Se connecter / S'enregistrer
Votre question

Dldr.ConHook.Gen/click.agent.NP/Vundo et Cie... Résolu

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
20 Septembre 2007 23:23:12

Bonsoir,
D'ordinaire j'arrive à me débarrasser tout seul de mes véroles, mais là, j'y arrive pas. Là je sais que j'ai chopé des trucs en allant sur des sites pas très catholiques mais bon... je le ferai pu...
J'ai bien lu qu'il fallait faire des scans antivirus en ligne, mais ils ne détectent rien. Et je ne peux pas scanner mon ordi en mode sans échec, car je sais pas ce qui se passe, mais ce mode redémarre sans cesse après que je valide le message qui m'informe que je suis bien en mode sans échec (vous êtes en mode sans échec mode spécifique de windows pour résoudre bla bla). Le bureau s'affiche quelques secondes puis disparait et le message d'information revient.
Donc j'avais Avast qui me détectait des agent.lap (ou un truc comme ça), j'ai installé Antivir qui me détecte principalement Dldr.ConHook.Gen (dans C:\WINDOWS\system32\awtsq.dll) mais qui ne peux pas le supprimer.
J'ai pas forcément envie de formater mon disque (sauf si je peux pas faire autrement bien sûr).

Merci de me filer un coup de main.

Autres pages sur : dldr conhook gen click agent vundo cie resolu

20 Septembre 2007 23:56:49

fait un scan hijackthis et colle le rapport sur le forum
Contenus similaires
21 Septembre 2007 00:09:48

et? "d autres feraient mieux que moi mais moi je fais" lol
21 Septembre 2007 00:19:02

Et ?

On commence par dire Bonjour ( ou Bonsoir selon l'humeur ) quand on commence à répondre dans un sujet.

Ensuite, on donne des liens. Cela évite de chercher, et surtout pour certains outils de ne pas prendre le bon.
21 Septembre 2007 00:22:38

bonsoire jé pas été tres explicite dsl merci chercheur
21 Septembre 2007 12:55:32

Bonjour, voici le rapport hijackthis de mon ordi.

Logfile of HijackThis v1.99.1
Scan saved at 12:52:14, on 21/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\DCPFLICS\dcpflics.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\drivers\PhiBtn.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.moteurnature.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {40CFA5F1-8C87-495B-9DA1-DED8C2B2A4E6} - C:\WINDOWS\system32\awtsq.dll
O2 - BHO: (no name) - {435D08DD-665E-474F-B977-5EE75A2BDCB2} - C:\WINDOWS\system32\ddcayxy.dll (file missing)
O2 - BHO: (no name) - {673FC591-6DDD-487A-980F-22F65563C9C3} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {D23A3327-A690-479B-92EC-37726855D1F8} - (no file)
O2 - BHO: (no name) - {E3E9C6BD-A399-42A2-929F-A4BDBA5FFAA1} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PhiBtn] %SystemRoot%\System32\drivers\PhiBtn.exe
O4 - HKLM\..\Run: [Traymin900] %SystemRoot%\System32\drivers\Tray900.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O20 - Winlogon Notify: ddcayxy - ddcayxy.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: DCPFLICS service (DCPFLICS) - Unknown owner - C:\Program Files\DCPFLICS\dcpflics.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

21 Septembre 2007 12:57:26

Bien, on attaque.

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4

* Double-clique VundoFix.exe afin de le lancer.
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK

Démarre ton PC à nouveau.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".


Télécharge Combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.

Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis et le contenu du rapport situé dans C:\vundofix.txt
21 Septembre 2007 22:07:46

Bonsoir, j'ai fait les manips pendant la mi-temps...

ComboFix 07-09-21.2 - "J‚r“me Couillebault" 2007-09-21 21:56:32.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2576 [GMT 2:00]
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\check_LSA7.txt
C:\WINDOWS\system32\awtsq.dll
C:\WINDOWS\system32\drivers\PhiBtn.exe
C:\WINDOWS\system32\drivers\Tray900.exe
C:\WINDOWS\system32\qstwa.bak1
C:\WINDOWS\system32\qstwa.bak2
C:\WINDOWS\system32\qstwa.ini
C:\WINDOWS\system32\qstwa.ini2
C:\WINDOWS\system32\qstwa.tmp
C:\WINDOWS\system32\winsys.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_DOMAINSERVICE


((((((((((((((((((((((((( Files Created from 2007-08-21 to 2007-09-21 )))))))))))))))))))))))))))))))
.

2007-09-21 21:55 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-21 12:51 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-09-20 22:46 <REP> d-------- C:\WINDOWS\pss
2007-09-20 22:29 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Talkback
2007-09-20 22:26 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Bitdefender
2007-09-20 22:19 <REP> d-------- C:\Program Files\a-squared Free
2007-09-20 22:17 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2007-09-20 22:16 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\BitDefender
2007-09-17 23:23 1,165 --a------ C:\WINDOWS\mozver.dat
2007-09-16 19:24 0 --a------ C:\WINDOWS\nsreg.dat
2007-09-16 16:52 <REP> d-------- C:\Program Files\Panda Security
2007-09-15 23:10 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-09-15 19:41 <REP> d-------- C:\Program Files\Lavasoft
2007-09-15 19:41 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft
2007-09-15 19:40 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-09-15 18:30 <REP> d-------- C:\Program Files\Avira
2007-09-15 18:30 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira
2007-09-15 12:58 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
2007-09-15 12:58 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
2007-09-15 12:58 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
2007-09-15 12:58 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
2007-09-15 12:58 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
2007-09-15 12:58 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
2007-09-15 12:58 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
2007-09-15 10:25 <REP> d-------- C:\VundoFix Backups
2007-09-14 08:49 <REP> d-------- C:\WINDOWS\report
2007-09-14 08:47 86,094 --a------ C:\WINDOWS\BPMNT.dll
2007-09-14 08:47 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2007-09-14 08:47 267,845 --a------ C:\WINDOWS\tsc.exe
2007-09-14 08:47 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2007-09-14 08:47 <REP> d-------- C:\WINDOWS\AU_Backup
2007-09-14 08:46 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2007-09-14 08:46 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2007-09-14 08:46 286,720 --a------ C:\WINDOWS\PATCH.EXE
2007-09-14 08:46 <REP> d-------- C:\WINDOWS\AU_Temp
2007-09-14 08:46 <REP> d-------- C:\WINDOWS\AU_Log
2007-09-05 19:36 <REP> d-------- C:\Program Files\OpenOffice.org 2.2
2007-09-05 18:42 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-09-03 21:34 <REP> d-------- C:\Program Files\Fichiers communs\Adobe Systems Shared
2007-09-03 21:34 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe Systems
2007-09-03 20:05 <REP> d-------- C:\Program Files\Morpheus
2007-09-03 19:28 <REP> d-------- C:\Program Files\Shareaza
2007-08-30 23:05 <REP> d-------- C:\test fumefx
2007-08-29 22:25 <REP> d-------- C:\Program Files\DCPFLICS
2007-08-29 22:12 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Autodesk
2007-08-29 22:10 <REP> d-------- C:\Program Files\Fichiers communs\Autodesk Shared
2007-08-29 22:10 <REP> d-------- C:\Program Files\Autodesk
2007-08-29 22:06 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-08-29 22:04 92,160 --a------ C:\WINDOWS\system32\drivers\mcdbus.sys
2007-08-29 22:04 <REP> d-------- C:\Program Files\MagicDisc
2007-08-27 00:09 <REP> d-------- C:\Program Files\MSXML 4.0
2007-08-25 19:30 18,944 --a------ C:\WINDOWS\eraser.exe
2007-08-25 19:30 <REP> d-------- C:\Program Files\LeechFTP
2007-08-25 18:35 <REP> d-------- C:\Program Files\DivX
2007-08-25 18:11 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\nView_Profiles
2007-08-25 12:20 82,432 --a------ C:\WINDOWS\system32\msxml4r.dll
2007-08-22 20:38 7,552 --a--c--- C:\WINDOWS\system32\dllcache\sonypvu1.sys
2007-08-22 20:38 7,552 --a------ C:\WINDOWS\system32\drivers\SONYPVU1.SYS
2007-08-21 22:47 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\FLEXnet
2007-08-21 19:21 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Yahoo!
2007-08-21 19:20 <REP> d-------- C:\Program Files\Yahoo!
2007-08-21 19:16 <REP> d-------- C:\Program Files\Fichiers communs\Control Panels
2007-08-21 19:14 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\ALM
2007-08-21 19:13 2,463,976 --a------ C:\WINDOWS\system32\NPSWF32.dll
2007-08-21 19:13 190,696 --a------ C:\WINDOWS\system32\NPSWF32_FlashUtil.exe
2007-08-21 08:39 <REP> d-------- C:\Program Files\PowerISO

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-15 19:53 9344 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys
2007-09-15 19:53 8320 --a------ C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-09-14 09:45 --------- d-------- C:\Program Files\MagicISO
2007-08-29 22:25 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-19 18:23 --------- d-------- C:\Program Files\D-Tools
2007-08-19 18:16 --------- d-------- C:\Program Files\QuickTime
2007-08-19 18:16 --------- d-------- C:\Program Files\Apple Software Update
2007-08-19 18:16 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
2007-08-19 18:16 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
2007-08-19 15:37 --------- d-------- C:\Program Files\Bonjour
2007-08-19 15:29 --------- d-------- C:\Program Files\Fichiers communs\Macrovision Shared
2007-08-19 12:30 --------- d-------- C:\Program Files\AMD
2007-08-19 12:29 --------- d-------- C:\Program Files\Realtek Sound Manager
2007-08-19 12:29 --------- d-------- C:\Program Files\AvRack
2007-08-19 12:22 --------- d-------- C:\Program Files\Skype
2007-08-19 12:22 --------- d-------- C:\Program Files\Google
2007-08-19 12:22 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype
2007-08-19 12:22 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
2007-08-19 12:07 --------- d-------- C:\Program Files\Philips
2007-08-19 11:58 --------- d-------- C:\Program Files\BitTorrent
2007-08-18 14:23 --------- d-------- C:\Program Files\Fichiers communs\InstallShield
2007-08-18 14:11 --------- d-------- C:\Program Files\Fichiers communs\SpeechEngines
2007-08-18 14:11 --------- d-------- C:\Program Files\Fichiers communs\ODBC
2007-08-18 12:40 --------- d-------- C:\Program Files\Alwil Software
2007-08-18 12:27 --------- d-------- C:\Program Files\microsoft frontpage
2007-08-18 12:25 --------- d-------- C:\Program Files\Services en ligne
2007-08-18 12:25 --------- d-------- C:\Program Files\Fichiers communs\MSSoap
2007-08-07 02:15 33052 --a------ C:\WINDOWS\system32\drivers\scdemu.sys
2007-07-26 04:53 9464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-07-26 04:53 9336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-07-26 04:53 43528 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
--------- C:\Program Files\Hijackthis Version Française
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{673FC591-6DDD-487A-980F-22F65563C9C3}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D23A3327-A690-479B-92EC-37726855D1F8}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E3E9C6BD-A399-42A2-929F-A4BDBA5FFAA1}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-07-20 15:07]
"nwiz"="nwiz.exe" [2005-07-20 15:07 C:\WINDOWS\system32\nwiz.exe]
"SW20"="C:\WINDOWS\system32\sw20.exe" [2005-06-30 08:03]
"SW24"="C:\WINDOWS\system32\sw24.exe" [2005-07-04 07:29]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-07-20 15:07]
"PhiBtn"="C:\WINDOWS\System32\drivers\PhiBtn.exe" []
"Traymin900"="C:\WINDOWS\System32\drivers\Tray900.exe" []
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0\bin\jusched.exe" [2007-09-05 19:35]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]
"BDMCon"="C:\Program Files\Softwin\BitDefender10\bdmcon.exe" [2007-04-02 16:48]
"BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [2007-03-26 15:49]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-19 12:27]
"Yahoo! Pager"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [2007-08-17 12:46]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 14:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcayxy]
ddcayxy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
"C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
"C:\Program Files\D-Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys
R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys
S3 camvid40;Philips SPC 900NC PC Camera;C:\WINDOWS\system32\DRIVERS\camdrv41.sys
S3 SetupNTGLM7X;SetupNTGLM7X;\??\H:\NTGLM7X.sys


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d92fd41-4d81-11dc-990a-806d6172696f}]
AutoRun\command- H:\ASUSACPI.exe

.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-21 22:03:10
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\CrystalSysInfo]
"ImagePath"="\??\C:\WINDOWS\system32\SysInfo.sys"
.
Completion time: 2007-09-21 22:04:02 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-21 22:03
.
--- E O F ---




Logfile of HijackThis v1.99.1
Scan saved at 22:06:46, on 21/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\DCPFLICS\dcpflics.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.moteurnature.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {673FC591-6DDD-487A-980F-22F65563C9C3} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {D23A3327-A690-479B-92EC-37726855D1F8} - (no file)
O2 - BHO: (no name) - {E3E9C6BD-A399-42A2-929F-A4BDBA5FFAA1} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PhiBtn] %SystemRoot%\System32\drivers\PhiBtn.exe
O4 - HKLM\..\Run: [Traymin900] %SystemRoot%\System32\drivers\Tray900.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O20 - Winlogon Notify: ddcayxy - ddcayxy.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: DCPFLICS service (DCPFLICS) - Unknown owner - C:\Program Files\DCPFLICS\dcpflics.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe




VundoFix V6.5.8

Checking Java version...

Scan started at 10:25:04 15/09/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

VundoFix V6.5.8

Checking Java version...

Scan started at 21:53:32 21/09/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...







Merci bien
22 Septembre 2007 00:06:43

Bien

Copie (Ctrl+C) le texte ci-dessous :

File::
C:\WINDOWS\system32\bdod.bin

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{673FC591-6DDD-487A-980F-22F65563C9C3}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D23A3327-A690-479B-92EC-37726855D1F8}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E3E9C6BD-A399-42A2-929F-A4BDBA5FFAA1}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcayxy]


Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.
Sauvegarde ce fichier sous le nom de CFScript.txt



Comme l'image le montre, fait glisser CFScript.txt sur Combofix.exe
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
22 Septembre 2007 12:47:08

Déjà, mon antivirus s'affole moins... j'imagine qu'il y a du progrès...

ComboFix 07-09-21.2 - "J‚r“me Couillebault" 2007-09-22 12:19:04.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2619 [GMT 2:00]
* Created a new restore point

FILE::
C:\WINDOWS\system32\bdod.bin
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\bdod.bin

.
((((((((((((((((((((((((((((( Fichiers créés 2007-08-22 to 2007-09-22 ))))))))))))))))))))))))))))))))))))
.

2007-09-21 21:55 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-21 12:51 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-09-20 22:46 <REP> d-------- C:\WINDOWS\pss
2007-09-20 22:29 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Talkback
2007-09-20 22:26 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Bitdefender
2007-09-20 22:19 <REP> d-------- C:\Program Files\a-squared Free
2007-09-20 22:16 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\BitDefender
2007-09-17 23:23 1,165 --a------ C:\WINDOWS\mozver.dat
2007-09-16 19:24 0 --a------ C:\WINDOWS\nsreg.dat
2007-09-16 16:52 <REP> d-------- C:\Program Files\Panda Security
2007-09-15 23:10 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-09-15 19:41 <REP> d-------- C:\Program Files\Lavasoft
2007-09-15 19:41 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft
2007-09-15 19:40 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-09-15 18:30 <REP> d-------- C:\Program Files\Avira
2007-09-15 18:30 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira
2007-09-15 12:58 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
2007-09-15 12:58 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
2007-09-15 12:58 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
2007-09-15 12:58 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
2007-09-15 12:58 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
2007-09-15 12:58 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
2007-09-15 12:58 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
2007-09-15 10:25 <REP> d-------- C:\VundoFix Backups
2007-09-14 08:49 <REP> d-------- C:\WINDOWS\report
2007-09-14 08:47 86,094 --a------ C:\WINDOWS\BPMNT.dll
2007-09-14 08:47 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2007-09-14 08:47 267,845 --a------ C:\WINDOWS\tsc.exe
2007-09-14 08:47 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2007-09-14 08:47 <REP> d-------- C:\WINDOWS\AU_Backup
2007-09-14 08:46 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2007-09-14 08:46 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2007-09-14 08:46 286,720 --a------ C:\WINDOWS\PATCH.EXE
2007-09-14 08:46 <REP> d-------- C:\WINDOWS\AU_Temp
2007-09-14 08:46 <REP> d-------- C:\WINDOWS\AU_Log
2007-09-05 19:36 <REP> d-------- C:\Program Files\OpenOffice.org 2.2
2007-09-05 18:42 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-09-03 21:34 <REP> d-------- C:\Program Files\Fichiers communs\Adobe Systems Shared
2007-09-03 21:34 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe Systems
2007-09-03 20:05 <REP> d-------- C:\Program Files\Morpheus
2007-09-03 19:28 <REP> d-------- C:\Program Files\Shareaza
2007-08-30 23:05 <REP> d-------- C:\test fumefx
2007-08-29 22:25 <REP> d-------- C:\Program Files\DCPFLICS
2007-08-29 22:12 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Autodesk
2007-08-29 22:10 <REP> d-------- C:\Program Files\Fichiers communs\Autodesk Shared
2007-08-29 22:10 <REP> d-------- C:\Program Files\Autodesk
2007-08-29 22:06 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-08-29 22:04 92,160 --a------ C:\WINDOWS\system32\drivers\mcdbus.sys
2007-08-29 22:04 <REP> d-------- C:\Program Files\MagicDisc
2007-08-27 00:09 <REP> d-------- C:\Program Files\MSXML 4.0
2007-08-25 19:30 18,944 --a------ C:\WINDOWS\eraser.exe
2007-08-25 19:30 <REP> d-------- C:\Program Files\LeechFTP
2007-08-25 18:35 <REP> d-------- C:\Program Files\DivX
2007-08-25 18:11 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\nView_Profiles
2007-08-25 12:20 82,432 --a------ C:\WINDOWS\system32\msxml4r.dll
2007-08-22 20:38 7,552 --a--c--- C:\WINDOWS\system32\dllcache\sonypvu1.sys
2007-08-22 20:38 7,552 --a------ C:\WINDOWS\system32\drivers\SONYPVU1.SYS

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-15 19:53 9344 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys
2007-09-15 19:53 8320 --a------ C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-09-14 09:45 --------- d-------- C:\Program Files\MagicISO
2007-08-29 22:25 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-21 22:47 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\FLEXnet
2007-08-21 19:21 --------- d-------- C:\Program Files\Yahoo!
2007-08-21 19:21 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Yahoo!
2007-08-21 19:16 --------- d-------- C:\Program Files\Fichiers communs\Control Panels
2007-08-21 19:14 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\ALM
2007-08-21 08:39 --------- d-------- C:\Program Files\PowerISO
2007-08-19 18:23 --------- d-------- C:\Program Files\D-Tools
2007-08-19 18:16 --------- d-------- C:\Program Files\QuickTime
2007-08-19 18:16 --------- d-------- C:\Program Files\Apple Software Update
2007-08-19 18:16 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
2007-08-19 18:16 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
2007-08-19 15:37 --------- d-------- C:\Program Files\Bonjour
2007-08-19 15:29 --------- d-------- C:\Program Files\Fichiers communs\Macrovision Shared
2007-08-19 12:30 --------- d-------- C:\Program Files\AMD
2007-08-19 12:29 --------- d-------- C:\Program Files\Realtek Sound Manager
2007-08-19 12:29 --------- d-------- C:\Program Files\AvRack
2007-08-19 12:22 --------- d-------- C:\Program Files\Skype
2007-08-19 12:22 --------- d-------- C:\Program Files\Google
2007-08-19 12:22 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype
2007-08-19 12:22 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
2007-08-19 12:07 --------- d-------- C:\Program Files\Philips
2007-08-19 11:58 --------- d-------- C:\Program Files\BitTorrent
2007-08-18 14:23 --------- d-------- C:\Program Files\Fichiers communs\InstallShield
2007-08-18 14:11 --------- d-------- C:\Program Files\Fichiers communs\SpeechEngines
2007-08-18 14:11 --------- d-------- C:\Program Files\Fichiers communs\ODBC
2007-08-18 12:40 --------- d-------- C:\Program Files\Alwil Software
2007-08-18 12:27 --------- d-------- C:\Program Files\microsoft frontpage
2007-08-18 12:25 --------- d-------- C:\Program Files\Services en ligne
2007-08-18 12:25 --------- d-------- C:\Program Files\Fichiers communs\MSSoap
2007-08-07 02:15 33052 --a------ C:\WINDOWS\system32\drivers\scdemu.sys
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-26 05:06 144704 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-07-26 04:53 9464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-07-26 04:53 9336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-07-26 04:53 524288 --a------ C:\WINDOWS\system32\DivXsm.exe
2007-07-26 04:53 43528 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-07-26 04:53 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-07-26 04:53 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-07-26 04:53 129784 --------- C:\WINDOWS\system32\pxafs.dll
2007-07-26 04:53 120056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-07-26 04:53 118520 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-07-26 04:53 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-07-26 04:50 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2007-07-26 04:50 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2007-07-26 04:50 81920 --a------ C:\WINDOWS\system32\dpl100.dll
2007-07-26 04:50 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2007-07-26 04:50 740442 --a------ C:\WINDOWS\system32\DivX.dll
2007-07-26 04:50 593920 --a------ C:\WINDOWS\system32\dpuGUI11.dll
2007-07-26 04:50 57344 --a------ C:\WINDOWS\system32\dpv11.dll
2007-07-26 04:50 53248 --a------ C:\WINDOWS\system32\dpuGUI10.dll
2007-07-26 04:50 344064 --a------ C:\WINDOWS\system32\dpus11.dll
2007-07-26 04:50 294912 --a------ C:\WINDOWS\system32\dpu11.dll
2007-07-26 04:50 294912 --a------ C:\WINDOWS\system32\dpu10.dll
2007-07-26 04:50 196608 --a------ C:\WINDOWS\system32\dtu100.dll
2007-07-26 04:49 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
--------- C:\Program Files\Hijackthis Version Française
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-07-20 15:07]
"nwiz"="nwiz.exe" [2005-07-20 15:07 C:\WINDOWS\system32\nwiz.exe]
"SW20"="C:\WINDOWS\system32\sw20.exe" [2005-06-30 08:03]
"SW24"="C:\WINDOWS\system32\sw24.exe" [2005-07-04 07:29]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-07-20 15:07]
"PhiBtn"="C:\WINDOWS\System32\drivers\PhiBtn.exe" []
"Traymin900"="C:\WINDOWS\System32\drivers\Tray900.exe" []
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0\bin\jusched.exe" [2007-09-05 19:35]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]
"BDMCon"="C:\Program Files\Softwin\BitDefender10\bdmcon.exe" [2007-04-02 16:48]
"BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [2007-03-26 15:49]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-19 12:27]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 14:00]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
"C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
"C:\Program Files\D-Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys
R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys
S3 camvid40;Philips SPC 900NC PC Camera;C:\WINDOWS\system32\DRIVERS\camdrv41.sys
S3 SetupNTGLM7X;SetupNTGLM7X;\??\H:\NTGLM7X.sys


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d92fd41-4d81-11dc-990a-806d6172696f}]
AutoRun\command- H:\ASUSACPI.exe

.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-22 12:22:03
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-22 12:23:02
C:\ComboFix-quarantined-files.txt ... 2007-09-22 12:22
C:\ComboFix2.txt ... 2007-09-21 22:04
.
--- E O F ---
22 Septembre 2007 22:34:30

Bon, c'était long, mais c'est fini...

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Saturday, September 22, 2007 10:32:56 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 22/09/2007
Enregistrements dans la base antivirus Kaspersky : 422088
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: étendue
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
L:\

Statistiques de l'analyse:
Total d'objets analysés: 131822
Nombre de virus trouvés: 1
Nombre d'objets infectés: 1 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 07:30:18

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\Jérôme Couillebault\Application Data\Mozilla\Firefox\Profiles\clotihdp.default\cert8.db L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Application Data\Mozilla\Firefox\Profiles\clotihdp.default\history.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Application Data\Mozilla\Firefox\Profiles\clotihdp.default\key3.db L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Application Data\Mozilla\Firefox\Profiles\clotihdp.default\parent.lock L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Application Data\Mozilla\Firefox\Profiles\clotihdp.default\search.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Application Data\Mozilla\Firefox\Profiles\clotihdp.default\urlclassifier2.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Application Data\Skype\jeanclodo\call256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Application Data\Skype\jeanclodo\callmember256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Application Data\Skype\jeanclodo\chat512.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Application Data\Skype\jeanclodo\chatmember256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Application Data\Skype\jeanclodo\chatmsg256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Application Data\Skype\jeanclodo\chatmsg512.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Application Data\Skype\jeanclodo\contactgroup256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Application Data\Skype\jeanclodo\dyncontent\bundle.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Application Data\Skype\jeanclodo\index2.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Application Data\Skype\jeanclodo\profile4096.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Application Data\Skype\jeanclodo\transfer256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Application Data\Skype\jeanclodo\transfer512.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Application Data\Skype\jeanclodo\user1024.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Application Data\Skype\jeanclodo\user16384.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Application Data\Skype\jeanclodo\voicemail256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Local Settings\Application Data\Mozilla\Firefox\Profiles\clotihdp.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Local Settings\Application Data\Mozilla\Firefox\Profiles\clotihdp.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Local Settings\Application Data\Mozilla\Firefox\Profiles\clotihdp.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Local Settings\Application Data\Mozilla\Firefox\Profiles\clotihdp.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\Local Settings\Temporary Internet Files\Content.IE5\9Z57XU9R\lkjh[1] Infecté : Trojan-Downloader.Win32.Tiny.id ignoré
C:\Documents and Settings\Jérôme Couillebault\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Jérôme Couillebault\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{A9F307BB-5568-45B9-92C4-7340F81EEE5D}\RP3\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{FCC91AF6-727B-460A-BFFB-00056442EF12}.bin L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
D:\System Volume Information\_restore{A9F307BB-5568-45B9-92C4-7340F81EEE5D}\RP3\change.log L'objet est verrouillé ignoré
E:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
E:\System Volume Information\_restore{A9F307BB-5568-45B9-92C4-7340F81EEE5D}\RP3\change.log L'objet est verrouillé ignoré
F:\12plans, le DVD\Settings\Avid License Data L'objet est verrouillé ignoré
F:\12plans, le DVD\Settings\MCState L'objet est verrouillé ignoré
F:\12plans, le DVD\Settings\Site_Attributes L'objet est verrouillé ignoré
F:\12plans, le DVD\Settings\Site_Settings.avs L'objet est verrouillé ignoré
F:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
F:\System Volume Information\_restore{A9F307BB-5568-45B9-92C4-7340F81EEE5D}\RP3\change.log L'objet est verrouillé ignoré
G:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
G:\System Volume Information\_restore{A9F307BB-5568-45B9-92C4-7340F81EEE5D}\RP3\change.log L'objet est verrouillé ignoré

Analyse terminée.
22 Septembre 2007 23:24:29

Supprime

Combofix
Vundofix
C:\VundoFix Backups
C:\Qoobox
C:\ComboFix-quarantined-files.txt
C:\ComboFix2.txt

Télécharge CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le.
Décoche pendant l'installation
--- les deux cases "Ajouter l'option ... "
--- Contrôler les mises à jour
--- Ajouter la Barre d'Outils Yahoo! CCleaner

Clique sur Options, Avancé et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Ne touche pas aux autres réglages.

Lance le nettoyage.


As tu encore des dysfonctionnements ?

23 Septembre 2007 09:51:00

Bonjour
Antivir à décelé click.agent pendant le nettoyage.
Mais pour le reste, il ne m'indique plus rien.
23 Septembre 2007 22:51:33

Merci de votre aide !
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS