Votre question

[Résolu]NT\SYSTEM et chevaux de troie : demande d'aide...

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
27 Août 2007 23:30:00

Bonsoir à tous,

j'ai un gros souci avec mon PC, j'ai subi une attaque via le net (probablement via un fichier téléchargé...)

depuis, scans antivirus, formatages et ré-install (à plusieurs reprises) n'y font rien, Antivir me donne des messages d'alerte sur des chevaux de Troie :

TR/Crypt.XPACK.Gen
TR/Vundo.Gen
TR/Dldr.ConHook.Gen

et autres : HEUR-DBLEXT/Crypted

de plus, j'ai le fameux message AUTORITE NT/SYSTEM avec redémarrage très régulièrement (je me demande comment j'arrive à poster actuellement sans que celui-ci me "plante"...)

j'ai fait un Hijack :

Logfile of HijackThis v1.99.1
Scan saved at 23:08:55, on 27/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\WinDV.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\WinDV.exe
O2 - BHO: (no name) - {25405C29-2284-4E87-8610-D90135A56EBF} - C:\WINDOWS\System32\mlljh.dll
O2 - BHO: (no name) - {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} - C:\WINDOWS\System32\byxurop.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\ovpzlvtx.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O20 - Winlogon Notify: byxurop - C:\WINDOWS\SYSTEM32\byxurop.dll
O20 - Winlogon Notify: mlljh - C:\WINDOWS\System32\mlljh.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: app_filter - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows Drivers Version - Unknown owner - C:\WINDOWS\WinDV.exe

j'ai un gros problème, et je ne parviens pas à m'en débarrasser

si quelqu'un pouvait m'aider, ce serait très sympa !

merci d'avance :) 

Autres pages sur : resolu system chevaux troie demande aide

27 Août 2007 23:37:15

Bonsoir,
Télécharge VundoFix.exe :

Double-clique VundoFix.exe .
Clique sur Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Ensuite clique sur YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu auras un message comme quoi l'ordinateur va s'éteindre, fais ok
Poste le rapport qui se trouve dans C:\vundofix.txt et un nouveau rapport hijackthis
&
Télécharge SDFix

Enregistre le sur ton le bureau.

Lances le.
Fais install afin qu'il puisse s'extraire.

Redémarre en mode sans échec (tuto)

Lance SDFix.
Double clique sur RunThis.bat ( Le .bat apparaît si tu affiches les dossiers cachés : Poste de travail >outil>option des dossiers>affichage>afficher les fichiers et dossiers cachés )
Appuie sur Y pour le lancer.

Il te sera demandé d'appuyer sur une touche pour redemarrer , fais le
Il est probable que le redémarrage soit un peu plus long que d'habitude.
Une fois l'apparition de ton Bureau, il affichera Finished

Appuie sur une touche.

Un rapport est généré , poste le dans ta réponse.
Il se trouve également. dans le dossier SDFix >Report.txt<
et un nouveau rapport Hijackthis

28 Août 2007 00:16:12

Rapport VundoFix :

Java version is 1.4.2.4
Old versions of java are exploitable and should be removed.

Scan started at 23:49:33 27/08/2007

Listing files found while scanning....

C:\WINDOWS\System32\hjllm.bak1
C:\WINDOWS\System32\hjllm.ini
C:\WINDOWS\System32\mlljh.dll

Beginning removal...

Attempting to delete C:\WINDOWS\System32\hjllm.bak1
C:\WINDOWS\System32\hjllm.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\System32\hjllm.ini
C:\WINDOWS\System32\hjllm.ini Has been deleted!

Attempting to delete C:\WINDOWS\System32\mlljh.dll
C:\WINDOWS\System32\mlljh.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\System32\mlljh.dll
C:\WINDOWS\System32\mlljh.dll Has been deleted!

Performing Repairs to the registry.
Done!
Contenus similaires
28 Août 2007 00:18:15

Rapport Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 00:17:21, on 28/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\WinDV.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\WinDV.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} - C:\WINDOWS\System32\byxurop.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {B020B790-1AB3-46CD-8075-5F676EB9787A} - C:\WINDOWS\System32\mlljh.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O20 - Winlogon Notify: byxurop - C:\WINDOWS\SYSTEM32\byxurop.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows Drivers Version - Unknown owner - C:\WINDOWS\WinDV.exe

désolée pour la lenteur mais j'ai beaucoup de messages d'antivir et une connexion internet bancale...
28 Août 2007 00:22:12

Relance Vundofix

Cette fois-ci , fais un au milieu de la fenêtre , clique sur Add more files ?
Séléctionne le fichier ci-dessou et colle le dans une case :
C:\WINDOWS\SYSTEM32\byxurop.dll

Clique sur Add files , puis sur Close Windows
et enfin sur Remove Vundo , tu dois voir apparaitre les fichier dans la fenêtre

Si il t'est demandé de redémarrer fais-le !

Poste le rapport Vundofix
et un nouveau rapport HijackThis

Citation :
désolée pour la lenteur mais j'ai beaucoup de messages d'antivir et une connexion internet bancale...

Pas grave, poste le rapport SDFix stp.
28 Août 2007 00:30:57


SDFix: Version 1.100

Run by Steph on 28/08/2007 at 00:26

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\Steph\Bureau\SDFix

Safe Mode:
Checking Services:


C:\WINDOWS\system32\Microsoft\backup.ftp Found
C:\WINDOWS\system32\Microsoft\backup.tftp Found

Checking files:

Genuine:
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\Microsoft\backup.tftp

Dummy:
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache\tftp.exe

Files copied to SDFix\Backups

Restoring files if backups are found

Final Check:

Genuine:
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\Microsoft\backup.tftp
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache\tftp.exe

Dummy:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\o - Deleted
C:\WINDOWS\system32\Tilecomfree.com - Deleted
C:\WINDOWS\system32\Tilecomnu.com - Deleted

Could Not Remove C:\WINDOWS\system32\Microsoft\backup.ftp
Could Not Remove C:\WINDOWS\system32\Microsoft\backup.tftp

Folder C:\Program Files\Fichiers communs\delsim - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

Remaining Files:
---------------
C:\WINDOWS\system32\Microsoft\backup.ftp Found
C:\WINDOWS\system32\Microsoft\backup.tftp Found

File Backups: - C:\DOCUME~1\Steph\Bureau\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\WINDOWS\WinDV.exe
C:\WINDOWS\system32\edssjpto.exe
C:\WINDOWS\system32\kwmlxy.exe
C:\WINDOWS\LastGood.Tmp\INF\oem10.inf
C:\WINDOWS\LastGood.Tmp\INF\oem10.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem11.inf
C:\WINDOWS\LastGood.Tmp\INF\oem11.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem5.inf
C:\WINDOWS\LastGood.Tmp\INF\oem5.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem6.inf
C:\WINDOWS\LastGood.Tmp\INF\oem6.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem7.inf
C:\WINDOWS\LastGood.Tmp\INF\oem7.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem8.inf
C:\WINDOWS\LastGood.Tmp\INF\oem8.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem9.inf
C:\WINDOWS\LastGood.Tmp\INF\oem9.PNF

Finished

j'ai un nouveau plantage de autorité NT system !
28 Août 2007 00:45:18

Rapport Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 00:43:32, on 28/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\WinDV.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Steph\Bureau\Steph\VundoFix.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\WinDV.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} - C:\WINDOWS\System32\byxurop.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {B020B790-1AB3-46CD-8075-5F676EB9787A} - C:\WINDOWS\System32\mlljh.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Unknown owner - VundoFixSVC.exe (file missing)
O23 - Service: Windows Drivers Version - Unknown owner - C:\WINDOWS\WinDV.exe

pour VundoFix, je n'ai pas de rapport : il m'a demandé si je voulais faire Remove Vundo, j'ai mis oui et le pc a redémarré, j'ai peut-être merdé :o (
28 Août 2007 00:49:08

On va vérifier mais je pense qu'il est toujours là :

Aller dans poste de travail>outils>option des dossiers>affichage>afficher les fichiers et dossiers cachés. - - > Appliquer - - > OK

Aller dans poste de travail>outils>option des dossiers>affichage>décocher masquer les fichiers protégés du système d%u2019exploitation. - - > Appliquer - - > OK

Vérifie si ce fichier est présent : C:\WINDOWS\System32\byxurop.dll
Si oui (je pense), ressaie la manip avec vundofix, tu dois avoir un rapport dans C
28 Août 2007 00:55:55

il est toujours là, je re-tente Vundofix
28 Août 2007 01:01:38

voilà le rapport :


VundoFix V6.5.7

Checking Java version...

Java version is 1.4.2.4
Old versions of java are exploitable and should be removed.

Scan started at 23:49:33 27/08/2007

Listing files found while scanning....

C:\WINDOWS\System32\hjllm.bak1
C:\WINDOWS\System32\hjllm.ini
C:\WINDOWS\System32\mlljh.dll

Beginning removal...

Attempting to delete C:\WINDOWS\System32\hjllm.bak1
C:\WINDOWS\System32\hjllm.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\System32\hjllm.ini
C:\WINDOWS\System32\hjllm.ini Has been deleted!

Attempting to delete C:\WINDOWS\System32\mlljh.dll
C:\WINDOWS\System32\mlljh.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\System32\mlljh.dll
C:\WINDOWS\System32\mlljh.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Beginning removal...

Beginning removal...

Attempting to delete C:\WINDOWS\SYSTEM32\byxurop.dll
C:\WINDOWS\SYSTEM32\byxurop.dll Could not be deleted.

Performing Repairs to the registry.
Done!

VundoFix V6.5.7

Checking Java version...

Java version is 1.4.2.4
Old versions of java are exploitable and should be removed.

Scan started at 00:41:54 28/08/2007

Listing files found while scanning....

C:\WINDOWS\SYSTEM32\byxurop.dll

Beginning removal...

Attempting to delete C:\WINDOWS\SYSTEM32\byxurop.dll
C:\WINDOWS\SYSTEM32\byxurop.dll Has been deleted!

Performing Repairs to the registry.
Done!
28 Août 2007 07:54:53

je n'ai plus d'alerte à ce sujet !

par contre, j'en ai une que je ne connais pas :
contains signature of the dial-up program DIAL/302518

est-ce un virus ou un cheval de troie encore ?
28 Août 2007 11:07:03

antivir me donne une nouvelle alerte (!) : HEUR/Exploit.HTML

mis en quarantaine car ne me propose pas de le supprimer
28 Août 2007 12:03:11

Re,
Reposte un Hijackthis.

1/ Télécharge Blacklight

Sauvegarde le sur ton Bureau

Double-clique fsbl.exe pour le lancer.
clique Scan puis sur Next

A la fin du scan, NE TOUCHE A RIEN et ferme Blacklight

Poste le rapport sur ton bureau qui se nomme fsbl.*******.log (les ******* sont des chiffres)

2/ Désinstalle ewido anti-spyware 4.0 et remplace le par
AVG Anti-Spyware Installes-le.
Lance AVG et fais une mise à jour.
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglet comment réagir, clique sur Actions recommandées. Choisis Quarantaine.
Ne fais pas d%u2019analyse pour le moment.

3/ Télécharge sur ton bureau : Clean
Dézippe le sur ton bureau. Double-clic sur ce dossier clean.
Double-clic sur clean.cmd. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 puis entrée. Ensuite appuies sur une touche comme il te sera demandé et poste le rapport ici.

4/ Très important si ton windows est légal, mets le SP2, toutes les mises à jour, et IE7 également.

Pour les virus détectés, on verra après, il ya encore du boulot avec ton rapport Hijackthis je pense.
28 Août 2007 22:01:36

Rapport de Blacklight :

08/28/07 22:00:28 [Info]: BlackLight Engine 1.0.64 initialized
08/28/07 22:00:28 [Info]: OS: 5.1 build 2600 (Service Pack 1)
08/28/07 22:00:28 [Note]: 7019 4
08/28/07 22:00:28 [Note]: 7005 0
08/28/07 22:00:34 [Note]: 7006 0
08/28/07 22:00:34 [Note]: 7011 1692
08/28/07 22:00:34 [Note]: 7026 0
08/28/07 22:00:34 [Note]: 7026 0
08/28/07 22:00:35 [Note]: FSRAW library version 1.7.1022
08/28/07 22:01:05 [Note]: 7007 0
28 Août 2007 22:12:30

Rapport de Clean :

28/08/2007 a 22:09:36,29

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\o FOUND

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !

Pour Windows, je ne peux rien faire...

j'ai deux nouvelles alertes :

HEUR-DBLEXT/Crypted
TR/Crypt.XPACK.Gen - encore :o (

merci pour ton aide en tout cas, je me rends compte que mon cas n'est pas... facile !
28 Août 2007 22:17:09

T'inquiète pas ;) 

Hmm fais le reste pour le moment, notamment la mise à jour xp et clean .

Fais analyser ces fichier sur ce site >> Virustotal <<

Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier :
C:\WINDOWS\WinDV.exe
Clique maintenant sur envoyer le fichier.
Poste le rapport
Fais la même chose avec ces fichiers : C:\WINDOWS\system32\edssjpto.exe
C:\WINDOWS\system32\kwmlxy.exe

Sinon pour faire un peu de nettoyage :

Redémarre en mode sans échec (tuto).
Relance Avg.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas.
Clique sur "Enregistrer le rapport". Ceci génère un rapport qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.
Poste le ici.
&
Toujours en mode sans échec, relance clean et fais l'option 2, poste le rapport.
28 Août 2007 22:32:41

j'ai fait Clean (rapport) et pour Windows... je suis un peu... embêtée... je ne peux pas changer de version

est-ce que je fais quand même Virustotal et ce qui suit ?
28 Août 2007 22:34:08

Tu n'as pas de version légale .. C'est embêtant en effet.
A la fin, tu installeras le parefeu de ton choix à la place de celui de windows avec antivir et avg anti-Spywares 7.5. Mais bon système pas à jour = failles de sécurité ;) 

Oui fais ;) 
28 Août 2007 22:36:54

ok, je fais ça tout de suite (tout ça me fait beaucoup réfléchir au sujet de Windows, d'ailleurs !)
28 Août 2007 22:39:57

Réfléchir à propos de ? :) 
Pas de problèmes .
28 Août 2007 22:51:13

pour C:\WINDOWS\WinDV.exe :

AhnLab-V3 2007.8.29.0 2007.08.28 -
AntiVir 7.4.1.63 2007.08.28 HEUR/Crypted
Authentium 4.93.8 2007.08.28 -
Avast 4.7.1029.0 2007.08.28 -
AVG 7.5.0.484 2007.08.28 SHeur.JBV
BitDefender 7.2 2007.08.28 -
CAT-QuickHeal 9.00 2007.08.25 Backdoor.SdBot.gen
ClamAV 0.91.2 2007.08.28 -
DrWeb 4.33 2007.08.28 BackDoor.IRC.Sdbot.1826
eSafe 7.0.15.0 2007.08.28 -
eTrust-Vet 31.1.5091 2007.08.28 -
Ewido 4.0 2007.08.28 -
FileAdvisor 1 2007.08.28 -
Fortinet 2.91.0.0 2007.08.28 -
F-Prot 4.3.2.48 2007.08.28 -
F-Secure 6.70.13030.0 2007.08.28 Backdoor.Win32.SdBot.bnk
Ikarus T3.1.1.12 2007.08.28 Backdoor.Win32.SdBot.bhk
Kaspersky 4.0.2.24 2007.08.28 Backdoor.Win32.SdBot.bnk
McAfee 5107 2007.08.28 -
Microsoft 1.2803 2007.08.28 -
NOD32v2 2489 2007.08.28 -
Norman 5.80.02 2007.08.28 -
Panda 9.0.0.4 2007.08.28 W32/Sdbot.LBK.worm
Prevx1 V2 2007.08.28 Generic.Malware
Rising 19.38.12.00 2007.08.28 Backdoor.Win32.SdBot.ore
Sophos 4.21.0 2007.08.28 -
Sunbelt 2.2.907.0 2007.08.25 VIPRE.Suspicious
Symantec 10 2007.08.28 W32.Spybot.Worm
TheHacker 6.1.9.175 2007.08.28 Trojan/SdBot.gen
VBA32 3.12.2.3 2007.08.28 -
VirusBuster 4.3.26:9 2007.08.28 -
Webwasher-Gateway 6.0.1 2007.08.28 Heuristic.Crypted
Information additionnelle
File size: 657408 bytes
MD5: 74e219a565096cbefc536a3b3322057f
SHA1: 3dd6dc60e215c10a009fcf120c96cd41d944cdc2
packers: Themida
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=92EC6AC30023...
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
28 Août 2007 23:10:49

bonsoir

je me permets d'intervenir :) 

XmichouX poursuivra ta désinfection. mais ce serait vraiment gentil de ta part si tu faisais un upload de ce fichier vers un dévelloppeur.
Il pourra mettre à jour son outil grâce à toi, et on sera plus efficace pour les prochaines fois où on retombera sur ce fichier.

fais comme suis stp:

Télécharge Suspicious file Packer (de Safe-Networking.Org) pour le dézipper sur ton Bureau.

Redémarre en mode sans échec

Démarre SFP.exe
Sélectionne TOUS les emplacements suivants :

C:\WINDOWS\WinDV.exe

---> Clique-droit puis Copier

Retourne sur SFP.exe, fais un Clique-droit sur le cadre puis choisis Coller.
Clique maintenant sur Continue

Cela va créer un fichier .cab sur ton Bureau nommé requested-files[Date/Heure]
Fais un Clique-droit sur ce fichier, clique sur Envoyer vers puis sélectionne Dossier compressé.
Cela va créer un fichier .zip du même nom. Clique-droit sur ce fichier / Explorer / Fichier / Ajouter un mot de passe...
Nomme ce mot de passe malware.
Redémarre normalement pour envoyer ce fichier à cette adresse :

AndyManchesta(at)hotmail.com ( Remplace (at) par @ )

Supprime maintenant les fichier .zip et .cab qui se trouvent sur ton Bureau.


++++++++++++

merci à toi ;) 
28 Août 2007 23:21:35

ok, pas de souci, je fais ça tout de suite

désolée pour le temps que ça prend, mais parfois, le pc plante...
28 Août 2007 23:24:07

Ya pas de soucis. On est pas là tout le temps non plus ;) 
28 Août 2007 23:25:57

'soir XmichouX
tu as raison en ce moment, toi tu dors entre 2 heures et 4 heures du matin :lol: 
29 Août 2007 00:03:37

Sham-Rock, impossible de faire la manip : je fais copier (dans mon répertoire), sans pouvoir coller (dans sfp.exe), clic droit -> tout est gris, inaccessible

le fichier C:\WINDOWS\WinDV.exe n'apparait pas comme les autres

que puis-je faire pour délier ce sac de noeud ?!

par contre, pour la 2ème fois depuis mes problèmes, j'ai vu cet icône (source probable de tout ça) : http://img262.imageshack.us/img262/1668/malwareri0.jpg

charmant...
29 Août 2007 00:13:50

tant pis,
XmichouX va poursuivre.

je l'avance un peu:

~Télécharge OTMoveIt (d'OldTimer). Sauvegarde-le sur ton Bureau.


~Sélectionne TOUS les emplacements suivants :


C:\WINDOWS\WinDV.exe
C:\WINDOWS\system32\edssjpto.exe
C:\WINDOWS\system32\kwmlxy.exe


---> Clique-droit puis Copier (ou Ctrl+C)
~Double-clique sur OTMoveIt.exe afin de le lancer.
fais un Clique-droit sur le cadre de gauche puis choisis Coller. (ou Ctrl+V).
~Clique maintenant sur [#ff0000]MoveIt![/#f]

!! Si un fichier ou dossier ne peut être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES

~Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport est la date de sa création.

ajoute un nouveau log hijackthis
29 Août 2007 00:14:14

virus total pour C:\WINDOWS\system32\edssjpto.exe :

AhnLab-V3 2007.8.29.0 2007.08.28 -
AntiVir 7.4.1.63 2007.08.28 -
Authentium 4.93.8 2007.08.28 -
Avast 4.7.1029.0 2007.08.28 -
AVG 7.5.0.484 2007.08.28 -
BitDefender 7.2 2007.08.28 -
CAT-QuickHeal 9.00 2007.08.25 -
ClamAV 0.91.2 2007.08.28 -
DrWeb 4.33 2007.08.28 BackDoor.IRC.Sdbot.1464
eSafe 7.0.15.0 2007.08.28 Suspicious Trojan/Worm
eTrust-Vet 31.1.5092 2007.08.28 -
Ewido 4.0 2007.08.28 -
FileAdvisor 1 2007.08.29 -
Fortinet 2.91.0.0 2007.08.28 -
F-Prot 4.3.2.48 2007.08.28 -
F-Secure 6.70.13030.0 2007.08.28 -
Ikarus T3.1.1.12 2007.08.28 -
Kaspersky 4.0.2.24 2007.08.29 -
McAfee 5107 2007.08.28 -
Microsoft 1.2803 2007.08.29 -
NOD32v2 2489 2007.08.28 -
Norman 5.80.02 2007.08.28 -
Panda 9.0.0.4 2007.08.28 -
Prevx1 V2 2007.08.29 -
Rising 19.38.12.00 2007.08.28 -
Sophos 4.21.0 2007.08.28 -
Sunbelt 2.2.907.0 2007.08.25 -
Symantec 10 2007.08.28 W32.IRCbot
TheHacker 6.1.9.175 2007.08.28 -
VBA32 3.12.2.3 2007.08.28 -
VirusBuster 4.3.26:9 2007.08.28 -
Webwasher-Gateway 6.0.1 2007.08.28 Win32.Malware.dam (suspicious)
Information additionnelle
File size: 23360 bytes
MD5: 9082118008de6ae3c7fe3e3085683e0c
SHA1: 559402d8de94941866c045012f953d108d58651f
29 Août 2007 00:20:35

j'ai posté ci dessus, tu peux faire ce que je te dis.
29 Août 2007 00:21:35

ah ok, je reprends à partir de ton post !
29 Août 2007 00:44:14

Sham-Rock : pas moyen, les fichiers sont comme grisés (en lecture seule)

je ne peux pas les copier-coller, j'ai essayé 3 fois

nouveaux messages :
WORM/Rbot.50176.s sur les fichiers gvfisez.exe et irdvxd.exe
29 Août 2007 00:44:41

ce truc est horrible
29 Août 2007 11:06:40

Tu dois les copier à partir du forum ;)  ! Tu copies l'encadré de Sham-Rock dans OtmOvelt, c'est tout :) 
30 Août 2007 10:34:54

ok !!!

rapport OTMoveIt :

C:\WINDOWS\WinDV.exe moved successfully.
C:\WINDOWS\system32\edssjpto.exe moved successfully.
C:\WINDOWS\system32\kwmlxy.exe moved successfully.

Created on 08/30/2007 10:33:21
30 Août 2007 10:35:36

(le fichier du "virus" ou je ne sais quoi a disparu au moment où je cherchais le rapport OTMoveIt...)
30 Août 2007 10:38:17

rapport de hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 10:36:37, on 30/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\attrib.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\attrib.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} - C:\WINDOWS\System32\byxurop.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {B020B790-1AB3-46CD-8075-5F676EB9787A} - C:\WINDOWS\System32\mlljh.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: SATARAID5.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: attrib - Unknown owner - C:\WINDOWS\attrib.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

j'ai une nouvelle alerte (je ne sais pas si je dois te le signaler à chaque fois ?) : WORM/Sdbot.645632.2 dans c:/windows/attrib.exe
30 Août 2007 10:50:43

Télécharge SDFix

Enregistre le sur ton le bureau.

Lances le.
Fais install afin qu’il puisse s’extraire.

Redémarre en mode sans échec (tuto)

Lance SDFix.
Double clique sur RunThis.bat ( Le .bat apparaît si tu affiches les dossiers cachés : Poste de travail >outil>option des dossiers>affichage>afficher les fichiers et dossiers cachés )
Appuie sur Y pour le lancer.

Il te sera demandé d'appuyer sur une touche pour redemarrer , fais le
Il est probable que le redémarrage soit un peu plus long que d’habitude.
Une fois l’apparition de ton Bureau, il affichera Finished

Appuie sur une touche.

Un rapport est généré , poste le dans ta réponse.
Il se trouve également. dans le dossier SDFix >Report.txt<
et un nouveau rapport Hijackthis
30 Août 2007 11:22:44

rapport SDFix :

SDFix: Version 1.100

Run by Steph on 30/08/2007 at 11:16

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\Steph\Bureau\SDFix

Safe Mode:
Checking Services:


C:\WINDOWS\system32\Microsoft\backup.ftp Found
C:\WINDOWS\system32\Microsoft\backup.tftp Found

Checking files:

Genuine:
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\Microsoft\backup.tftp

Dummy:
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache\tftp.exe

Files copied to SDFix\Backups

Restoring files if backups are found

Final Check:

Genuine:
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\Microsoft\backup.tftp
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache\tftp.exe

Dummy:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\Program Files\Fichiers communs\delsim\del.exe - Deleted
C:\WINDOWS\system32\i - Deleted
C:\WINDOWS\system32\Microsoft\backup.ftp - Deleted
C:\WINDOWS\system32\Microsoft\backup.tftp - Deleted


Folder C:\Program Files\Fichiers communs\delsim - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

Remaining Files:
---------------

File Backups: - C:\DOCUME~1\Steph\Bureau\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\WINDOWS\system32\adty.exe
C:\WINDOWS\system32\jzqbtkr.exe
C:\WINDOWS\system32\qzwxbn.exe
C:\_OTMoveIt\MovedFiles\WINDOWS\WinDV.exe
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\edssjpto.exe
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\kwmlxy.exe
C:\WINDOWS\LastGood.Tmp\INF\oem10.inf
C:\WINDOWS\LastGood.Tmp\INF\oem10.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem11.inf
C:\WINDOWS\LastGood.Tmp\INF\oem11.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem5.inf
C:\WINDOWS\LastGood.Tmp\INF\oem5.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem6.inf
C:\WINDOWS\LastGood.Tmp\INF\oem6.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem7.inf
C:\WINDOWS\LastGood.Tmp\INF\oem7.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem8.inf
C:\WINDOWS\LastGood.Tmp\INF\oem8.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem9.inf
C:\WINDOWS\LastGood.Tmp\INF\oem9.PNF

Finished
30 Août 2007 11:23:22

rapport Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 11:22:54, on 30/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} - C:\WINDOWS\System32\byxurop.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {B020B790-1AB3-46CD-8075-5F676EB9787A} - C:\WINDOWS\System32\mlljh.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: SATARAID5.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: attrib - Unknown owner - C:\WINDOWS\attrib.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

30 Août 2007 11:41:10

C'est encore un petit peu mieux mais c'est pas tout à fait fini .

1/ Relance HiJackThis, do a system scan only , coche ces lignes :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} - C:\WINDOWS\System32\byxurop.dll (file missing)
O2 - BHO: (no name) - {B020B790-1AB3-46CD-8075-5F676EB9787A} - C:\WINDOWS\System32\mlljh.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

Fix Checked !


Aller dans poste de travail>outils>option des dossiers>affichage>afficher les fichiers et dossiers cachés. - - > Appliquer - - > OK

Aller dans poste de travail>outils>option des dossiers>affichage>décocher masquer les fichiers protégés du système d’exploitation. - - > Appliquer - - > OK


2/ Fais analyser ces fichier sur ce site >> Virustotal <<

Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier :
C:\WINDOWS\System32\msjava.dll
Clique maintenant sur envoyer le fichier.
Poste le rapport
Fais la même chose avec ces fichiers : C:\WINDOWS\system32\adty.exe
C:\WINDOWS\system32\jzqbtkr.exe
C:\WINDOWS\system32\qzwxbn.exe
30 Août 2007 12:30:01

j'essaye de te faire ça mais j'ai beaucoup d'alertes d'antivir et une d'AVG sur Bacdoor.PoeBot.o

à chaque démarrage du PC, il me dit le mettre en quarantaine et redémarre...
30 Août 2007 12:35:03

Histoire de faire un peu de nettoyage (mais fait tout de même ce que j'ai mis ..)

Télécharge AVG Anti-Spyware Installes-le.
Lance AVG et fais une mise à jour.
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglet comment réagir, clique sur Actions recommandées. Choisis Quarantaine.
Ne fais pas d’analyse pour le moment.
Redémarre en mode sans échec (tuto).
Relance Avg.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas.
Clique sur "Enregistrer le rapport". Ceci génère un rapport qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.
Poste le ici.
30 Août 2007 12:39:34

-->> je ne trouve pas les fichiers : adty.exe et jzqbtkr.exe

plantage nt system







30 Août 2007 12:41:57

Arf c'est lourd ce truc :(  !
Tu peux démarrer en mode sans échec avec F8 et faire avg ??
Sinon tu as bien affiché les fichiers cachés et protégés du système pour virustotal?
30 Août 2007 16:53:55

pour C:\WINDOWS\System32\msjava.dll ;

AhnLab-V3 2007.8.29.0 2007.08.30 -
AntiVir 7.4.1.66 2007.08.30 -
Authentium 4.93.8 2007.08.29 -
Avast 4.7.1029.0 2007.08.29 -
AVG 7.5.0.484 2007.08.29 -
BitDefender 7.2 2007.08.30 -
CAT-QuickHeal 9.00 2007.08.30 -
ClamAV 0.91.2 2007.08.30 -
DrWeb 4.33 2007.08.30 -
eSafe 7.0.15.0 2007.08.29 -
eTrust-Vet 31.1.5095 2007.08.30 -
Ewido 4.0 2007.08.30 -
FileAdvisor 1 2007.08.30 -
Fortinet 3.11.0.0 2007.08.30 -
F-Prot 4.3.2.48 2007.08.29 -
F-Secure 6.70.13030.0 2007.08.30 -
Ikarus T3.1.1.12 2007.08.30 -
Kaspersky 4.0.2.24 2007.08.30 -
McAfee 5108 2007.08.29 -
Microsoft 1.2803 2007.08.30 -
NOD32v2 2492 2007.08.30 -
Norman 5.80.02 2007.08.30 -
Panda 9.0.0.4 2007.08.29 -
Prevx1 V2 2007.08.30 -
Rising 19.38.32.00 2007.08.30 -
Sophos 4.21.0 2007.08.30 -
Sunbelt 2.2.907.0 2007.08.25 -
Symantec 10 2007.08.30 -
TheHacker 6.1.9.175 2007.08.30 -
VBA32 3.12.2.3 2007.08.30 -
VirusBuster 4.3.26:9 2007.08.30 -
Webwasher-Gateway 6.0.1 2007.08.30 -
Information additionnelle
File size: 945693 bytes
MD5: a742aef87af3afe1981c9c1f854e6124
SHA1: e965433537c4f222d620a571a3fcb450af241443

un peu bizarre car c'est la 4ème fois que je le fais (ça n'a pas planté ce coup-ci) et les 3 fois précédentes, 2 worms étaient trouvés...
30 Août 2007 16:55:28

2 worms dans le rapport ou par ton antivirus ? Sinon essaie si tu y arrive de faire avg en mode sans échec .
30 Août 2007 17:31:58

2 worms dans le rapport

là, ça fait 4 fois que j'essaie pour celui-là : C:\WINDOWS\system32\qzwxbn.exe

et ça plante à chaque fois avant la fin

je le re-fais et te poste le rapport de ce qu'il me trouve (2 aussi) avant le plantage :

AhnLab-V3 2007.8.31.0 2007.08.30 -
AntiVir 7.4.1.66 2007.08.30 -
Authentium 4.93.8 2007.08.29 -
Avast 4.7.1029.0 2007.08.29 -
AVG 7.5.0.484 2007.08.29 -
BitDefender 7.2 2007.08.30 -
CAT-QuickHeal 9.00 2007.08.30 -
ClamAV None 2007.08.30 -
DrWeb 4.33 2007.08.30 BackDoor.IRC.Sdbot.1464
eSafe 7.0.15.0 2007.08.29 Suspicious Trojan/Worm

je redémarre en mode sans échec et lance AVG...
30 Août 2007 17:32:52

Pour ces trois fichiers, c'est bien ça ?
C:\WINDOWS\system32\adty.exe
C:\WINDOWS\system32\jzqbtkr.exe
C:\WINDOWS\system32\qzwxbn.exe
Fais avec avg ouais ;) 
30 Août 2007 17:43:04

en fait, C:\WINDOWS\system32\adty.exe et C:\WINDOWS\system32\jzqbtkr.exe n'existent pas (ou plus ?)

et pour C:\WINDOWS\system32\qzwxbn.exe, l'analyse débute sans problème puis au bout d'un moment, j'ai un plantage NT SYSTEM

comme tu dis, c'est du lourd, là, j'ai à nouveau plusieurs alertes dont celle de Vundo...


AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 17:38:46 30/08/2007

+ Résultat de l'analyse:



C:\System Volume Information\_restore{4001B51B-1CD4-44B0-A61F-B414CD3C7FAD}\RP15\A0019804.exe -> Backdoor.PoeBot.o : Nettoyé.
C:\WINDOWS\system32\jcgaudh.exe -> Backdoor.PoeBot.o : Nettoyé.
C:\WINDOWS\system32\spooIsv.exe -> Backdoor.PoeBot.o : Nettoyé.
C:\WINDOWS\system32\TFTP460 -> Backdoor.Rbot : Nettoyé.
C:\System Volume Information\_restore{4001B51B-1CD4-44B0-A61F-B414CD3C7FAD}\RP15\A0019805.com -> Backdoor.Rbot.aus : Nettoyé.
C:\System Volume Information\_restore{4001B51B-1CD4-44B0-A61F-B414CD3C7FAD}\RP15\A0016726.exe -> Backdoor.Rbot.bni : Nettoyé.
C:\System Volume Information\_restore{4001B51B-1CD4-44B0-A61F-B414CD3C7FAD}\RP15\A0017737.exe -> Backdoor.Rbot.bni : Nettoyé.
C:\WINDOWS\system32\jexim.exe -> Downloader.ConHook.ah : Nettoyé.
C:\System Volume Information\_restore{4001B51B-1CD4-44B0-A61F-B414CD3C7FAD}\RP15\A0019803.exe -> Downloader.Delf.ain : Nettoyé.
C:\WINDOWS\system32\wzan.exe -> Dropper.Small : Nettoyé.
C:\Documents and Settings\Steph\Cookies\steph@advertising[2].txt -> TrackingCookie.Advertising : Nettoyé.
C:\Documents and Settings\Steph\Cookies\steph@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Steph\Cookies\steph@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Steph\Cookies\steph@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Steph\Cookies\steph@fastclick[2].txt -> TrackingCookie.Fastclick : Nettoyé.
C:\Documents and Settings\Steph\Cookies\steph@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\Steph\Cookies\steph@smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Steph\Cookies\steph@statcounter[1].txt -> TrackingCookie.Statcounter : Nettoyé.
C:\Documents and Settings\Steph\Cookies\steph@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\Steph\Cookies\steph@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Steph\Cookies\steph@m.webtrends[2].txt -> TrackingCookie.Webtrends : Nettoyé.


Fin du rapport

30 Août 2007 17:45:45

Vide la quarantaine.
Désactive-réactive la restauration système (: >clique droit sur poste de travail>propriétés>restauration système>désactiver la restauration sur tous les lecteurs>appliquer>ok et après l'inverse

Passe une dernière fois SDFix pour voir ...
      • 1 / 3
      • 2
      • 3
      • Dernier
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS