003
    2007-09-19 17:09 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\MailFrontier
    2007-09-19 17:07 11,840 --a------ C:\WINDOWS\system32\fwrmkpqe.dll
    2007-09-19 17:03 <REP> d--hs---- C:\FOUND.002
    2007-09-19 15:59 11,840 --a------ C:\WINDOWS\system32\oyclfncc.dll
    2007-09-18 15:45 11,840 --a------ C:\WINDOWS\system32\nvdehpmr.dll
    2007-09-18 15:42 <REP> d--hs---- C:\FOUND.001
    2007-09-16 08:24 40,960 --a------ C:\5c3x8p2r8t8.exe
    2007-09-14 15:44 1,030,620 ---hs---- C:\WINDOWS\system32\lmlnn.bak2
    2007-09-14 15:42 <REP> d--hs---- C:\FOUND.000
    2007-09-11 14:51 321 ---hs---- C:\WINDOWS\system32\lmlnn.ini2
    2007-09-11 14:17 1,135,411 ---hs---- C:\WINDOWS\system32\lmlnn.bak1
    2007-09-11 13:54 40,960 --a------ C:\x9e7f6y6j2k7.exe
    2007-09-11 13:53 20,992 --ah----- C:\WINDOWS\system32\korlfhv.exe
    2007-09-11 13:12 <REP> d-------- C:\Program Files\Alwil Software
    2007-09-11 13:10 21,760 --a------ C:\WINDOWS\system32\dllcache\usbstor.sys
    2007-09-10 13:15 <REP> d-------- C:\Program Files\CyberLink
    2007-09-10 13:15 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\CyberLink
    2007-09-10 13:15 <REP> d-------- C:\AcerPrograms
    2007-09-10 13:14 <REP> d-------- C:\WINDOWS\Vbox
    2007-09-10 13:13 6,016 --a------ C:\WINDOWS\system32\drivers\NTIDrvr.sys
    2007-09-10 13:12 31,744 --a------ C:\WINDOWS\system32\addfilter.exe
    2007-09-10 13:12 10,000 --a------ C:\WINDOWS\system\regsvr32.exe
    2007-09-10 13:12 <REP> d-------- C:\WINDOWS\system32\Iosubsys
    2007-09-10 13:12 <REP> d-------- C:\Program Files\NewTech Infosystems
    2007-09-10 13:11 304,128 --a------ C:\WINDOWS\IsUninst.exe
    2007-09-10 13:11 <REP> d-------- C:\DOCUME~1\Papy\WINDOWS
    2007-09-10 13:10 <REP> dr------- C:\DOCUME~1\Papy\Mes documents
    2007-09-10 13:10 <REP> dr------- C:\DOCUME~1\Papy\Menu D‚marrer
    2007-09-10 13:10 <REP> dr------- C:\DOCUME~1\Papy\Favoris
    2007-09-10 13:10 <REP> d--h----- C:\DOCUME~1\Papy\Voisinage r‚seau
    2007-09-10 13:10 <REP> d--h----- C:\DOCUME~1\Papy\Voisinage d'impression
    2007-09-10 13:10 <REP> d--h----- C:\DOCUME~1\Papy\ModŠles
    2007-09-10 13:10 <REP> d-------- C:\WINDOWS\system32\config\SYSTEM~1\APPLIC~1\InterTrust
    2007-09-10 13:10 <REP> d-------- C:\Program Files\Raccourcis de programmes
    2007-09-10 13:10 <REP> d-------- C:\DOCUME~1\Papy\Bureau
    2007-09-10 13:10 <REP> d-------- C:\DOCUME~1\Papy\APPLIC~1\InterTrust

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-09-24 12:57 44032 --a------ C:\WINDOWS\system32\ftp.exe
    2007-09-24 12:57 44032 --a------ C:\WINDOWS\system32\dllcache\ftp.exe
    2007-09-24 12:57 17920 --a------ C:\WINDOWS\system32\tftp.exe
    2007-09-24 12:57 17920 --a------ C:\WINDOWS\system32\dllcache\tftp.exe
    2007-09-19 17:12 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
    2007-09-19 17:12 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
    2007-09-19 17:12 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
    2007-09-19 17:12 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
    2007-09-19 17:09 75932 --a------ C:\WINDOWS\system32\drivers\klick.dat
    2007-09-19 17:09 74396 --a------ C:\WINDOWS\system32\drivers\klin.dat
    2007-09-11 13:53 134656 --a------ C:\WINDOWS\system32\sfc_os.dll
    2007-09-09 15:42 626688 --a------ C:\WINDOWS\Aspire 1300.scr
    2007-09-09 15:42 12288 --a------ C:\WINDOWS\impborl.dll
    2007-09-09 15:42 --------- d-------- C:\Program Files\Launch Manager
    2007-09-09 15:35 --------- d--h----- C:\Program Files\InstallShield Installation Information
    2007-09-09 15:35 --------- d-------- C:\Program Files\microsoft frontpage
    2007-09-09 15:35 --------- d-------- C:\Program Files\Fichiers communs\InstallShield
    2007-09-09 15:35 --------- d-------- C:\Program Files\Apoint2K
    2007-09-09 15:30 --------- d-------- C:\Program Files\Fichiers communs\MSSoap
    2007-09-09 15:29 --------- d-------- C:\Program Files\Services en ligne
    2007-09-09 15:24 --------- d-------- C:\Program Files\Fichiers communs\ODBC
    2007-09-09 15:23 --------- d-------- C:\Program Files\Fichiers communs\SpeechEngines
    2007-09-06 12:09 801144 --a------ C:\WINDOWS\system32\aswBoot.exe
    2007-09-06 12:05 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
    2007-09-06 12:05 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
    2007-09-06 12:03 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
    2007-09-06 12:02 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
    2007-09-06 12:00 95608 --a------ C:\WINDOWS\system32\AvastSS.scr
    2007-09-06 12:00 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
    .

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .

    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C27C45C1-A7B2-433E-B227-D54E6BA4F3F7}]
    C:\WINDOWS\System32\nnlml.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "@"="" []
    "Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2001-10-19 20:46]
    "LManager"="C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE" [2002-05-29 19:53]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
    "Log System"="C:\WINDOWS\System32\vgyyircxj.exe" []
    "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54]
    "CARPService"="carpserv.exe" [2002-09-25 09:36 C:\WINDOWS\system32\carpserv.exe]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 12:00]

    R2 StreamDispatcher;StreamDispatcher;C:\WINDOWS\System32\DRIVERS\strmdisp.sys
    R3 CVIAAUD;Cnxt VIA 3D Environmental Audio;C:\WINDOWS\System32\drivers\cviaaud.sys
    R3 CVIAHALA;CVIAHALA;C:\WINDOWS\System32\drivers\cviahal.sys
    R3 HSFHWVIA;HSFHWVIA;C:\WINDOWS\System32\DRIVERS\HSFHWVIA.sys

    .
    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-09-25 19:52:34
    Windows 5.1.2600 FAT NTAPI

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-09-25 19:53:22 - machine was rebooted
    C:\ComboFix-quarantined-files.txt ... 2007-09-25 19:53
    .
    --- E O F ---
    3°) Fichier Hijackthis
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:55:04, on 25/09/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZONELABS\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\System32\carpserv.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\Documents and Settings\Papy\Bureau\hijackthis\Vega.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {C27C45C1-A7B2-433E-B227-D54E6BA4F3F7} - C:\WINDOWS\System32\nnlml.dll (file missing)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Log System] C:\WINDOWS\System32\vgyyircxj.exe
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

    --
    End of file - 3880 bytes
    25 Septembre 2007 23:21:53

    bonsoir

    ~Lance Hijackthis “Do a system scan only”.
    Coche les lignes qui suivent si encore présentes et uniquement celles-là.


    O2 - BHO: (no name) - {C27C45C1-A7B2-433E-B227-D54E6BA4F3F7} - C:\WINDOWS\System32\nnlml.dll (file missing)
    O4 - HKLM\..\Run: [Log System] C:\WINDOWS\System32\vgyyircxj.exe


    Clique sur Fix checked (en bas à gauche)



    Copie (Ctrl+C) le texte ci-dessous :
    File::
    C:\spittlcnd.exe
    C:\WINDOWS\nsreg.dat
    C:\WINDOWS\gh941.exe
    C:\WINDOWS\system32\fwrmkpqe.dll
    C:\WINDOWS\system32\oyclfncc.dll
    C:\WINDOWS\system32\nvdehpmr.dll
    C:\5c3x8p2r8t8.exe
    C:\WINDOWS\system32\lmlnn.bak2
    C:\WINDOWS\system32\lmlnn.ini2
    C:\WINDOWS\system32\lmlnn.bak1
    C:\x9e7f6y6j2k7.exe
    C:\WINDOWS\system32\korlfhv.exe
    Folder::
    C:\VundoFix Backups



    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture


  • Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  • Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


    ajoute un nouveau log hijackthis
    26 Septembre 2007 10:13:30

    Bonjour
    Voici log.txt
    ComboFix 07-09-21.2 - "Papy" 2007-09-26 10:07:21.2 - FAT32x86
    Microsoft Windows XP dition familiale 5.1.2600.0.1252.33.1036.18.77 [GMT 2:00]
    * Created a new restore point

    FILE::
    C:\spittlcnd.exe
    C:\WINDOWS\nsreg.dat
    C:\WINDOWS\gh941.exe
    C:\WINDOWS\system32\fwrmkpqe.dll
    C:\WINDOWS\system32\oyclfncc.dll
    C:\WINDOWS\system32\nvdehpmr.dll
    C:\5c3x8p2r8t8.exe
    C:\WINDOWS\system32\lmlnn.bak2
    C:\WINDOWS\system32\lmlnn.ini2
    C:\WINDOWS\system32\lmlnn.bak1
    C:\x9e7f6y6j2k7.exe
    C:\WINDOWS\system32\korlfhv.exe
    .

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\5c3x8p2r8t8.exe
    C:\spittlcnd.exe
    C:\VundoFix Backups
    C:\VundoFix Backups\byxyvut.dll.bad
    C:\VundoFix Backups\cbxyyyx.dll.bad
    C:\VundoFix Backups\efcbxwx.dll.bad
    C:\VundoFix Backups\fccawxw.dll.bad
    C:\VundoFix Backups\itaatfpk.ini.bad
    C:\VundoFix Backups\jkkkhee.dll.bad
    C:\VundoFix Backups\khfgdcc.dll.bad
    C:\VundoFix Backups\kpftaati.dll.bad
    C:\VundoFix Backups\nnlml.dll.bad
    C:\VundoFix Backups\qommlij.dll.bad
    C:\VundoFix Backups\rqrsqno.dll.bad
    C:\VundoFix Backups\sibapjcg.dll.bad
    C:\VundoFix Backups\ssqopoo.dll.bad
    C:\VundoFix Backups\tuvtusr.dll.bad
    C:\VundoFix Backups\vgyyircxj.exe.bad
    C:\VundoFix Backups\vtustsq.dll.bad
    C:\VundoFix Backups\xxyawwx.dll.bad
    C:\VundoFix Backups\xxyvvtr.dll.bad
    C:\VundoFix Backups\yaywwvt.dll.bad
    C:\WINDOWS\gh941.exe
    C:\WINDOWS\nsreg.dat
    C:\WINDOWS\system32\fwrmkpqe.dll
    C:\WINDOWS\system32\korlfhv.exe
    C:\WINDOWS\system32\lmlnn.bak1
    C:\WINDOWS\system32\lmlnn.bak2
    C:\WINDOWS\system32\lmlnn.ini2
    C:\WINDOWS\system32\nvdehpmr.dll
    C:\WINDOWS\system32\oyclfncc.dll
    C:\x9e7f6y6j2k7.exe

    .
    ((((((((((((((((((((((((( Files Created from 2007-08-26 to 2007-09-26 )))))))))))))))))))))))))))))))
    .

    2007-09-25 19:49 51,200 --a------ C:\WINDOWS\NirCmd.exe
    2007-09-25 17:52 <REP> d-------- C:\Program Files\Free.fr
    2007-09-25 14:02 <REP> d-------- C:\WINDOWS\ERUNT
    2007-09-24 12:57 <REP> d-------- C:\Program Files\CONEXANT
    2007-09-24 11:44 <REP> d-------- C:\Program Files\Yahoo!
    2007-09-24 11:44 <REP> d-------- C:\Program Files\CCleaner
    2007-09-24 11:38 <REP> d-------- C:\Program Files\Lavasoft
    2007-09-24 11:38 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2007-09-24 11:38 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft
    2007-09-21 15:26 <REP> d--hs---- C:\Recycled
    2007-09-21 15:24 98,304 --a------ C:\WINDOWS\system32\msir3jp.dll
    2007-09-21 15:24 838,144 --a------ C:\WINDOWS\system32\chtbrkr.dll
    2007-09-21 15:24 73,216 --a------ C:\WINDOWS\system32\uniime.dll
    2007-09-21 15:24 70,656 --a------ C:\WINDOWS\system32\korwbrkr.dll
    2007-09-21 15:24 11,840 --a------ C:\WINDOWS\system32\ljkqblbm.dll
    2007-09-21 15:24 1,677,824 --a------ C:\WINDOWS\system32\chsbrkr.dll
    2007-09-19 17:27 <REP> d--hs---- C:\FOUND.003
    2007-09-19 17:09 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\MailFrontier
    2007-09-19 17:03 <REP> d--hs---- C:\FOUND.002
    2007-09-18 15:42 <REP> d--hs---- C:\FOUND.001
    2007-09-14 15:42 <REP> d--hs---- C:\FOUND.000
    2007-09-11 13:12 <REP> d-------- C:\Program Files\Alwil Software
    2007-09-11 13:10 21,760 --a------ C:\WINDOWS\system32\dllcache\usbstor.sys
    2007-09-10 13:15 <REP> d-------- C:\Program Files\CyberLink
    2007-09-10 13:15 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\CyberLink
    2007-09-10 13:15 <REP> d-------- C:\AcerPrograms
    2007-09-10 13:14 <REP> d-------- C:\WINDOWS\Vbox
    2007-09-10 13:13 6,016 --a------ C:\WINDOWS\system32\drivers\NTIDrvr.sys
    2007-09-10 13:12 31,744 --a------ C:\WINDOWS\system32\addfilter.exe
    2007-09-10 13:12 10,000 --a------ C:\WINDOWS\system\regsvr32.exe
    2007-09-10 13:12 <REP> d-------- C:\WINDOWS\system32\Iosubsys
    2007-09-10 13:12 <REP> d-------- C:\Program Files\NewTech Infosystems
    2007-09-10 13:11 304,128 --a------ C:\WINDOWS\IsUninst.exe
    2007-09-10 13:11 <REP> d-------- C:\DOCUME~1\Papy\WINDOWS
    2007-09-10 13:10 <REP> dr------- C:\DOCUME~1\Papy\Mes documents
    2007-09-10 13:10 <REP> dr------- C:\DOCUME~1\Papy\Menu D‚marrer
    2007-09-10 13:10 <REP> dr------- C:\DOCUME~1\Papy\Favoris
    2007-09-10 13:10 <REP> d--h----- C:\DOCUME~1\Papy\Voisinage r‚seau
    2007-09-10 13:10 <REP> d--h----- C:\DOCUME~1\Papy\Voisinage d'impression
    2007-09-10 13:10 <REP> d--h----- C:\DOCUME~1\Papy\ModŠles
    2007-09-10 13:10 <REP> d-------- C:\WINDOWS\system32\config\SYSTEM~1\APPLIC~1\InterTrust
    2007-09-10 13:10 <REP> d-------- C:\Program Files\Raccourcis de programmes
    2007-09-10 13:10 <REP> d-------- C:\DOCUME~1\Papy\Bureau
    2007-09-10 13:10 <REP> d-------- C:\DOCUME~1\Papy\APPLIC~1\InterTrust

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-09-24 12:57 44032 --a------ C:\WINDOWS\system32\ftp.exe
    2007-09-24 12:57 44032 --a------ C:\WINDOWS\system32\dllcache\ftp.exe
    2007-09-24 12:57 17920 --a------ C:\WINDOWS\system32\tftp.exe
    2007-09-24 12:57 17920 --a------ C:\WINDOWS\system32\dllcache\tftp.exe
    2007-09-19 17:12 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
    2007-09-19 17:12 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
    2007-09-19 17:12 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
    2007-09-19 17:12 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
    2007-09-19 17:09 75932 --a------ C:\WINDOWS\system32\drivers\klick.dat
    2007-09-19 17:09 74396 --a------ C:\WINDOWS\system32\drivers\klin.dat
    2007-09-11 13:53 134656 --a------ C:\WINDOWS\system32\sfc_os.dll
    2007-09-09 15:42 626688 --a------ C:\WINDOWS\Aspire 1300.scr
    2007-09-09 15:42 12288 --a------ C:\WINDOWS\impborl.dll
    2007-09-09 15:42 --------- d-------- C:\Program Files\Launch Manager
    2007-09-09 15:35 --------- d--h----- C:\Program Files\InstallShield Installation Information
    2007-09-09 15:35 --------- d-------- C:\Program Files\microsoft frontpage
    2007-09-09 15:35 --------- d-------- C:\Program Files\Fichiers communs\InstallShield
    2007-09-09 15:35 --------- d-------- C:\Program Files\Apoint2K
    2007-09-09 15:30 --------- d-------- C:\Program Files\Fichiers communs\MSSoap
    2007-09-09 15:29 --------- d-------- C:\Program Files\Services en ligne
    2007-09-09 15:24 --------- d-------- C:\Program Files\Fichiers communs\ODBC
    2007-09-09 15:23 --------- d-------- C:\Program Files\Fichiers communs\SpeechEngines
    2007-09-06 12:09 801144 --a------ C:\WINDOWS\system32\aswBoot.exe
    2007-09-06 12:05 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
    2007-09-06 12:05 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
    2007-09-06 12:03 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
    2007-09-06 12:02 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
    2007-09-06 12:00 95608 --a------ C:\WINDOWS\system32\AvastSS.scr
    2007-09-06 12:00 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
    .

    ((((((((((((((((((((((((((((( snapshot_2007-09-25_195301.96 )))))))))))))))))))))))))))))))))))))))))
    .
    ----a-w 262,144 2007-09-26 08:07:04 C:\WINDOWS\system32\config\systemprofile\NTUSER.DAT
    ----a-w 16,384 2007-09-26 08:09:22 C:\WINDOWS\Temp\Perflib_Perfdata_5f0.dat
    .
    ----a-w 262,144 2007-09-25 17:49:30 C:\WINDOWS\system32\config\systemprofile\NTUSER.DAT
    ----a-w 16,384 2007-09-25 17:52:08 C:\WINDOWS\Temp\Perflib_Perfdata_5f0.dat
    .
    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .

    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "@"="" []
    "Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2001-10-19 20:46]
    "LManager"="C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE" [2002-05-29 19:53]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
    "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54]
    "CARPService"="carpserv.exe" [2002-09-25 09:36 C:\WINDOWS\system32\carpserv.exe]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 12:00]

    R2 StreamDispatcher;StreamDispatcher;C:\WINDOWS\System32\DRIVERS\strmdisp.sys
    R3 CVIAAUD;Cnxt VIA 3D Environmental Audio;C:\WINDOWS\System32\drivers\cviaaud.sys
    R3 CVIAHALA;CVIAHALA;C:\WINDOWS\System32\drivers\cviahal.sys
    R3 HSFHWVIA;HSFHWVIA;C:\WINDOWS\System32\DRIVERS\HSFHWVIA.sys

    .
    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-09-26 10:09:52
    Windows 5.1.2600 FAT NTAPI

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-09-26 10:10:41 - machine was rebooted
    C:\ComboFix-quarantined-files.txt ... 2007-09-26 10:10
    C:\ComboFix2.txt ... 2007-09-25 19:53
    .
    --- E O F ---
    et hijackthis
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:11:28, on 26/09/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZONELABS\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\System32\carpserv.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\Documents and Settings\Papy\Bureau\hijackthis\Vega.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

    --
    End of file - 3705 bytes
    26 Septembre 2007 21:27:46

    bonsoir

    on continue :) 

    ~ Télécharge Clean de Malekal
    http://www.malekal.com/download/clean.zip

    Enregistre-le sur ton bureau et dézippe-le
    Cela va créer un dossier clean.
    Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
    Double-clic sur clean.cmd.
    Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
    Clean va travailler.
    Poste le contenu du rapport généré.
    28 Septembre 2007 19:21:46

    Bonsoir
    je ne t'ai pas oublié....mais il faut bien que je travaille de temps en temps!
    J'ai téléchargé Clean mais quand j'ai double clic sur clean.cmd, il me met un message d'erreur"
    des fichiers manquants, avez vous bien décompresse toute l'archive
    le script ne peut continuer
    appuyer sur une touche pour continuer
    28 Septembre 2007 20:53:14

    bonsoir

    pas de soucis, il faut bien manger :lol: 

    supprime ta version et recommence depuis le début, suis la procédure à la lettre.
    +++++++++++++

    ~ Télécharge Clean de Malekal
    http://www.malekal.com/download/clean.zip

    Enregistre-le sur ton bureau et dézippe-le
    Cela va créer un dossier clean.
    Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
    Double-clic sur clean.cmd.
    Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
    Clean va travailler.
    Poste le contenu du rapport généré.
    30 Septembre 2007 17:06:24

    Bonjour
    Désolée pour avoir tarder à te répondre, je viens de réessayer comme tu m'as dit mais cela ne fonctionne toujours pas
    Quand je double clic sur clean.cmd il ne dit que des fichiers sont manquants, avez vous bien decompressé toute l'archive? Que dois je faire
    30 Septembre 2007 22:38:42

    bonsoir

    c'est curieux...

    supprime:
    C:\QooBox

    ++++++++++

    ~Télécharge AVG anti-spyware.
    http://www.ewido.net/en/download/
    ~Mets le à jour.

    ~Télécharge CCleaner:

    http://www.filehippo.com/download_ccleaner/

    ~Lors de l'installation décoche: "Ajouter la Barre d'Outils Yahoo! Ccleaner"


    1

    Redémarre en mode sans échec. (f8 au démarrage)

    2


    ~Lance CCleaner:

    Clique sur le bouton chercher les erreurs, tu fais « réparer les erreurs »
    Clique sur le bouton nettoyage, tu fais « lancer le nettoyage ».


    3

    ~Lance AVG anti-spyware.

    ~Dans l’onglet analyse, dans Paramètre, clique sur Actions recommandées : choisis Quarantaine.

    ~Clique sur Analyse puis Analyse complète du système pour commencer le scan.

    ~Une fois que le scan est terminé, clique sur Appliquer toutes les actions, pour supprimer tous les fichiers infectés trouvés par AVG Anti-Spyware.

    ~Une fois que la suppression des fichiers infectés a été faite, clique sur enregistrer le rapport et sauvegarde-le sur le bureau.
    ~Redémarre normalement

    4


    ~Copie/Colle le rapport AVG anti-spyware.

    +++++++++++++++++++++++++++++++++
    Tuto de CCleaner: (merci à Malekal) .
    http://www.malekal.com/tutorial_CCleaner.html

    TutoAVG antispyware : (merci à Malekal) .
    http://www.malekal.com/tutorial_AVG_AntiSpyware.html


    2 Octobre 2007 13:42:48

    Bonjour
    des que je me connecte sur le réseau Internet, il me dit qu'il y a des logiciles malveillant que je met en quarantaine. Est-ce normal?? Je n'arrive pas à ouvrir AVG antispyware pour récupérer le rapport
    2 Octobre 2007 14:30:57

    J'ai réssayé en etant déconnecté et voici le rapport
    ---------------------------------------------------------
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 14:24:37 02/10/2007

    + Résultat de l'analyse:



    C:\WINDOWS\system32\tgnkbj.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\gwzmiapx.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
    D:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP8\A0013016.exe -> Heuristic.Win32.Exploit : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\tvyrrfx.exe -> Proxy.Agent.by : Nettoyé et sauvegardé (mise en quarantaine).


    Fin du rapport

    A plus
    2 Octobre 2007 17:07:50

    bonjour

    1
    tu vas remplacer Avast! par Antivir, qui lui est un vrai antivirus, tu vas faire un scan avec et poster le rapport. :) 


    Désinstalle correctement Avast!


    Pour le remplacer par Antivir.

    -->Tuto<--


    Pourquoi changer ? : Avast! vs Antivir

    2
    reposte un log hijackthis

    3 Octobre 2007 12:13:04

    OK j'arrivais pas à avoir ta réponse, pas grave
    je pars en déplacement je le ferais samedi
    bonne fin de semaine
    3 Octobre 2007 12:20:31

    ok

    à samedi :) 
    7 Octobre 2007 20:27:52

    slt
    je ne sais si je vé m'en sortir. Est-ce que je ne ferais pas mieux de réinstaller???!!!
    7 Octobre 2007 21:56:21

    bonsoir

    continue :) 
    8 Octobre 2007 13:17:29

    Bonjour
    voila tout d'abord mon Hijacthis
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:14:57, on 08/10/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
    C:\WINDOWS\System32\carpserv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Documents and Settings\Papy\Bureau\hijackthis\Vega.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - C:\WINDOWS\System32\rqrpnol.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
    O20 - Winlogon Notify: rqrpnol - C:\WINDOWS\SYSTEM32\rqrpnol.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\frehost.exe (file missing)

    --
    End of file - 3983 bytes


    et mon report d'antivir




    AntiVir PersonalEdition Classic
    Report file date: lundi 8 octobre 2007 12:04

    Scanning for 1036370 virus strains and unwanted programs.

    Licensed to: Avira AntiVir PersonalEdition Classic
    Serial number: 0000149996-ADJIE-0001
    Platform: Windows XP
    Windows version: (plain) [5.1.2600]
    Username: Papy
    Computer name: PAPY

    Version information:
    BUILD.DAT : 269 15604 Bytes 10/09/2007 14:31:00
    AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:30
    AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:52
    LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:48
    LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:22
    ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 11:32:42
    ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10/07/2007 11:32:48
    ANTIVIR2.VDF : 6.39.1.43 1542656 Bytes 25/08/2007 16:21:02
    ANTIVIR3.VDF : 6.39.1.51 29696 Bytes 28/08/2007 06:22:36
    AVEWIN32.DLL : 7.6.0.5 2789888 Bytes 29/08/2007 16:09:10
    AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:28
    AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:18
    AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
    AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 07:46:02
    AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:08
    AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:34
    AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:20
    NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:44
    RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:14
    RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:38
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:22

    Configuration settings for the scan:
    Jobname..........................: Manual Selection
    Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
    Logging..........................: low
    Primary action...................: repair
    Secondary action.................: ignore
    Scan master boot sector..........: off
    Scan boot sector.................: on
    Boot sectors.....................: C:,
    Scan memory......................: on
    Process scan.....................: on
    Scan registry....................: on
    Search for rootkits..............: off
    Scan all files...................: All files
    Scan archives....................: on
    Recursion depth..................: 20
    Smart extensions.................: on
    Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
    Macro heuristic..................: on
    File heuristic...................: medium
    Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

    Start of the scan: lundi 8 octobre 2007 12:04

    The scan of running processes will be started
    Scan process 'avscan.exe' - '1' Module(s) have been scanned
    Scan process 'AVCENTER.EXE' - '1' Module(s) have been scanned
    Scan process 'GUARD.EXE' - '0' Module(s) have been scanned
    Scan process 'SCHED.EXE' - '1' Module(s) have been scanned
    Scan process 'ALG.EXE' - '1' Module(s) have been scanned
    Scan process 'aawservice.exe' - '1' Module(s) have been scanned
    Scan process 'ApntEx.exe' - '1' Module(s) have been scanned
    Scan process 'MSMSGS.EXE' - '1' Module(s) have been scanned
    Scan process 'CTFMON.EXE' - '1' Module(s) have been scanned
    Scan process 'AVGNT.EXE' - '1' Module(s) have been scanned
    Scan process 'AVGAS.EXE' - '1' Module(s) have been scanned
    Scan process 'CARPSERV.EXE' - '1' Module(s) have been scanned
    Scan process 'QtaET2S.EXE' - '1' Module(s) have been scanned
    Scan process 'Apoint.exe' - '1' Module(s) have been scanned
    Scan process 'AVGUARD.EXE' - '1' Module(s) have been scanned
    Scan process 'SPOOLSV.EXE' - '1' Module(s) have been scanned
    Scan process 'EXPLORER.EXE' - '1' Module(s) have been scanned
    Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
    Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
    Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
    Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
    Scan process 'LSASS.EXE' - '1' Module(s) have been scanned
    Scan process 'SERVICES.EXE' - '1' Module(s) have been scanned
    Scan process 'WINLOGON.EXE' - '1' Module(s) have been scanned
    Scan process 'CSRSS.EXE' - '1' Module(s) have been scanned
    Scan process 'SMSS.EXE' - '1' Module(s) have been scanned
    25 processes with 25 modules were scanned

    Start scanning boot sectors:
    Boot sector 'C:\'
    [NOTE] No virus was found!

    Starting to scan the registry.
    C:\WINDOWS\system32\rqrpnol.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '477c011d.qua' ( QUARANTINE )
    C:\WINDOWS\system32\rqrpnol.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen

    The registry was scanned ( '25' files ).


    Starting the file scan:

    Begin scan in 'C:\'
    C:\PAGEFILE.SYS
    [WARNING] The file could not be opened!
    C:\hiberfil.sys
    [WARNING] The file could not be opened!
    C:\FOUND.004\FILE0000.CHK
    [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Agent.apf.2 Backdoor server programs
    [INFO] A backup was created as '47560291.qua' ( QUARANTINE )
    C:\FOUND.004\FILE0001.CHK
    [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Agent.apf.2 Backdoor server programs
    [INFO] A backup was created as '463e67d2.qua' ( QUARANTINE )
    C:\FOUND.005\FILE0000.CHK
    [DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Krunchy). Please verify the origin of the file
    [INFO] A backup was created as '47560293.qua' ( QUARANTINE )
    C:\WINDOWS\NirCmd.exe
    [DETECTION] Contains detection pattern of the application APPL/NirCmd.1
    [INFO] A backup was created as '477c02b7.qua' ( QUARANTINE )
    C:\WINDOWS\system32\oupns.exe
    [DETECTION] Contains detection pattern of the worm WORM/VanBot.DM
    [INFO] A backup was created as '477a02e6.qua' ( QUARANTINE )
    C:\WINDOWS\system32\rqrpnol.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '477c02e3.qua' ( QUARANTINE )
    C:\WINDOWS\system32\egltsrwi.exe
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '477602da.qua' ( QUARANTINE )
    C:\WINDOWS\system32\ssqppqq.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '477b02e6.qua' ( QUARANTINE )
    C:\WINDOWS\system32\csrs.exe
    [DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Krunchy). Please verify the origin of the file
    [INFO] A backup was created as '477c02e6.qua' ( QUARANTINE )
    C:\WINDOWS\system32\mifmhnd.exe
    [DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Krunchy). Please verify the origin of the file
    [INFO] A backup was created as '477002dd.qua' ( QUARANTINE )
    C:\WINDOWS\system32\biugkt.exe
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '477f02dd.qua' ( QUARANTINE )
    C:\WINDOWS\system32\xxwja.exe
    [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Agent.apf.2 Backdoor server programs
    [INFO] A backup was created as '478102ed.qua' ( QUARANTINE )
    C:\WINDOWS\system32\rqrqomk.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '4615682f.qua' ( QUARANTINE )
    C:\WINDOWS\system32\qemdzqpl.exe
    [DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Krunchy). Please verify the origin of the file
    [INFO] A backup was created as '477702da.qua' ( QUARANTINE )
    C:\WINDOWS\system32\spoolsvc.exe
    [DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Krunchy). Please verify the origin of the file
    [INFO] A backup was created as '477902e6.qua' ( QUARANTINE )
    C:\WINDOWS\system32\rqrrqop.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '477c02e7.qua' ( QUARANTINE )
    C:\WINDOWS\system32\Isass.exe
    [DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Krunchy). Please verify the origin of the file
    [INFO] A backup was created as '476b02eb.qua' ( QUARANTINE )
    C:\WINDOWS\system32\iiffdax.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '477002e2.qua' ( QUARANTINE )
    C:\WINDOWS\system32\sggz.exe
    [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Agent.apf.2 Backdoor server programs
    [INFO] A backup was created as '477102e0.qua' ( QUARANTINE )
    C:\WINDOWS\system32\xxyyyxu.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '478302f1.qua' ( QUARANTINE )
    C:\WINDOWS\system32\wxfyvzo.exe
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.AH.9
    [INFO] A backup was created as '477002f2.qua' ( QUARANTINE )
    C:\WINDOWS\system32\inye.exe
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.AH.9
    [INFO] A backup was created as '478302e8.qua' ( QUARANTINE )
    C:\WINDOWS\system32\wuuazuda.exe
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '477f02ef.qua' ( QUARANTINE )
    C:\WINDOWS\system32\bjjzdlva.exe
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.AH.9
    [INFO] A backup was created as '477402e5.qua' ( QUARANTINE )
    C:\WINDOWS\system32\tlexfm.exe
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.AH.9
    [INFO] A backup was created as '476f02e7.qua' ( QUARANTINE )
    C:\WINDOWS\system32\kjgb.exe
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.AH.9
    [INFO] A backup was created as '477102e6.qua' ( QUARANTINE )
    C:\WINDOWS\system32\tjtmr.exe
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.AH.9
    [INFO] A backup was created as '477e02e6.qua' ( QUARANTINE )
    C:\WINDOWS\system32\kdcybcei.exe
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '476d02e1.qua' ( QUARANTINE )
    C:\WINDOWS\system32\feauswa.exe
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.AH.9
    [INFO] A backup was created as '476b02e2.qua' ( QUARANTINE )
    C:\WINDOWS\system32\opnmnon.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '477802ed.qua' ( QUARANTINE )
    C:\WINDOWS\system32\tycclm.exe
    [DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Krunchy). Please verify the origin of the file
    [INFO] A backup was created as '476d02f7.qua' ( QUARANTINE )
    C:\WINDOWS\system32\rzoczfrl.exe
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '477902f8.qua' ( QUARANTINE )
    C:\WINDOWS\system32\vmfc.exe
    [DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Krunchy). Please verify the origin of the file
    [INFO] A backup was created as '477002ec.qua' ( QUARANTINE )
    C:\WINDOWS\system32\ddawtqo.dll
    [DETECTION] Is the Trojan horse TR/PCK.Klone.K.20
    [INFO] A backup was created as '476b02e3.qua' ( QUARANTINE )
    C:\WINDOWS\system32\gebbcyy.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '476c02e4.qua' ( QUARANTINE )
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\89IBW92J\84785_redworld[1].exe
    [DETECTION] Is the Trojan horse TR/Crypt.NSPI.Gen
    [INFO] A backup was created as '474102b9.qua' ( QUARANTINE )
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\0HIT43U9\84785_redworld[1].exe
    [DETECTION] Is the Trojan horse TR/Crypt.NSPI.Gen
    [INFO] A backup was created as '462e8942.qua' ( QUARANTINE )
    C:\WINDOWS\system32\dllcache\frehost.exe
    [DETECTION] Is the Trojan horse TR/Crypt.NSPI.Gen
    [INFO] A backup was created as '476f030e.qua' ( QUARANTINE )
    C:\Documents and Settings\Papy\Mes documents\clean(2).zip
    [0] Archive type: ZIP
    --> clean/pskill.exe
    [DETECTION] Contains detection pattern of the SPR/Tool.PsKill.2 program
    [INFO] A backup was created as '476f0404.qua' ( QUARANTINE )
    C:\Documents and Settings\Papy\Bureau\ComboFix.exe
    [0] Archive type: RAR SFX (self extracting)
    --> nircmd.exe
    [DETECTION] Contains detection pattern of the application APPL/NirCmd.1
    --> setpath.cfexe
    [DETECTION] Contains suspicious code HEUR/Malware
    [INFO] A backup was created as '4777040d.qua' ( QUARANTINE )
    C:\Documents and Settings\Papy\Bureau\clean(2).zip
    [0] Archive type: ZIP
    --> clean/pskill.exe
    [DETECTION] Contains detection pattern of the SPR/Tool.PsKill.2 program
    [INFO] A backup was created as '476f040a.qua' ( QUARANTINE )
    C:\Documents and Settings\Papy\Bureau\SDFix\backups\backups.zip
    [0] Archive type: ZIP
    --> backups/astra32.exe
    [DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Themida). Please verify the origin of the file
    --> backups/czsrv.exe
    [DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Themida). Please verify the origin of the file
    [INFO] A backup was created as '476d0408.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP2\A0003117.dll
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
    [INFO] A backup was created as '473a0403.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP2\A0005138.dll
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
    [INFO] A backup was created as '473a0405.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP2\A0008180.DLL
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
    [INFO] A backup was created as '473a0407.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP2\A0009257.DLL
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
    [INFO] A backup was created as '473a0409.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP2\A0009328.dll
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
    [INFO] A backup was created as '473a040a.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009359.exe
    [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Agent.apf.2 Backdoor server programs
    [INFO] A backup was created as '473a040c.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009554.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '473a0410.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009555.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '46507441.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009556.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '473a0411.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009557.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '46507442.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009558.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '473a0413.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009559.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '473a0412.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009560.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '46507443.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009561.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '473a0414.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009562.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '46507444.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009563.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '473a0415.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009564.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '46507446.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009565.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '473a0417.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009566.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '46507445.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009577.DLL
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
    [INFO] A backup was created as '473a0416.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009625.DLL
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
    [INFO] A backup was created as '46507447.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009638.EXE
    [DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Themida). Please verify the origin of the file
    [INFO] A backup was created as '46507448.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009639.exe
    [DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Themida). Please verify the origin of the file
    [INFO] A backup was created as '473a0419.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009649.exe
    [DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Themida). Please verify the origin of the file
    [INFO] A backup was created as '473a0418.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP3\A0009650.exe
    [DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Themida). Please verify the origin of the file
    [INFO] A backup was created as '46507449.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP5\A0010658.dll
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
    [INFO] A backup was created as '473a041a.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP5\A0010659.dll
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
    [INFO] A backup was created as '473a041b.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP5\A0010660.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '4650744c.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP5\A0010695.exe
    [DETECTION] Contains detection pattern of the application APPL/NirCmd.1
    [INFO] A backup was created as '473a041c.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP5\A0010717.exe
    [DETECTION] Contains detection pattern of the application APPL/NirCmd.1
    [INFO] A backup was created as '473a041e.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP6\A0010729.exe
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] A backup was created as '473a041f.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP6\A0010766.EXE
    [DETECTION] Contains detection pattern of the application APPL/NirCmd.1
    [INFO] A backup was created as '473a0420.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP8\A0013027.exe
    [DETECTION] Is the Trojan horse TR/Crypt.NSPI.Gen
    [INFO] A backup was created as '473a042a.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP8\A0013036.exe
    [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Agent.apf.2 Backdoor server programs
    [INFO] A backup was created as '4650747b.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP8\A0014027.exe
    [DETECTION] Is the Trojan horse TR/Crypt.NSPI.Gen
    [INFO] A backup was created as '473a042b.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP8\A0016043.exe
    [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Agent.apf.2 Backdoor server programs
    [INFO] A backup was created as '473a042c.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP8\A0016051.exe
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.AH.9
    [INFO] A backup was created as '4650747d.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP8\A0016053.exe
    [DETECTION] Contains detection pattern of the worm WORM/VanBot.DT
    [INFO] A backup was created as '473a042d.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP8\A0017027.exe
    [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Agent.apf.2 Backdoor server programs
    [INFO] A backup was created as '4650747e.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP8\A0017034.exe
    [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Agent.apf.2 Backdoor server programs
    [INFO] A backup was created as '473a042e.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP8\A0017038.exe
    [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Agent.apf.2 Backdoor server programs
    [INFO] A backup was created as '4650747f.qua' ( QUARANTINE )
    C:\System Volume Information\_restore{1857E22A-E1ED-4A40-8E3C-B695528422B8}\RP8\A0018036.exe
    [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Agent.apf.2 Backdoor server programs
    [INFO] A backup was created as '473a042f.qua' ( QUARANTINE )


    End of the scan: lundi 8 octobre 2007 12:18
    Used time: 14:24 min

    The scan has been done completely.

    1020 Scanning directories
    74941 Files were scanned
    86 viruses and/or unwanted programs were found
    1 Files were classified as suspicious:
    0 files were deleted
    0 files were repaired
    85 files were moved to quarantine
    0 files were renamed
    2 Files cannot be scanned
    74855 Files not concerned
    5737 Archives were scanned
    6 Warnings
    1 Notes

    voila A+
    je pars en déplacement, bonne semaine
    8 Octobre 2007 22:07:53

    bonsoir

    certains fichiers résistent...

    1

    ~Lance Hijackthis “Do a system scan only”.
    Coche les lignes qui suivent si encore présentes et uniquement celles-là.



    O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - C:\WINDOWS\System32\rqrpnol.dll
    O20 - Winlogon Notify: rqrpnol - C:\WINDOWS\SYSTEM32\rqrpnol.dll
    O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\frehost.exe (file missing)


    Clique sur Fix checked (en bas à gauche)

    2

    Tu cliques sur démarrer, tu cliques executer et tu tapes dans la boîte de dialogue: services.msc , tu recherches la ligne de service Microsoft Agent et tu fais" type de démarrage désactivé" puis et "type de démarrage" sur arrêter.


    Copie (Ctrl+C) le texte ci-dessous :
    File::
    C:\WINDOWS\SYSTEM32\rqrpnol.dll
    C:\WINDOWS\System32\dllcache\frehost.exe



    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture


  • Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  • Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    13 Octobre 2007 18:40:55

    Slt
    ca marche pas!!! quand je mets le fichier cfscript.txt dans combofix.exe, antivir me donne un message "a virus or unwanted programme was found" que dois je lui dire Delete, access deny, ignore....
    j'ai essayé de dire ignore mais un autre message arrive et ainsi de suite
    13 Octobre 2007 18:42:18

    Slt
    ca marche pas!!! quand je mets le fichier cfscript.txt dans combofix.exe, antivir me donne un message "a virus or unwanted programme was found" que dois je lui dire Delete, access deny, ignore....
    j'ai essayé de dire ignore mais un autre message arrive et ainsi de suite
    13 Octobre 2007 23:02:28

    bonsoir

    ferme internet et désactive antivir le temps de la manipulation.
    réactive antivir dès que tu l'as fait.
    14 Octobre 2007 11:37:51

    Bonjour
    1°) Avec le Hijackthis il ne veut pas supprimer ces 2 lignes ci-dessous. J'ai essayé en mode sans echec c'est pareil
    O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - C:\WINDOWS\System32\rqrpnol.dll
    O20 - Winlogon Notify: rqrpnol - C:\WINDOWS\SYSTEM32\rqrpnol.dll


    2°) J'ai continué quand meme et voila le log.txt obtenu
    ComboFix 07-10-12.4 - Papy 2007-10-14 11:25:20.3 - FAT32x86
    Microsoft Windows XP dition familiale 5.1.2600.0.1252.1.1036.18.115 [GMT 2:00]
    Running from: C:\Documents and Settings\Papy\Bureau\ComboFix(2).exe
    Command switches used :: C:\Documents and Settings\Papy\Bureau\CFScript.txt
    * Created a new restore point

    FILE::
    C:\WINDOWS\System32\dllcache\frehost.exe
    C:\WINDOWS\SYSTEM32\rqrpnol.dll
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\csrs.exe
    C:\WINDOWS\system32\ddawtqo.dll
    C:\WINDOWS\system32\gebbcyy.dll
    C:\WINDOWS\system32\iiffdax.dll
    C:\WINDOWS\system32\isass.exe
    C:\WINDOWS\system32\ljkqblbm.dll
    C:\WINDOWS\system32\opnmnon.dll
    C:\WINDOWS\system32\rqrpnol.dll
    C:\WINDOWS\system32\rqrqomk.dll
    C:\WINDOWS\system32\rqrrqop.dll
    C:\WINDOWS\system32\ssqppqq.dll
    C:\WINDOWS\system32\xxyyyxu.dll

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2007-09-14 to 2007-10-14 ))))))))))))))))))))))))))))))))))))
    .

    2007-10-14 11:24 51,200 --a------ C:\WINDOWS\NirCmd.exe
    2007-10-08 08:24 <REP> d--hs---- C:\FOUND.007
    2007-10-06 14:24 1,635 --a------ C:\WINDOWS\system32\wsrr.exe
    2007-10-06 14:24 1,635 --a------ C:\WINDOWS\system32\vvxdn.exe
    2007-10-06 14:24 1,635 --a------ C:\WINDOWS\system32\dgqd.exe
    2007-10-06 14:14 117 --a------ C:\WINDOWS\system32\wefzvqo.bat
    2007-10-06 14:13 38,912 --a------ C:\WINDOWS\system32\vmfc.exe
    2007-10-06 14:12 53,773 --a------ C:\WINDOWS\system32\rzoczfrl.exe
    2007-10-06 14:12 15,785 --a------ C:\WINDOWS\system32\mvtjw.exe
    2007-10-06 14:12 1,635 --a------ C:\WINDOWS\system32\hfzo.exe
    2007-10-06 14:00 15,785 --a------ C:\WINDOWS\system32\tpxhd.exe
    2007-10-06 13:35 38,912 --a------ C:\WINDOWS\system32\tycclm.exe
    2007-10-06 13:35 1,635 --a------ C:\WINDOWS\system32\xjrsdk.exe
    2007-10-06 13:35 1,635 --a------ C:\WINDOWS\system32\pcsel.exe
    2007-10-06 13:35 1,635 --a------ C:\WINDOWS\system32\cozek.exe
    2007-10-06 13:34 127,516 --ah----- C:\WINDOWS\system32\oupns.exe
    2007-10-06 13:30 <REP> d-------- C:\Program Files\Avira
    2007-10-06 13:30 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2007-10-06 12:03 15,785 --a------ C:\WINDOWS\system32\gtzbjuhw.exe
    2007-10-06 12:03 11,148 --a------ C:\WINDOWS\system32\wxfyvzo.exe
    2007-10-06 11:57 53,773 --a------ C:\WINDOWS\system32\kdcybcei.exe
    2007-10-06 11:57 15,785 --a------ C:\WINDOWS\system32\pqiccw.exe
    2007-10-06 11:57 11,148 --a------ C:\WINDOWS\system32\tjtmr.exe
    2007-10-06 11:57 11,148 --a------ C:\WINDOWS\system32\feauswa.exe
    2007-10-06 11:57 1,635 --a------ C:\WINDOWS\system32\udzpvwzn.exe
    2007-10-06 11:57 1,635 --a------ C:\WINDOWS\system32\sfbo.exe
    2007-10-06 11:55 11,148 --a------ C:\WINDOWS\system32\kjgb.exe
    2007-10-06 11:52 1,635 --a------ C:\WINDOWS\system32\lsnhy.exe
    2007-10-06 11:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
    2007-10-06 11:41 <REP> d--hs---- C:\FOUND.006
    2007-10-02 15:02 124 --a------ C:\WINDOWS\system32\qyrav.bat
    2007-10-02 15:00 15,785 --a------ C:\WINDOWS\system32\mhyrsp.exe
    2007-10-02 15:00 11,148 --a------ C:\WINDOWS\system32\bjjzdlva.exe
    2007-10-02 14:58 15,785 --a------ C:\WINDOWS\system32\hntbape.exe
    2007-10-02 14:58 11,148 --a------ C:\WINDOWS\system32\tlexfm.exe
    2007-10-02 14:56 53,773 --a------ C:\WINDOWS\system32\wuuazuda.exe
    2007-10-02 14:56 15,785 --a------ C:\WINDOWS\system32\wpri.exe
    2007-10-02 14:56 11,148 --a------ C:\WINDOWS\system32\inye.exe
    2007-10-02 14:56 1,635 --a------ C:\WINDOWS\system32\oxxlhyys.exe
    2007-10-02 14:51 69,860 --ah----- C:\WINDOWS\system32\sggz.exe
    2007-10-02 14:51 114 --a------ C:\WINDOWS\system32\aysz.bat
    2007-10-02 14:45 <REP> d--hs---- C:\FOUND.005
    2007-10-02 14:45 35,328 --a------ C:\WINDOWS\system32\mljkhgh.dll
    2007-10-02 14:45 1,635 --a------ C:\WINDOWS\system32\xdaxmguo.exe
    2007-10-02 14:45 1,635 --a------ C:\WINDOWS\system32\mjkoije.exe
    2007-10-02 14:33 1,635 --a------ C:\WINDOWS\system32\vcsg.exe
    2007-10-02 14:33 1,635 --a------ C:\WINDOWS\system32\ogcbirk.exe
    2007-10-02 14:29 116 --a------ C:\WINDOWS\system32\ionozr.bat
    2007-10-02 13:44 35,328 --a------ C:\WINDOWS\system32\hgghifc.dll
    2007-10-02 13:34 1,635 --a------ C:\WINDOWS\system32\gvfm.exe
    2007-10-02 13:34 1,635 --a------ C:\WINDOWS\system32\acmj.exe
    2007-10-02 13:31 34,816 --ah----- C:\WINDOWS\system32\qemdzqpl.exe
    2007-10-02 13:31 128 --a------ C:\WINDOWS\system32\wdsvwo.bat
    2007-10-02 13:30 69,860 --ah----- C:\WINDOWS\system32\xxwja.exe
    2007-10-02 13:30 121 --a------ C:\WINDOWS\system32\pdnxfelr.bat
    2007-10-02 13:29 1,635 --a------ C:\WINDOWS\system32\scekns.exe
    2007-10-02 13:29 1,635 --a------ C:\WINDOWS\system32\gsgv.exe
    2007-10-02 13:24 53,773 --a------ C:\WINDOWS\system32\biugkt.exe
    2007-10-02 13:24 1,635 --a------ C:\WINDOWS\system32\pyelim.exe
    2007-10-02 13:24 1,635 --a------ C:\WINDOWS\system32\lbcp.exe
    2007-10-02 13:24 124 --a------ C:\WINDOWS\system32\fanfv.bat
    2007-10-02 13:23 34,816 --ah----- C:\WINDOWS\system32\mifmhnd.exe
    2007-10-02 13:21 120 --a------ C:\WINDOWS\system32\vjjm.bat
    2007-10-02 13:19 53,773 --------- C:\WINDOWS\system32\egltsrwi.exe
    2007-10-02 13:19 1,635 --a------ C:\WINDOWS\system32\vqramvjo.exe
    2007-10-02 13:19 1,635 --a------ C:\WINDOWS\system32\pbenkgy.exe
    2007-10-02 11:42 1,635 --a------ C:\WINDOWS\system32\umfx.exe
    2007-10-02 11:42 1,635 --a------ C:\WINDOWS\system32\kflpn.exe
    2007-10-02 11:40 <REP> d--hs---- C:\FOUND.004
    2007-10-02 11:36 4,096 --ah----- C:\WINDOWS\system32\eqvxmax.exe
    2007-10-02 11:27 <REP> d-------- C:\Documents and Settings\Papy\Application Data\Grisoft
    2007-10-02 11:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
    2007-10-02 11:27 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2007-09-25 17:52 <REP> d-------- C:\Program Files\Free.fr
    2007-09-25 14:02 <REP> d-------- C:\WINDOWS\ERUNT
    2007-09-24 12:57 <REP> d-------- C:\Program Files\CONEXANT
    2007-09-24 11:44 <REP> d-------- C:\Program Files\Yahoo!
    2007-09-24 11:44 <REP> d-------- C:\Program Files\CCleaner
    2007-09-24 11:38 <REP> d---s---- C:\WINDOWS\system32\Microsoft
    2007-09-24 11:38 <REP> d-------- C:\Program Files\Lavasoft
    2007-09-24 11:38 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2007-09-24 11:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
    2007-09-21 15:26 <REP> d--hs---- C:\Recycled
    2007-09-21 15:24 1,677,824 --a------ C:\WINDOWS\system32\chsbrkr.dll
    2007-09-21 15:24 838,144 --a------ C:\WINDOWS\system32\chtbrkr.dll
    2007-09-21 15:24 98,304 --a------ C:\WINDOWS\system32\msir3jp.dll
    2007-09-21 15:24 73,216 --a------ C:\WINDOWS\system32\uniime.dll
    2007-09-21 15:24 70,656 --a------ C:\WINDOWS\system32\korwbrkr.dll
    2007-09-19 17:27 <REP> d--hs---- C:\FOUND.003
    2007-09-19 17:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
    2007-09-19 17:09 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
    2007-09-19 17:09 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
    2007-09-19 17:08 <REP> d-------- C:\WINDOWS\Internet Logs
    2007-09-19 17:03 <REP> d--hs---- C:\FOUND.002
    2007-09-18 15:42 <REP> d--hs---- C:\FOUND.001

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-10-13 18:09 524,288 ---ha-w C:\Documents and Settings\Propriétaire\NTUSER.DAT
    2007-09-24 10:57 44,032 ----a-w C:\WINDOWS\system32\ftp.exe
    2007-09-24 10:57 44,032 ----a-w C:\WINDOWS\system32\dllcache\ftp.exe
    2007-09-24 10:57 17,920 ----a-w C:\WINDOWS\system32\tftp.exe
    2007-09-24 10:57 17,920 ----a-w C:\WINDOWS\system32\dllcache\tftp.exe
    2007-09-11 11:53 134,656 ----a-w C:\WINDOWS\system32\sfc_os.dll
    2007-09-11 11:12 --------- d-----w C:\Program Files\Alwil Software
    2007-09-10 11:15 --------- d-----w C:\Program Files\CyberLink
    2007-09-10 11:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\CyberLink
    2007-09-10 11:12 --------- d-----w C:\Program Files\NewTech Infosystems
    2007-09-10 11:10 --------- d-----w C:\Program Files\Raccourcis de programmes
    2007-09-09 13:42 626,688 ----a-w C:\WINDOWS\Aspire 1300.scr
    2007-09-09 13:42 12,288 ----a-w C:\WINDOWS\impborl.dll
    2007-09-09 13:42 --------- d-----w C:\Program Files\Launch Manager
    2007-09-09 13:40 --------- d-----w C:\Program Files\Fichiers communs\Adobe
    2007-09-09 13:40 --------- d-----w C:\Documents and Settings\Papy\Application Data\InterTrust
    2007-09-09 13:35 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2007-09-09 13:35 --------- d-----w C:\Program Files\microsoft frontpage
    2007-09-09 13:35 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
    2007-09-09 13:35 --------- d-----w C:\Program Files\Apoint2K
    2007-09-09 13:30 --------- d-----w C:\Program Files\Fichiers communs\MSSoap
    2007-09-09 13:29 --------- d-----w C:\Program Files\Services en ligne
    2007-09-09 13:24 --------- d-----w C:\Program Files\Fichiers communs\ODBC
    2007-09-09 13:23 --------- d-----w C:\Program Files\Fichiers communs\SpeechEngines
    2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
    2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "@"="" []
    "Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2001-10-19 20:46]
    "LManager"="C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE" [2002-05-29 19:53]
    "CARPService"="carpserv.exe" [2002-09-25 09:36 C:\WINDOWS\system32\carpserv.exe]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 12:00]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 07:14]

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
    "<NO NAME>"=

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
    "DisableRegistryTools"=0 (0x0)

    R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys
    R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
    R2 StreamDispatcher;StreamDispatcher;C:\WINDOWS\System32\DRIVERS\strmdisp.sys
    R3 CVIAAUD;Cnxt VIA 3D Environmental Audio;C:\WINDOWS\System32\drivers\cviaaud.sys
    R3 CVIAHALA;CVIAHALA;C:\WINDOWS\System32\drivers\cviahal.sys
    R3 HSFHWVIA;HSFHWVIA;C:\WINDOWS\System32\DRIVERS\HSFHWVIA.sys

    .
    **************************************************************************

    catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-10-14 11:32:59
    Windows 5.1.2600 FAT NTAPI

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-10-14 11:33:37 - machine was rebooted
    C:\ComboFix-quarantined-files.txt ... 2007-09-26 10:10
    C:\ComboFix3.txt ... 2007-09-25 19:53
    C:\ComboFix2.txt ... 2007-09-26 10:10
    .
    --- E O F ---
    A plus tard
    14 Octobre 2007 21:56:00

    bonsoir

    ton infection est bien collante...

    on continue

    1

    Copie (Ctrl+C) le texte ci-dessous :
    File::
    C:\WINDOWS\system32\eqvxmax.exe
    C:\WINDOWS\system32\kflpn.exe
    C:\WINDOWS\system32\umfx.exe
    C:\WINDOWS\system32\pbenkgy.exe
    C:\WINDOWS\system32\vqramvjo.exe
    C:\WINDOWS\system32\egltsrwi.exe
    C:\WINDOWS\system32\vjjm.bat
    C:\WINDOWS\system32\mifmhnd.exe
    C:\WINDOWS\system32\fanfv.bat
    C:\WINDOWS\system32\lbcp.exe
    C:\WINDOWS\system32\pyelim.exe
    C:\WINDOWS\system32\biugkt.exe
    C:\WINDOWS\system32\gsgv.exe
    C:\WINDOWS\system32\scekns.exe
    C:\WINDOWS\system32\pdnxfelr.bat
    C:\WINDOWS\system32\xxwja.exe
    C:\WINDOWS\system32\wdsvwo.bat
    C:\WINDOWS\system32\qemdzqpl.exe
    C:\WINDOWS\system32\acmj.exe
    C:\WINDOWS\system32\gvfm.exe
    C:\WINDOWS\system32\hgghifc.dll
    C:\WINDOWS\system32\ionozr.bat
    C:\WINDOWS\system32\ogcbirk.exe
    C:\WINDOWS\system32\vcsg.exe
    C:\WINDOWS\system32\mjkoije.exe
    C:\WINDOWS\system32\xdaxmguo.exe
    C:\WINDOWS\system32\mljkhgh.dll
    C:\WINDOWS\system32\aysz.bat
    C:\WINDOWS\system32\sggz.exe
    C:\WINDOWS\system32\oxxlhyys.exe
    C:\WINDOWS\system32\inye.exe
    C:\WINDOWS\system32\wpri.exe
    C:\WINDOWS\system32\wuuazuda.exe
    C:\WINDOWS\system32\tlexfm.exe
    C:\WINDOWS\system32\hntbape.exe
    C:\WINDOWS\system32\bjjzdlva.exe
    C:\WINDOWS\system32\mhyrsp.exe
    C:\WINDOWS\system32\qyrav.bat
    C:\WINDOWS\system32\lsnhy.exe
    C:\WINDOWS\system32\kjgb.exe
    C:\WINDOWS\system32\sfbo.exe
    C:\WINDOWS\system32\udzpvwzn.exe
    C:\WINDOWS\system32\feauswa.exe
    C:\WINDOWS\system32\tjtmr.exe
    C:\WINDOWS\system32\pqiccw.exe
    C:\WINDOWS\system32\kdcybcei.exe
    C:\WINDOWS\system32\wxfyvzo.exe
    C:\WINDOWS\system32\gtzbjuhw.exe
    C:\WINDOWS\system32\oupns.exe
    C:\WINDOWS\system32\cozek.exe
    C:\WINDOWS\system32\pcsel.exe
    C:\WINDOWS\system32\xjrsdk.exe
    C:\WINDOWS\system32\tycclm.exe
    C:\WINDOWS\system32\tpxhd.exe
    C:\WINDOWS\system32\hfzo.exe
    C:\WINDOWS\system32\mvtjw.exe
    C:\WINDOWS\system32\rzoczfrl.exe
    C:\WINDOWS\system32\vmfc.exe
    C:\WINDOWS\system32\wefzvqo.bat
    C:\WINDOWS\system32\dgqd.exe
    C:\WINDOWS\system32\vvxdn.exe
    C:\WINDOWS\system32\wsrr.exe
    Folder::
    C:\FOUND.007
    C:\FOUND.006
    C:\FOUND.005
    C:\FOUND.004
    C:\FOUND.003
    C:\FOUND.002
    C:\FOUND.001



    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture


  • Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  • Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    2

    poste un nouveau log hijackthis
    15 Octobre 2007 10:30:11

    Bonjour
    j'ai vrai que je t'en donne du boulot
    Donc voici les 2 rapports
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:27:00, on 15/10/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
    C:\WINDOWS\System32\carpserv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Documents and Settings\Papy\Bureau\hijackthis\Vega.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

    --
    End of file - 3715 bytes


    ComboFix 07-10-12.4 - Papy 2007-10-15 8:34:20.4 - FAT32x86
    Microsoft Windows XP dition familiale 5.1.2600.0.1252.1.1036.18.122 [GMT 2:00]
    Running from: C:\Documents and Settings\Papy\Bureau\ComboFix(2).exe
    Command switches used :: C:\Documents and Settings\Papy\Bureau\CFScript.txt
    * Created a new restore point

    FILE::
    C:\WINDOWS\system32\acmj.exe
    C:\WINDOWS\system32\aysz.bat
    C:\WINDOWS\system32\biugkt.exe
    C:\WINDOWS\system32\bjjzdlva.exe
    C:\WINDOWS\system32\cozek.exe
    C:\WINDOWS\system32\dgqd.exe
    C:\WINDOWS\system32\egltsrwi.exe
    C:\WINDOWS\system32\eqvxmax.exe
    C:\WINDOWS\system32\fanfv.bat
    C:\WINDOWS\system32\feauswa.exe
    C:\WINDOWS\system32\gsgv.exe
    C:\WINDOWS\system32\gtzbjuhw.exe
    C:\WINDOWS\system32\gvfm.exe
    C:\WINDOWS\system32\hfzo.exe
    C:\WINDOWS\system32\hgghifc.dll
    C:\WINDOWS\system32\hntbape.exe
    C:\WINDOWS\system32\inye.exe
    C:\WINDOWS\system32\ionozr.bat
    C:\WINDOWS\system32\kdcybcei.exe
    C:\WINDOWS\system32\kflpn.exe
    C:\WINDOWS\system32\kjgb.exe
    C:\WINDOWS\system32\lbcp.exe
    C:\WINDOWS\system32\lsnhy.exe
    C:\WINDOWS\system32\mhyrsp.exe
    C:\WINDOWS\system32\mifmhnd.exe
    C:\WINDOWS\system32\mjkoije.exe
    C:\WINDOWS\system32\mljkhgh.dll
    C:\WINDOWS\system32\mvtjw.exe
    C:\WINDOWS\system32\ogcbirk.exe
    C:\WINDOWS\system32\oupns.exe
    C:\WINDOWS\system32\oxxlhyys.exe
    C:\WINDOWS\system32\pbenkgy.exe
    C:\WINDOWS\system32\pcsel.exe
    C:\WINDOWS\system32\pdnxfelr.bat
    C:\WINDOWS\system32\pqiccw.exe
    C:\WINDOWS\system32\pyelim.exe
    C:\WINDOWS\system32\qemdzqpl.exe
    C:\WINDOWS\system32\qyrav.bat
    C:\WINDOWS\system32\rzoczfrl.exe
    C:\WINDOWS\system32\scekns.exe
    C:\WINDOWS\system32\sfbo.exe
    C:\WINDOWS\system32\sggz.exe
    C:\WINDOWS\system32\tjtmr.exe
    C:\WINDOWS\system32\tlexfm.exe
    C:\WINDOWS\system32\tpxhd.exe
    C:\WINDOWS\system32\tycclm.exe
    C:\WINDOWS\system32\udzpvwzn.exe
    C:\WINDOWS\system32\umfx.exe
    C:\WINDOWS\system32\vcsg.exe
    C:\WINDOWS\system32\vjjm.bat
    C:\WINDOWS\system32\vmfc.exe
    C:\WINDOWS\system32\vqramvjo.exe
    C:\WINDOWS\system32\vvxdn.exe
    C:\WINDOWS\system32\wdsvwo.bat
    C:\WINDOWS\system32\wefzvqo.bat
    C:\WINDOWS\system32\wpri.exe
    C:\WINDOWS\system32\wsrr.exe
    C:\WINDOWS\system32\wuuazuda.exe
    C:\WINDOWS\system32\wxfyvzo.exe
    C:\WINDOWS\system32\xdaxmguo.exe
    C:\WINDOWS\system32\xjrsdk.exe
    C:\WINDOWS\system32\xxwja.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\FOUND.001
    C:\FOUND.001\FILE0000.CHK
    C:\FOUND.001\FILE0002.CHK
    C:\FOUND.002
    C:\FOUND.002\FILE0000.CHK
    C:\FOUND.002\FILE0001.CHK
    C:\FOUND.002\FILE0002.CHK
    C:\FOUND.003
    C:\FOUND.003\FILE0000.CHK
    C:\FOUND.004
    C:\FOUND.004\FILE0000.CHK
    C:\FOUND.004\FILE0001.CHK
    C:\FOUND.004\FILE0002.CHK
    C:\FOUND.005
    C:\FOUND.005\FILE0000.CHK
    C:\FOUND.006
    C:\FOUND.006\FILE0000.CHK
    C:\FOUND.007
    C:\FOUND.007\FILE0000.CHK
    C:\FOUND.007\FILE0001.CHK
    C:\FOUND.007\FILE0002.CHK
    C:\FOUND.007\FILE0003.CHK
    C:\FOUND.007\FILE0004.CHK
    C:\FOUND.007\FILE0005.CHK
    C:\FOUND.007\FILE0006.CHK
    C:\FOUND.007\FILE0007.CHK
    C:\FOUND.007\FILE0008.CHK
    C:\FOUND.007\FILE0009.CHK
    C:\FOUND.007\FILE0010.CHK
    C:\FOUND.007\FILE0011.CHK
    C:\FOUND.007\FILE0012.CHK
    C:\FOUND.007\FILE0013.CHK
    C:\FOUND.007\FILE0014.CHK
    C:\FOUND.007\FILE0015.CHK
    C:\FOUND.007\FILE0016.CHK
    C:\FOUND.007\FILE0017.CHK
    C:\FOUND.007\FILE0018.CHK
    C:\FOUND.007\FILE0019.CHK
    C:\FOUND.007\FILE0020.CHK
    C:\FOUND.007\FILE0021.CHK
    C:\FOUND.007\FILE0022.CHK
    C:\FOUND.007\FILE0023.CHK
    C:\FOUND.007\FILE0024.CHK
    C:\FOUND.007\FILE0025.CHK
    C:\FOUND.007\FILE0026.CHK
    C:\FOUND.007\FILE0027.CHK
    C:\FOUND.007\FILE0028.CHK
    C:\FOUND.007\FILE0029.CHK
    C:\FOUND.007\FILE0030.CHK
    C:\FOUND.007\FILE0031.CHK
    C:\FOUND.007\FILE0032.CHK
    C:\FOUND.007\FILE0033.CHK
    C:\FOUND.007\FILE0034.CHK
    C:\FOUND.007\FILE0035.CHK
    C:\FOUND.007\FILE0036.CHK
    C:\FOUND.007\FILE0037.CHK
    C:\FOUND.007\FILE0038.CHK
    C:\FOUND.007\FILE0039.CHK
    C:\FOUND.007\FILE0040.CHK
    C:\FOUND.007\FILE0041.CHK
    C:\FOUND.007\FILE0042.CHK
    C:\FOUND.007\FILE0043.CHK
    C:\WINDOWS\system32\acmj.exe
    C:\WINDOWS\system32\aysz.bat
    C:\WINDOWS\system32\biugkt.exe
    C:\WINDOWS\system32\bjjzdlva.exe
    C:\WINDOWS\system32\cozek.exe
    C:\WINDOWS\system32\dgqd.exe
    C:\WINDOWS\system32\egltsrwi.exe
    C:\WINDOWS\system32\eqvxmax.exe
    C:\WINDOWS\system32\fanfv.bat
    C:\WINDOWS\system32\feauswa.exe
    C:\WINDOWS\system32\gsgv.exe
    C:\WINDOWS\system32\gtzbjuhw.exe
    C:\WINDOWS\system32\gvfm.exe
    C:\WINDOWS\system32\hfzo.exe
    C:\WINDOWS\system32\hgghifc.dll
    C:\WINDOWS\system32\hntbape.exe
    C:\WINDOWS\system32\inye.exe
    C:\WINDOWS\system32\ionozr.bat
    C:\WINDOWS\system32\kdcybcei.exe
    C:\WINDOWS\system32\kflpn.exe
    C:\WINDOWS\system32\kjgb.exe
    C:\WINDOWS\system32\lbcp.exe
    C:\WINDOWS\system32\lsnhy.exe
    C:\WINDOWS\system32\mhyrsp.exe
    C:\WINDOWS\system32\mifmhnd.exe
    C:\WINDOWS\system32\mjkoije.exe
    C:\WINDOWS\system32\mljkhgh.dll
    C:\WINDOWS\system32\mvtjw.exe
    C:\WINDOWS\system32\ogcbirk.exe
    C:\WINDOWS\system32\oupns.exe
    C:\WINDOWS\system32\oxxlhyys.exe
    C:\WINDOWS\system32\pbenkgy.exe
    C:\WINDOWS\system32\pcsel.exe
    C:\WINDOWS\system32\pdnxfelr.bat
    C:\WINDOWS\system32\pqiccw.exe
    C:\WINDOWS\system32\pyelim.exe
    C:\WINDOWS\system32\qemdzqpl.exe
    C:\WINDOWS\system32\qyrav.bat
    C:\WINDOWS\system32\rzoczfrl.exe
    C:\WINDOWS\system32\scekns.exe
    C:\WINDOWS\system32\sfbo.exe
    C:\WINDOWS\system32\sggz.exe
    C:\WINDOWS\system32\tjtmr.exe
    C:\WINDOWS\system32\tlexfm.exe
    C:\WINDOWS\system32\tpxhd.exe
    C:\WINDOWS\system32\tycclm.exe
    C:\WINDOWS\system32\udzpvwzn.exe
    C:\WINDOWS\system32\umfx.exe
    C:\WINDOWS\system32\vcsg.exe
    C:\WINDOWS\system32\vjjm.bat
    C:\WINDOWS\system32\vmfc.exe
    C:\WINDOWS\system32\vqramvjo.exe
    C:\WINDOWS\system32\vvxdn.exe
    C:\WINDOWS\system32\wdsvwo.bat
    C:\WINDOWS\system32\wefzvqo.bat
    C:\WINDOWS\system32\wpri.exe
    C:\WINDOWS\system32\wsrr.exe
    C:\WINDOWS\system32\wuuazuda.exe
    C:\WINDOWS\system32\wxfyvzo.exe
    C:\WINDOWS\system32\xdaxmguo.exe
    C:\WINDOWS\system32\xjrsdk.exe
    C:\WINDOWS\system32\xxwja.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2007-09-15 to 2007-10-15 ))))))))))))))))))))))))))))))))))))
    .

    2007-10-14 11:24 51,200 --a------ C:\WINDOWS\NirCmd.exe
    2007-10-06 13:30 <REP> d-------- C:\Program Files\Avira
    2007-10-06 13:30 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2007-10-06 11:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
    2007-10-02 11:27 <REP> d-------- C:\Documents and Settings\Papy\Application Data\Grisoft
    2007-10-02 11:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
    2007-10-02 11:27 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2007-09-25 17:52 <REP> d-------- C:\Program Files\Free.fr
    2007-09-25 14:02 <REP> d-------- C:\WINDOWS\ERUNT
    2007-09-24 12:57 <REP> d-------- C:\Program Files\CONEXANT
    2007-09-24 11:44 <REP> d-------- C:\Program Files\Yahoo!
    2007-09-24 11:44 <REP> d-------- C:\Program Files\CCleaner
    2007-09-24 11:38 <REP> d---s---- C:\WINDOWS\system32\Microsoft
    2007-09-24 11:38 <REP> d-------- C:\Program Files\Lavasoft
    2007-09-24 11:38 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2007-09-24 11:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
    2007-09-21 15:26 <REP> d--hs---- C:\Recycled
    2007-09-21 15:24 1,677,824 --a------ C:\WINDOWS\system32\chsbrkr.dll
    2007-09-21 15:24 838,144 --a------ C:\WINDOWS\system32\chtbrkr.dll
    2007-09-21 15:24 98,304 --a------ C:\WINDOWS\system32\msir3jp.dll
    2007-09-21 15:24 73,216 --a------ C:\WINDOWS\system32\uniime.dll
    2007-09-21 15:24 70,656 --a------ C:\WINDOWS\system32\korwbrkr.dll
    2007-09-19 17:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
    2007-09-19 17:09 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
    2007-09-19 17:09 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
    2007-09-19 17:08 <REP> d-------- C:\WINDOWS\Internet Logs

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-10-15 06:36 524,288 ---ha-w C:\Documents and Settings\Propriétaire\NTUSER.DAT
    2007-09-24 10:57 44,032 ----a-w C:\WINDOWS\system32\ftp.exe
    2007-09-24 10:57 44,032 ----a-w C:\WINDOWS\system32\dllcache\ftp.exe
    2007-09-24 10:57 17,920 ----a-w C:\WINDOWS\system32\tftp.exe
    2007-09-24 10:57 17,920 ----a-w C:\WINDOWS\system32\dllcache\tftp.exe
    2007-09-11 11:53 134,656 ----a-w C:\WINDOWS\system32\sfc_os.dll
    2007-09-11 11:12 --------- d-----w C:\Program Files\Alwil Software
    2007-09-10 11:15 --------- d-----w C:\Program Files\CyberLink
    2007-09-10 11:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\CyberLink
    2007-09-10 11:12 --------- d-----w C:\Program Files\NewTech Infosystems
    2007-09-10 11:10 --------- d-----w C:\Program Files\Raccourcis de programmes
    2007-09-09 13:42 626,688 ----a-w C:\WINDOWS\Aspire 1300.scr
    2007-09-09 13:42 12,288 ----a-w C:\WINDOWS\impborl.dll
    2007-09-09 13:42 --------- d-----w C:\Program Files\Launch Manager
    2007-09-09 13:40 --------- d-----w C:\Program Files\Fichiers communs\Adobe
    2007-09-09 13:40 --------- d-----w C:\Documents and Settings\Papy\Application Data\InterTrust
    2007-09-09 13:35 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2007-09-09 13:35 --------- d-----w C:\Program Files\microsoft frontpage
    2007-09-09 13:35 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
    2007-09-09 13:35 --------- d-----w C:\Program Files\Apoint2K
    2007-09-09 13:30 --------- d-----w C:\Program Files\Fichiers communs\MSSoap
    2007-09-09 13:29 --------- d-----w C:\Program Files\Services en ligne
    2007-09-09 13:24 --------- d-----w C:\Program Files\Fichiers communs\ODBC
    2007-09-09 13:23 --------- d-----w C:\Program Files\Fichiers communs\SpeechEngines
    2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
    2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
    .

    ((((((((((((((((((((((((((((( snapshot@2007-10-14_11.33.08.47 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2007-10-14 09:25:16 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NTUSER.DAT
    + 2007-10-15 06:34:16 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NTUSER.DAT
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "@"="" []
    "Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2001-10-19 20:46]
    "LManager"="C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE" [2002-05-29 19:53]
    "CARPService"="carpserv.exe" [2002-09-25 09:36 C:\WINDOWS\system32\carpserv.exe]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "@"="" []
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 12:00]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 07:14]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
    "DisableRegistryTools"=0 (0x0)

    R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys
    R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
    R2 StreamDispatcher;StreamDispatcher;C:\WINDOWS\System32\DRIVERS\strmdisp.sys
    R3 CVIAAUD;Cnxt VIA 3D Environmental Audio;C:\WINDOWS\System32\drivers\cviaaud.sys
    R3 CVIAHALA;CVIAHALA;C:\WINDOWS\System32\drivers\cviahal.sys
    R3 HSFHWVIA;HSFHWVIA;C:\WINDOWS\System32\DRIVERS\HSFHWVIA.sys

    .
    **************************************************************************

    catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-10-15 10:25:50
    Windows 5.1.2600 FAT NTAPI

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-10-15 10:26:20 - machine was rebooted
    C:\ComboFix-quarantined-files.txt ... 2007-09-26 10:10
    C:\ComboFix3.txt ... 2007-09-26 10:10
    C:\ComboFix2.txt ... 2007-10-14 11:33
    .
    --- E O F ---
    Bonne journée
    15 Octobre 2007 12:42:32

    Bonjour

    comment ce comporte ton PC?

    tu vas faire un scan en ligne, ne t'affolle pas sur les detections, il va en trouver un paquet, mais celles qui seront dans C:\QooBox sont le backup de Combofix, (on les supprimera après)

    ~Fais une analyse antivirus en ligne sur le site de Kaspersky
    http://webscanner.kaspersky.fr/

    ~ Clique sur Online Scanner.
    ~Accepte l'installation du contrôle ActiveX en cliquant sur le bouton Install.

    ~Sélectionne le poste de travail comme analyse.

    ~Enregistre le rapport en cliquant sur le bouton "Enregistrer rapport sous". Nomme-le, tu feras un copier/coller dans ta prochaine réponse.

    Aide
    27 Octobre 2007 14:27:11

    Bonjour
    désolée mais il a fallu que je gere un autre pb. La prise d'alim c'est désoudé donc il a fallu que je demonte tout l'ordi pour pouvoir resouder l'alim. Maintenant ca marche!!!! je vais pouvoir faire le scan en ligne et te l'envoyer
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS