Votre question

problème virus/trojan

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
4 Septembre 2007 18:33:32

Bonjour à tous,
Je suis confronté a divers problèmes, le plus génant étant que mon anti-virus antivir m'affiche régulièrement une fenêtre m'annoncant qu'il a toruver un trojan sur le fichier ssqrq.dll.
Je vous met mon rapport d'hijackthis.
Merci d'avance

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:20:37, on 04/09/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Documents and Settings\std\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\std\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {146A3DE6-D6CE-4CDB-A9FA-E862C30BD3C2} - C:\WINDOWS\System32\ssqrq.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\System32\lwliaxuf.dll (file missing)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\gebyyyx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\miqiprzp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\System32\qwuvjysm.dll",realset
O4 - HKLM\..\Run: [jdimra] c:\windows\system32\jdimra.exe jdimra
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [AnumanLive] C:\Documents and Settings\std\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/0756cf721e199a02ce15/netzip...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/Newuploader/ImageUploader4.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/4....
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.fr/clients/uploader_v2.1.0.53.ca...
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp09.photoprintit.de/microsite/3462/defaults/ac...
O20 - Winlogon Notify: gebyyyx - C:\WINDOWS\SYSTEM32\gebyyyx.dll
O20 - Winlogon Notify: mllml - C:\WINDOWS\System32\mllml.dll (file missing)
O20 - Winlogon Notify: ssqrq - C:\WINDOWS\System32\ssqrq.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\rpbkdqiq.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Windows Service Manager - Unknown owner - C:\WINDOWS\srvrmgr.exe (file missing)

--
End of file - 6008 bytes

Autres pages sur : probleme virus trojan

a b 8 Sécurité
4 Septembre 2007 18:48:42

Bonjour,

C'est une infection Vundo.

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
  • Double-clique VundoFix.exe afin de le lancer
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse
    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
    4 Septembre 2007 19:08:32

    Superbe quelques problèmes sont déja résolus voici les rapport:



    VundoFix V6.5.8

    Checking Java version...

    Sun Java not detected
    Scan started at 19:00:20 04/09/2007

    Listing files found while scanning....

    C:\windows\system32\awtsp.dll
    C:\windows\system32\bdeeg.tmp
    C:\windows\system32\efhkj.ini
    C:\WINDOWS\system32\gebyyyx.dll
    C:\windows\system32\geedb.dll
    C:\windows\system32\jkhfe.dll
    C:\WINDOWS\System32\lwliaxuf.dll
    C:\windows\system32\pstwa.ini
    C:\WINDOWS\System32\qwuvjysm.dll
    C:\WINDOWS\System32\ssqrq.dll

    Beginning removal...

    Attempting to delete C:\windows\system32\awtsp.dll
    C:\windows\system32\awtsp.dll Has been deleted!

    Attempting to delete C:\windows\system32\bdeeg.tmp
    C:\windows\system32\bdeeg.tmp Has been deleted!

    Attempting to delete C:\windows\system32\efhkj.ini
    C:\windows\system32\efhkj.ini Has been deleted!

    Attempting to delete C:\WINDOWS\system32\gebyyyx.dll
    C:\WINDOWS\system32\gebyyyx.dll Has been deleted!

    Attempting to delete C:\windows\system32\geedb.dll
    C:\windows\system32\geedb.dll Has been deleted!

    Attempting to delete C:\windows\system32\jkhfe.dll
    C:\windows\system32\jkhfe.dll Has been deleted!

    Attempting to delete C:\windows\system32\pstwa.ini
    C:\windows\system32\pstwa.ini Has been deleted!

    Attempting to delete C:\WINDOWS\System32\ssqrq.dll
    C:\WINDOWS\System32\ssqrq.dll Has been deleted!

    Performing Repairs to the registry.
    Done!



    et celui d'Hijackthis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:08:39, on 04/09/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Documents and Settings\std\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Documents and Settings\std\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {146A3DE6-D6CE-4CDB-A9FA-E862C30BD3C2} - C:\WINDOWS\System32\ssqrq.dll (file missing)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
    O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
    O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\miqiprzp.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [jdimra] c:\windows\system32\jdimra.exe jdimra
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
    O4 - HKCU\..\Run: [AnumanLive] C:\Documents and Settings\std\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/0756cf721e199a02ce15/netzip...
    O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/Newuploader/ImageUploader4.cab
    O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/4....
    O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.fr/clients/uploader_v2.1.0.53.ca...
    O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp09.photoprintit.de/microsite/3462/defaults/ac...
    O20 - Winlogon Notify: mllml - C:\WINDOWS\System32\mllml.dll (file missing)
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\rpbkdqiq.exe (file missing)
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Windows Service Manager - Unknown owner - C:\WINDOWS\srvrmgr.exe (file missing)

    --
    End of file - 5694 bytes
    Contenus similaires
    a b 8 Sécurité
    4 Septembre 2007 19:09:08

    Re,

    Télécharge Navilog1.exe (IL-MAFIOSO)
    Enregistre-le sur ton Bureau.
    Lance l'installation en double cliquant sur navilog.exe.
    Une fois l'installation terminée, l'utilitaire s'exécutera automatiquement.
    (Si ce n'est pas le cas, double clique sur le raccourci présent sur le Bureau)

    Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
    [#ff0000]! N'utilise pas l'option 2, 3 et 4 sans notre accord ![/#f]
    Patiente jusqu'à l'apparition de ce message :
    "*** Analyse Termine le ..... ***"
    Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste-nous son contenu de cette manière :

    -> Edition / Sélectionner tout
    -> Edition / Copier
    -> Clique-Droit / Coller dans ta réponse


    NOTE : Le rapport se trouve également ici : C:\fixnavi.txt
    4 Septembre 2007 19:11:02

    Ce serait possible de me dire en bref à quoi correspond une infection vundo?
    Faut-il lancer vundofix régulièrement pour éviter les problèmes de ce genre?
    Merci.
    a b 8 Sécurité
    4 Septembre 2007 19:15:28

    Citation :
    Ce serait possible de me dire en bref à quoi correspond une infection vundo?

    Ralentissements, pubs...

    Citation :
    Faut-il lancer vundofix régulièrement pour éviter les problèmes de ce genre?

    Non. Tu as d'autres infections.

    Fais ce que j'ai dit :) 
    4 Septembre 2007 19:18:08

    Oui oui je fais ce que tu dis c'étaits pour comprendre un minimun ce que je faisais.
    Voici le résultat pour navilog, d'ailleurs est-ce normal qu'antivir me prévienne constament que navilog.bat est un fichier douteux durant toute l'analyse?


    Search Navipromo version 2.0.9 commencé le 04/09/2007 à 19:14:36,12

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Poster ce rapport sur le forum pour le faire analyser !!!
    !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

    Fix lancé depuis C:\Program Files\navilog1
    Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO

    Executé en mode normal

    *** Recherche Programmes installes ***




    *** Recherche dossiers dans C:\WINDOWS ***




    *** Recherche dossiers dans C:\Program Files ***




    *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




    *** Recherche dossiers dans C:\Documents and Settings\std\Application Data ***



    *** Recherche avec BlackLight Engine/F-secure ***
    BlackLight Engine est un produit de F-secure, pour + d'infos :
    http://www.f-secure.com/blacklight/blacklight_help.html


    F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
    ======================================

    Copyright 2005-2006 F-Secure Corporation. All rights reserved.
    This is a beta version. It will expire on 1st of October, 2007.
    Version information: 2.2.1064.

    [+] Started on 09/04/07 at 19:14:58.
    [+] Initializing ...
    [+] Starting scan, press Ctrl-C to abort.
    [+] Scanning for hidden items ...................
    [+] Scan complete.
    [+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
    [+] Exited on 09/04/07 at 19:15:49 (return code = 0).


    *** Recherche avec GenericNaviSearch ***
    !!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A verifier impérativement avant toute suppression manuelle !!!

    Fichiers trouvés :

    Aucun Fichier trouvé !

    Fichiers suspects :

    Aucun Fichier suspect trouvé !



    *** Recherche fichiers ***


    C:\WINDOWS\system32\nvs2.inf trouvé !


    *** Recherche cles registre ***


    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



    Recherche Clé Magic Control

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !
    HKEY_USERS\S-1-5-21-602162358-1035525444-725345543-1003\Software\Lanconfig trouvé !


    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    C:\WINDOWS\system32\lmllm.ini2 trouvé ! infection Vundo possible non traité par cet outil !
    C:\WINDOWS\system32\lmllm.bak1 trouvé ! infection Vundo possible non traité par cet outil !
    C:\WINDOWS\system32\qrqss.bak1 trouvé ! infection Vundo possible non traité par cet outil !
    C:\WINDOWS\system32\lmllm.bak2 trouvé ! infection Vundo possible non traité par cet outil !
    C:\WINDOWS\system32\qrqss.bak2 trouvé ! infection Vundo possible non traité par cet outil !

    2)Recherche Heuristique :
    *
    C:\WINDOWS\system32\jdimra.dat trouvé !
    **
    C:\WINDOWS\system32\jdimra.dat trouvé !
    ***
    ****
    C:\WINDOWS\system32\jdimra_navps.dat trouvé !
    *****
    C:\WINDOWS\system32\jdimra_nav.dat trouvé !
    ******
    *******
    ********


    3)Recherche Certificats :

    Certificat Egroup trouvé !


    *** Analyse Terminé le 04/09/2007 à 19:16:55,09 ***
    a b 8 Sécurité
    4 Septembre 2007 19:26:03

    Re,

    Double clique sur le raccourci de Navilog1 présent sur ton Bureau.
    Suis les instructions. Choisis ensuite l'option 2 puis valide.
    Laisse toi guider et réponds aux questions éventuelles.

    L'utilitaire va t'informer qu'il va redémarrer l'ordinateur.
    **Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts**[/#f]
    Appuie maintenant sur une touche, comme demandé.
    (si ton PC ne redémarre pas automatiquement, fais-le manuellement)

    Patiente jusqu'à l'apparition de ce message :
    "*** Nettoyage Termine le ..... ***"

    Le Bloc-notes va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver.
    Referme le Bloc-notes. Ton bureau va maintenant réapparaître.

    NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.
    Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."
    Tape explorer puis valide.

    Poste le rapport sauvegardé auparavant (C:\cleannavi.txt)

    &

  • Télécharge [#ff0000]combofix.exe
  • (par sUBs) sur ton Bureau.
  • Double clique combofix.exe.
  • Tape sur la touche 1 (Yes) pour démarrer le scan.
  • Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    &

    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    Double clique sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.

    Redémarre en mode sans échec

  • Ouvre le dossier SDFix qui vient d'être créé à la racine de ton dique dur (C:) et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis.
    4 Septembre 2007 19:37:37

    Voici le rapport de navilog:


    Clean Navipromo version 2.0.9 commencé le 04/09/2007 à 19:32:39,10

    Fix lancé depuis C:\Program Files\navilog1
    Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO

    Mode suppression automatique avec prise en charge résultats Blacklight



    *** fsbl1.txt non trouvé ***
    (Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)



    *** Recherche avec GenericNaviSearch ***
    !!! Ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A verifier impérativement avant toute suppression manuelle !!!

    Fichiers trouvés supprimés avec backups :

    Aucun Fichier trouvé !

    Fichiers suspects :

    Aucun Fichier suspect trouvé !


    *** Suppression dossiers dans C:\WINDOWS ***


    *** Suppression dossiers dans C:\Program Files ***


    *** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


    *** Suppression dossiers dans C:\Documents and Settings\std\Application Data ***



    *** Suppression fichiers ***

    C:\WINDOWS\system32\nvs2.inf supprimé !

    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\std\Local Settings\Temp effectué !

    *** Traitement Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    C:\WINDOWS\system32\lmllm.ini2 trouvé ! infection Vundo possible non traité par cet outil !
    C:\WINDOWS\system32\lmllm.bak1 trouvé ! infection Vundo possible non traité par cet outil !
    C:\WINDOWS\system32\qrqss.bak1 trouvé ! infection Vundo possible non traité par cet outil !
    C:\WINDOWS\system32\lmllm.bak2 trouvé ! infection Vundo possible non traité par cet outil !
    C:\WINDOWS\system32\qrqss.bak2 trouvé ! infection Vundo possible non traité par cet outil !

    2)Recherche et Suppression Heuristique :

    *
    C:\WINDOWS\System32\jdimra.dat trouvé !
    Copie C:\WINDOWS\system32\jdimra.dat réalise avec succes !
    C:\WINDOWS\system32\jdimra.dat supprimé !

    **
    ***
    ****
    C:\WINDOWS\System32\jdimra_navps.dat trouvé !
    Copie C:\WINDOWS\system32\jdimra_navps.dat réalise avec succes !
    C:\WINDOWS\system32\jdimra_navps.dat supprimé !

    *****
    C:\WINDOWS\System32\jdimra_nav.dat trouvé !
    Copie C:\WINDOWS\system32\jdimra_nav.dat réalise avec succes !
    C:\WINDOWS\system32\jdimra_nav.dat supprimé !

    ******
    *******
    ********

    3)Certificats :

    Certificat Egroup supprimé !

    *** Sauvegarde du registre vers dossier Backupnavi ***

    sauvegarde du registre réalise avec succes !


    *** Nettoyage registre ***

    Nettoyage registre Ok


    *** Nettoyage termine le 04/09/2007 à 19:35:39,85 ***



    Je vais maintenant télécharger combofix.
    4 Septembre 2007 19:43:31

    Voivi le rapport de combofix:

    ComboFix 07-08-30.3 - "std" 2007-09-04 19:38:26.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.308 [GMT 2:00]
    * Created a new restore point


    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


    C:\DOCUME~1\std\APPLIC~1\HbTools
    C:\DOCUME~1\std\APPLIC~1\HbTools_Icons
    C:\DOCUME~1\std\APPLIC~1\microsoft\internet explorer\quick launch\intern~1.lnk
    C:\Program Files\Seekmo Programs
    C:\WINDOWS\DOWNLO~1.\HbInstIE.dll
    C:\WINDOWS\DOWNLO~1\USDR6V_0001_N19M2604NetInstaller.exe


    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


    -------\LEGACY_DOMAINSERVICE
    -------\DomainService


    ((((((((((((((((((((((((( Files Created from 2007-08-04 to 2007-09-04 )))))))))))))))))))))))))))))))


    2007-09-04 19:38 51,200 --a------ C:\WINDOWS\nircmd.exe
    2007-09-04 19:12 <REP> d-------- C:\Program Files\Navilog1
    2007-09-04 19:00 <REP> d-------- C:\VundoFix Backups
    2007-09-04 18:19 <REP> d-------- C:\WINDOWS\pss
    2007-09-04 17:42 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
    2007-09-03 20:08 347,136 --a------ C:\Program Files\A3Dinstall_1.0.exe
    2007-09-03 19:55 <REP> d-------- C:\Program Files\montage photos
    2007-09-03 19:54 2,923,706 --a------ C:\Program Files\montage photos.exe
    2007-09-03 18:42 <REP> d-------- C:\Program Files\Freeplayer
    2007-09-03 17:55 <REP> d-------- C:\Program Files\Total Video Converter
    2007-09-03 17:54 5,322,381 --a------ C:\Program Files\total video converter.exe
    2007-08-28 19:21 12,015,715 --a------ C:\Program Files\Freeplayer-Win32-20070531.exe
    2007-08-19 16:14 <REP> d-------- C:\DOCUME~1\std\APPLIC~1\Anuman Interactive
    2007-08-19 16:10 <REP> d-------- C:\Program Files\Boonty
    2007-08-08 12:23 6,486 --------- C:\WINDOWS\system32\qrqss.bak2
    2007-08-07 18:23 <REP> d-------- C:\Program Files\Pixiphot
    2007-08-07 17:32 6,486 --------- C:\WINDOWS\system32\qrqss.bak1


    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-09-03 21:48 --------- d-------- C:\Program Files\eMule
    2007-09-03 18:41 --------- d-------- C:\Program Files\Google
    2007-07-16 13:52 --------- d-------- C:\DOCUME~1\std\APPLIC~1\vlc
    2007-07-11 19:24 86016 --a------ C:\WINDOWS\system32\mljkkkh.exe
    2007-07-10 23:13 --------- d--h----- C:\Program Files\Fichiers communs\delsim
    2007-07-09 23:54 939949 --------- C:\WINDOWS\system32\lmllm.ini2
    2007-07-09 23:33 937539 --------- C:\WINDOWS\system32\lmllm.bak2
    2007-07-08 18:38 936964 --------- C:\WINDOWS\system32\lmllm.bak1
    2007-07-08 18:38 44032 --a------ C:\WINDOWS\system32\ftp.exe
    2007-07-08 18:38 17920 --a------ C:\WINDOWS\system32\tftp.exe
    2007-06-19 20:01 37164 --ah----- C:\WINDOWS\system32\rvmmcfjo.exe
    2007-06-19 20:01 135168 --a------ C:\WINDOWS\system32\sfc_os.dll
    2007-06-19 20:00 14600 --ah----- C:\WINDOWS\system32\kbjfnkh.exe
    2007-06-19 19:54 29088 --ah----- C:\WINDOWS\system32\jckagrv.exe
    2007-06-19 19:54 20374 --ah----- C:\WINDOWS\system32\ensvat.exe
    2007-06-19 19:53 34310 --ah----- C:\WINDOWS\system32\lkqu.exe
    2007-06-19 19:50 2920 --ah----- C:\WINDOWS\system32\jqcn.exe
    2007-06-19 19:40 30660 --ah----- C:\WINDOWS\system32\iyzfc.exe
    2007-06-19 19:40 26280 --ah----- C:\WINDOWS\system32\kzhh.exe
    2007-06-19 19:37 15842 --ah----- C:\WINDOWS\system32\lgqrz.exe
    2007-06-19 19:29 5840 --ah----- C:\WINDOWS\system32\xcsn.exe
    2007-06-19 19:29 15188 --ah----- C:\WINDOWS\system32\xmfdalc.exe
    2007-06-19 19:25 49538 --ah----- C:\WINDOWS\system32\cspf.exe
    2007-06-19 18:43 491520 --a------ C:\WINDOWS\system32\mdt.exe
    2007-06-19 18:43 15360 --ah----- C:\WINDOWS\system32\xepfr.exe
    2007-06-19 18:35 15972 --ah----- C:\WINDOWS\system32\ucswty.exe
    2007-06-19 18:27 59860 --ah----- C:\WINDOWS\system32\qnwfkgu.exe
    2007-06-19 18:00 37328 --ah----- C:\WINDOWS\system32\jylnoi.exe
    2007-06-19 17:55 58400 --ah----- C:\WINDOWS\system32\dgliu.exe
    2007-06-19 17:55 54750 --ah----- C:\WINDOWS\system32\qhkr.exe
    2007-06-19 17:38 8192 --ah----- C:\WINDOWS\system32\wujxug.exe
    2007-06-19 17:38 16384 --ah----- C:\WINDOWS\system32\cvewhxsu.exe
    2007-06-19 17:37 173056 --ah----- C:\WINDOWS\system32\pgjlqubh.exe
    2007-06-19 17:32 65024 --ah----- C:\WINDOWS\system32\nhkuf.exe
    2007-06-19 17:31 19456 --ah----- C:\WINDOWS\system32\rreryl.exe
    2007-06-19 17:12 34436 --ah----- C:\WINDOWS\system32\oydhcora.exe
    2007-06-19 17:02 6144 --ah----- C:\WINDOWS\system32\ctmunsem.exe
    2007-06-19 16:42 44388 --ah----- C:\WINDOWS\system32\rklp.exe
    2007-06-19 16:41 38912 --ah----- C:\WINDOWS\system32\fqlefvp.exe
    2007-06-19 16:40 22016 --ah----- C:\WINDOWS\system32\fprpcypu.exe
    2007-06-19 15:53 296808 --ah----- C:\WINDOWS\system32\kqwwktx.exe
    2007-06-19 14:32 446160 --ah----- C:\WINDOWS\system32\yetrfhpf.exe
    2006-12-01 19:21 23488648 --a------ C:\Program Files\AdbeRdr708_fr_FR.exe
    2006-11-01 13:43 16277288 --a------ C:\Program Files\Install_Messenger.exe


    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{146A3DE6-D6CE-4CDB-A9FA-E862C30BD3C2}]
    C:\WINDOWS\System32\ssqrq.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMan"="SOUNDMAN.EXE" [2003-05-14 07:20 C:\WINDOWS\SOUNDMAN.EXE]
    "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-03-03 12:00]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-12-07 17:49]
    "REGSHAVE"="C:\Program Files\REGSHAVE\REGSHAVE.exe" [2002-02-04 22:32]
    "Windows Explorer"="C:\WINDOWS\System32\explorer.exe" []
    "Application Layer Gateway Service"="C:\WINDOWS\System32\algs.exe" []
    "Advanced DHTML Enable"="C:\WINDOWS\System32\miqiprzp.exe" []
    "avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 11:45]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-19 15:12]
    "WINSOS VERIFY"="C:\Program Files\Winsos\WINSOS.exe" []
    "AnumanLive"="C:\Documents and Settings\std\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe" [2007-08-22 16:36]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mllml]
    C:\WINDOWS\System32\mllml.dll

    R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys
    R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
    S2 Windows Service Manager;Windows Service Manager;"C:\WINDOWS\srvrmgr.exe"
    S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\System32\DRIVERS\fbxusb32.sys
    S3 SetupNTGLM7X;SetupNTGLM7X;\??\D:\NTGLM7X.sys

    *Newly Created Service* - ALG
    *Newly Created Service* - IPNAT

    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-09-04 19:40:44
    Windows 5.1.2600 Service Pack 1 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    Completion time: 2007-09-04 19:42:03 - machine was rebooted
    C:\ComboFix-quarantined-files.txt ... 2007-09-04 19:42

    --- E O F ---
    4 Septembre 2007 20:19:35

    Et voici le résultat de SdFix:


    SDFix: Version 1.101

    Run by std on 04/09/2007 at 20:12

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\SDFix

    Safe Mode:
    Checking Services:

    Name:
    Windows Service Manager

    ImagePath:
    "C:\WINDOWS\srvrmgr.exe"

    Windows Service Manager - Deleted


    C:\WINDOWS\system32\Microsoft\backup.ftp Found
    C:\WINDOWS\system32\Microsoft\backup.tftp Found

    Checking files:

    Genuine:
    C:\WINDOWS\system32\Microsoft\backup.ftp
    C:\WINDOWS\system32\Microsoft\backup.tftp

    Dummy:
    C:\WINDOWS\system32\ftp.exe
    C:\WINDOWS\system32\tftp.exe
    C:\WINDOWS\system32\dllcache\ftp.exe
    C:\WINDOWS\system32\dllcache\tftp.exe

    Files copied to SDFix\Backups

    Restoring files if backups are found

    Final Check:

    Genuine:
    C:\WINDOWS\system32\Microsoft\backup.ftp
    C:\WINDOWS\system32\Microsoft\backup.tftp
    C:\WINDOWS\system32\ftp.exe
    C:\WINDOWS\system32\tftp.exe
    C:\WINDOWS\system32\dllcache\ftp.exe
    C:\WINDOWS\system32\dllcache\tftp.exe

    Dummy:



    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting...


    Normal Mode:
    Checking Files:

    Trojan Files Found:

    C:\WINDOWS\system32\Microsoft\backup.ftp - Deleted
    C:\WINDOWS\system32\Microsoft\backup.tftp - Deleted


    Folder C:\Program Files\Fichiers communs\delsim - Removed

    Removing Temp Files...

    ADS Check:

    C:\WINDOWS
    No streams found.

    C:\WINDOWS\system32
    No streams found.

    C:\WINDOWS\system32\svchost.exe
    No streams found.

    C:\WINDOWS\system32\ntoskrnl.exe
    No streams found.



    Final Check:

    Remaining Services:
    ------------------



    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

    Remaining Files:
    ---------------

    File Backups: - C:\SDFix\backups\backups.zip

    Files with Hidden Attributes:

    C:\Documents and Settings\std\Local Settings\Application Data\Microsoft\Messenger\chlipipi@hotmail.com\Sharing Folders\billoude@hotmail.fr\Thumbs.db
    C:\WINDOWS\system32\aitmipr.exe
    C:\WINDOWS\system32\cspf.exe
    C:\WINDOWS\system32\ctmunsem.exe
    C:\WINDOWS\system32\cvewhxsu.exe
    C:\WINDOWS\system32\dgliu.exe
    C:\WINDOWS\system32\djzizhr.exe
    C:\WINDOWS\system32\ensvat.exe
    C:\WINDOWS\system32\fprpcypu.exe
    C:\WINDOWS\system32\fqlefvp.exe
    C:\WINDOWS\system32\fsmrja.exe
    C:\WINDOWS\system32\iyzfc.exe
    C:\WINDOWS\system32\jckagrv.exe
    C:\WINDOWS\system32\jqcn.exe
    C:\WINDOWS\system32\jylnoi.exe
    C:\WINDOWS\system32\kbjfnkh.exe
    C:\WINDOWS\system32\kqwwktx.exe
    C:\WINDOWS\system32\kzhh.exe
    C:\WINDOWS\system32\lgqrz.exe
    C:\WINDOWS\system32\lkqu.exe
    C:\WINDOWS\system32\lvueqgzz.exe
    C:\WINDOWS\system32\mrnp.exe
    C:\WINDOWS\system32\nhkuf.exe
    C:\WINDOWS\system32\owhr.exe
    C:\WINDOWS\system32\oydhcora.exe
    C:\WINDOWS\system32\pgjlqubh.exe
    C:\WINDOWS\system32\qhkr.exe
    C:\WINDOWS\system32\qnwfkgu.exe
    C:\WINDOWS\system32\rklp.exe
    C:\WINDOWS\system32\rreryl.exe
    C:\WINDOWS\system32\rvmmcfjo.exe
    C:\WINDOWS\system32\ucswty.exe
    C:\WINDOWS\system32\uvnv.exe
    C:\WINDOWS\system32\wjbjspot.exe
    C:\WINDOWS\system32\wujxug.exe
    C:\WINDOWS\system32\xcsn.exe
    C:\WINDOWS\system32\xepfr.exe
    C:\WINDOWS\system32\xmfdalc.exe
    C:\WINDOWS\system32\yetrfhpf.exe
    C:\WINDOWS\LastGood.Tmp\INF\oem0.inf
    C:\WINDOWS\LastGood.Tmp\INF\oem0.PNF
    C:\WINDOWS\system32\lmllm.tmp
    C:\WINDOWS\system32\config\SAM.tmp.LOG
    C:\WINDOWS\system32\config\SECURITY.tmp.LOG

    Finished
    a b 8 Sécurité
    4 Septembre 2007 20:39:52

    Refais un scan Hijackthis puis refais un scan Combofix.
    4 Septembre 2007 20:42:54

    Re :)  ,

    Voici le rapport hijack:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:40:38, on 04/09/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Documents and Settings\std\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
    C:\Program Files\internet explorer\iexplore.exe
    C:\Documents and Settings\std\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {146A3DE6-D6CE-4CDB-A9FA-E862C30BD3C2} - C:\WINDOWS\System32\ssqrq.dll (file missing)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
    O4 - HKCU\..\Run: [AnumanLive] C:\Documents and Settings\std\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/0756cf721e199a02ce15/netzip...
    O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/Newuploader/ImageUploader4.cab
    O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.fr/clients/uploader_v2.1.0.53.ca...
    O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp09.photoprintit.de/microsite/3462/defaults/ac...
    O20 - Winlogon Notify: mllml - C:\WINDOWS\System32\mllml.dll (file missing)
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

    --
    End of file - 4910 bytes


    et le combofix:


    ComboFix 07-08-30.3 - "std" 2007-09-04 20:41:18.2 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.299 [GMT 2:00]


    ((((((((((((((((((((((((( Files Created from 2007-08-04 to 2007-09-04 )))))))))))))))))))))))))))))))


    2007-09-04 20:11 <REP> d-------- C:\WINDOWS\ERUNT
    2007-09-04 20:08 56,320 --ah----- C:\WINDOWS\system32\fsmrja.exe
    2007-09-04 19:48 22,564 --ah----- C:\WINDOWS\system32\djzizhr.exe
    2007-09-04 19:48 15,872 --ah----- C:\WINDOWS\system32\lvueqgzz.exe
    2007-09-04 19:48 13,074 --ah----- C:\WINDOWS\system32\wjbjspot.exe
    2007-09-04 19:47 46,720 --ah----- C:\WINDOWS\system32\aitmipr.exe
    2007-09-04 19:45 9,348 --ah----- C:\WINDOWS\system32\mrnp.exe
    2007-09-04 19:45 19,568 --ah----- C:\WINDOWS\system32\owhr.exe
    2007-09-04 19:44 57,528 --ah----- C:\WINDOWS\system32\uvnv.exe
    2007-09-04 19:38 51,200 --a------ C:\WINDOWS\nircmd.exe
    2007-09-04 19:12 <REP> d-------- C:\Program Files\Navilog1
    2007-09-04 19:00 <REP> d-------- C:\VundoFix Backups
    2007-09-04 18:19 <REP> d-------- C:\WINDOWS\pss
    2007-09-04 17:42 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
    2007-09-03 20:08 347,136 --a------ C:\Program Files\A3Dinstall_1.0.exe
    2007-09-03 19:55 <REP> d-------- C:\Program Files\montage photos
    2007-09-03 19:54 2,923,706 --a------ C:\Program Files\montage photos.exe
    2007-09-03 18:42 <REP> d-------- C:\Program Files\Freeplayer
    2007-09-03 17:55 <REP> d-------- C:\Program Files\Total Video Converter
    2007-09-03 17:54 5,322,381 --a------ C:\Program Files\total video converter.exe
    2007-08-28 19:21 12,015,715 --a------ C:\Program Files\Freeplayer-Win32-20070531.exe
    2007-08-19 16:14 <REP> d-------- C:\DOCUME~1\std\APPLIC~1\Anuman Interactive
    2007-08-19 16:10 <REP> d-------- C:\Program Files\Boonty
    2007-08-08 12:23 6,486 --------- C:\WINDOWS\system32\qrqss.bak2
    2007-08-07 18:23 <REP> d-------- C:\Program Files\Pixiphot
    2007-08-07 17:32 6,486 --------- C:\WINDOWS\system32\qrqss.bak1


    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-09-03 21:48 --------- d-------- C:\Program Files\eMule
    2007-09-03 18:41 --------- d-------- C:\Program Files\Google
    2007-07-16 13:52 --------- d-------- C:\DOCUME~1\std\APPLIC~1\vlc
    2007-07-11 19:24 86016 --a------ C:\WINDOWS\system32\mljkkkh.exe
    2007-07-09 23:54 939949 --------- C:\WINDOWS\system32\lmllm.ini2
    2007-07-09 23:33 937539 --------- C:\WINDOWS\system32\lmllm.bak2
    2007-07-08 18:38 936964 --------- C:\WINDOWS\system32\lmllm.bak1
    2007-06-19 20:01 37164 --ah----- C:\WINDOWS\system32\rvmmcfjo.exe
    2007-06-19 20:01 135168 --a------ C:\WINDOWS\system32\sfc_os.dll
    2007-06-19 20:00 14600 --ah----- C:\WINDOWS\system32\kbjfnkh.exe
    2007-06-19 19:54 29088 --ah----- C:\WINDOWS\system32\jckagrv.exe
    2007-06-19 19:54 20374 --ah----- C:\WINDOWS\system32\ensvat.exe
    2007-06-19 19:53 34310 --ah----- C:\WINDOWS\system32\lkqu.exe
    2007-06-19 19:50 2920 --ah----- C:\WINDOWS\system32\jqcn.exe
    2007-06-19 19:40 30660 --ah----- C:\WINDOWS\system32\iyzfc.exe
    2007-06-19 19:40 26280 --ah----- C:\WINDOWS\system32\kzhh.exe
    2007-06-19 19:37 15842 --ah----- C:\WINDOWS\system32\lgqrz.exe
    2007-06-19 19:29 5840 --ah----- C:\WINDOWS\system32\xcsn.exe
    2007-06-19 19:29 15188 --ah----- C:\WINDOWS\system32\xmfdalc.exe
    2007-06-19 19:25 49538 --ah----- C:\WINDOWS\system32\cspf.exe
    2007-06-19 18:43 491520 --a------ C:\WINDOWS\system32\mdt.exe
    2007-06-19 18:43 15360 --ah----- C:\WINDOWS\system32\xepfr.exe
    2007-06-19 18:35 15972 --ah----- C:\WINDOWS\system32\ucswty.exe
    2007-06-19 18:27 59860 --ah----- C:\WINDOWS\system32\qnwfkgu.exe
    2007-06-19 18:00 37328 --ah----- C:\WINDOWS\system32\jylnoi.exe
    2007-06-19 17:55 58400 --ah----- C:\WINDOWS\system32\dgliu.exe
    2007-06-19 17:55 54750 --ah----- C:\WINDOWS\system32\qhkr.exe
    2007-06-19 17:38 8192 --ah----- C:\WINDOWS\system32\wujxug.exe
    2007-06-19 17:38 16384 --ah----- C:\WINDOWS\system32\cvewhxsu.exe
    2007-06-19 17:37 173056 --ah----- C:\WINDOWS\system32\pgjlqubh.exe
    2007-06-19 17:32 65024 --ah----- C:\WINDOWS\system32\nhkuf.exe
    2007-06-19 17:31 19456 --ah----- C:\WINDOWS\system32\rreryl.exe
    2007-06-19 17:12 34436 --ah----- C:\WINDOWS\system32\oydhcora.exe
    2007-06-19 17:02 6144 --ah----- C:\WINDOWS\system32\ctmunsem.exe
    2007-06-19 16:42 44388 --ah----- C:\WINDOWS\system32\rklp.exe
    2007-06-19 16:41 38912 --ah----- C:\WINDOWS\system32\fqlefvp.exe
    2007-06-19 16:40 22016 --ah----- C:\WINDOWS\system32\fprpcypu.exe
    2007-06-19 15:53 296808 --ah----- C:\WINDOWS\system32\kqwwktx.exe
    2007-06-19 14:32 446160 --ah----- C:\WINDOWS\system32\yetrfhpf.exe
    2006-12-01 19:21 23488648 --a------ C:\Program Files\AdbeRdr708_fr_FR.exe
    2006-11-01 13:43 16277288 --a------ C:\Program Files\Install_Messenger.exe


    ((((((((((((((((((((((((((((( snapshot_2007-09-04_194059.06 )))))))))))))))))))))))))))))))))))))))))

    ----a-w 163,328 2007-09-01 22:18:41 C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
    ----a-w 3,637,248 2007-09-04 18:11:37 C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
    ----a-w 8,192 2007-09-04 18:11:37 C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
    ----a-w 163,328 2007-09-01 22:18:41 C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
    ----a-w 3,637,248 2007-09-04 18:11:28 C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
    ----a-w 8,192 2007-09-04 18:11:28 C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
    ----a-w 44,032 2002-08-29 09:45:10 C:\WINDOWS\system32\ftp.exe
    ----a-w 40,128 2007-09-04 17:42:59 C:\WINDOWS\system32\perfc009.dat
    ----a-w 48,856 2007-09-04 17:42:59 C:\WINDOWS\system32\perfc00C.dat
    ----a-w 311,740 2007-09-04 17:42:59 C:\WINDOWS\system32\perfh009.dat
    ----a-w 368,076 2007-09-04 17:42:59 C:\WINDOWS\system32\perfh00C.dat
    ----a-w 17,920 2001-10-07 19:50:13 C:\WINDOWS\system32\tftp.exe
    -c--a-w 44,032 2002-08-29 09:45:10 C:\WINDOWS\system32\dllcache\ftp.exe
    -c--a-w 17,920 2001-10-07 19:50:13 C:\WINDOWS\system32\dllcache\tftp.exe

    ----a-w 44,032 2007-07-08 16:38:35 C:\WINDOWS\system32\ftp.exe
    ----a-w 40,128 2007-06-19 10:30:58 C:\WINDOWS\system32\perfc009.dat
    ----a-w 48,856 2007-06-19 10:30:58 C:\WINDOWS\system32\perfc00C.dat
    ----a-w 311,740 2007-06-19 10:30:58 C:\WINDOWS\system32\perfh009.dat
    ----a-w 368,076 2007-06-19 10:30:58 C:\WINDOWS\system32\perfh00C.dat
    ----a-w 17,920 2007-07-08 16:38:35 C:\WINDOWS\system32\tftp.exe
    -c--a-w 44,032 2007-07-08 16:38:35 C:\WINDOWS\system32\dllcache\ftp.exe
    -c--a-w 17,920 2007-07-08 16:38:36 C:\WINDOWS\system32\dllcache\tftp.exe

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{146A3DE6-D6CE-4CDB-A9FA-E862C30BD3C2}]
    C:\WINDOWS\System32\ssqrq.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMan"="SOUNDMAN.EXE" [2003-05-14 07:20 C:\WINDOWS\SOUNDMAN.EXE]
    "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-03-03 12:00]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-12-07 17:49]
    "REGSHAVE"="C:\Program Files\REGSHAVE\REGSHAVE.exe" [2002-02-04 22:32]
    "avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 11:45]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-19 15:12]
    "WINSOS VERIFY"="C:\Program Files\Winsos\WINSOS.exe" []
    "AnumanLive"="C:\Documents and Settings\std\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe" [2007-08-22 16:36]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mllml]
    C:\WINDOWS\System32\mllml.dll

    R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys
    R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
    S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\System32\DRIVERS\fbxusb32.sys
    S3 SetupNTGLM7X;SetupNTGLM7X;\??\D:\NTGLM7X.sys


    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-09-04 20:41:48
    Windows 5.1.2600 Service Pack 1 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    Completion time: 2007-09-04 20:42:17
    C:\ComboFix-quarantined-files.txt ... 2007-09-04 20:42
    C:\ComboFix2.txt ... 2007-09-04 19:42

    --- E O F ---
    a b 8 Sécurité
    4 Septembre 2007 21:06:17

    Re,

    Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

    File::
    C:\WINDOWS\system32\fsmrja.exe
    C:\WINDOWS\system32\djzizhr.exe
    C:\WINDOWS\system32\lvueqgzz.exe
    C:\WINDOWS\system32\wjbjspot.exe
    C:\WINDOWS\system32\aitmipr.exe
    C:\WINDOWS\system32\mrnp.exe
    C:\WINDOWS\system32\owhr.exe
    C:\WINDOWS\system32\uvnv.exe
    C:\WINDOWS\system32\qrqss.bak2
    C:\WINDOWS\system32\qrqss.bak1
    C:\WINDOWS\system32\mljkkkh.exe
    C:\WINDOWS\system32\lmllm.ini2
    C:\WINDOWS\system32\lmllm.bak2
    C:\WINDOWS\system32\lmllm.bak1
    C:\WINDOWS\system32\rvmmcfjo.exe
    C:\WINDOWS\system32\kbjfnkh.exe
    C:\WINDOWS\system32\jckagrv.exe
    C:\WINDOWS\system32\ensvat.exe
    C:\WINDOWS\system32\lkqu.exe
    C:\WINDOWS\system32\jqcn.exe
    C:\WINDOWS\system32\iyzfc.exe
    C:\WINDOWS\system32\kzhh.exe
    C:\WINDOWS\system32\lgqrz.exe
    C:\WINDOWS\system32\xcsn.exe
    C:\WINDOWS\system32\xmfdalc.exe
    C:\WINDOWS\system32\cspf.exe
    C:\WINDOWS\system32\mdt.exe
    C:\WINDOWS\system32\xepfr.exe
    C:\WINDOWS\system32\ucswty.exe
    C:\WINDOWS\system32\qnwfkgu.exe
    C:\WINDOWS\system32\jylnoi.exe
    C:\WINDOWS\system32\dgliu.exe
    C:\WINDOWS\system32\qhkr.exe
    C:\WINDOWS\system32\wujxug.exe
    C:\WINDOWS\system32\cvewhxsu.exe
    C:\WINDOWS\system32\pgjlqubh.exe
    C:\WINDOWS\system32\nhkuf.exe
    C:\WINDOWS\system32\rreryl.exe
    C:\WINDOWS\system32\oydhcora.exe
    C:\WINDOWS\system32\ctmunsem.exe
    C:\WINDOWS\system32\rklp.exe
    C:\WINDOWS\system32\fqlefvp.exe
    C:\WINDOWS\system32\fprpcypu.exe
    C:\WINDOWS\system32\kqwwktx.exe
    C:\WINDOWS\system32\yetrfhpf.exe
    C:\WINDOWS\System32\ssqrq.dll
    C:\WINDOWS\System32\mllml.dll

    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{146A3DE6-D6CE-4CDB-A9FA-E862C30BD3C2}]
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mllml]


    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.
    Sauvegarde ce fichier sous le nom de CFScript.txt.

    Glisse maintenant le fichier ComboFix-Do.txt dans Combofix.exe comme ci-dessous :


    Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
    [#ff0000]NOTE : S'il n'y a pas de rédémarrage, poste quand même les rapports demandés.[/#f]
    4 Septembre 2007 21:14:07

    Re,
    Voici le rapport Hijackthis:


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:12, on 2007-09-04
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Documents and Settings\std\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\internet explorer\iexplore.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\internet explorer\iexplore.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\system32\cmd.exe
    C:\Documents and Settings\std\Bureau\HijackThis.exe
    C:\WINDOWS\system32\cmd.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
    O4 - HKCU\..\Run: [AnumanLive] C:\Documents and Settings\std\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/0756cf721e199a02ce15/netzip...
    O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/Newuploader/ImageUploader4.cab
    O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.fr/clients/uploader_v2.1.0.53.ca...
    O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp09.photoprintit.de/microsite/3462/defaults/ac...
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

    --
    End of file - 4857 bytes




    Et le rapport combofix:

    ComboFix 07-08-30.3 - "std" 2007-09-04 21:12:15.4 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.287 [GMT 2:00]


    ((((((((((((((((((((((((( Files Created from 2007-08-04 to 2007-09-04 )))))))))))))))))))))))))))))))


    2007-09-04 21:11 0 --ah----- C:\WINDOWS\system32\bbdpqbt.exe
    2007-09-04 21:10 1,460 --ah----- C:\WINDOWS\system32\wjgcpn.exe
    2007-09-04 21:08 134,216 --ah----- C:\WINDOWS\system32\qmmf.exe
    2007-09-04 20:11 <REP> d-------- C:\WINDOWS\ERUNT
    2007-09-04 19:38 51,200 --a------ C:\WINDOWS\nircmd.exe
    2007-09-04 19:12 <REP> d-------- C:\Program Files\Navilog1
    2007-09-04 19:00 <REP> d-------- C:\VundoFix Backups
    2007-09-04 18:19 <REP> d-------- C:\WINDOWS\pss
    2007-09-04 17:42 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
    2007-09-03 20:08 347,136 --a------ C:\Program Files\A3Dinstall_1.0.exe
    2007-09-03 19:55 <REP> d-------- C:\Program Files\montage photos
    2007-09-03 19:54 2,923,706 --a------ C:\Program Files\montage photos.exe
    2007-09-03 18:42 <REP> d-------- C:\Program Files\Freeplayer
    2007-09-03 17:55 <REP> d-------- C:\Program Files\Total Video Converter
    2007-09-03 17:54 5,322,381 --a------ C:\Program Files\total video converter.exe
    2007-08-28 19:21 12,015,715 --a------ C:\Program Files\Freeplayer-Win32-20070531.exe
    2007-08-19 16:14 <REP> d-------- C:\DOCUME~1\std\APPLIC~1\Anuman Interactive
    2007-08-19 16:10 <REP> d-------- C:\Program Files\Boonty
    2007-08-07 18:23 <REP> d-------- C:\Program Files\Pixiphot


    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-09-03 21:48 --------- d-------- C:\Program Files\eMule
    2007-09-03 18:41 --------- d-------- C:\Program Files\Google
    2007-07-16 13:52 --------- d-------- C:\DOCUME~1\std\APPLIC~1\vlc
    2007-06-19 20:01 135168 --a------ C:\WINDOWS\system32\sfc_os.dll
    2006-12-01 19:21 23488648 --a------ C:\Program Files\AdbeRdr708_fr_FR.exe
    2006-11-01 13:43 16277288 --a------ C:\Program Files\Install_Messenger.exe


    ((((((((((((((((((((((((((((( snapshot_2007-09-04_194059.06 )))))))))))))))))))))))))))))))))))))))))

    ----a-w 163,328 2007-09-01 22:18:41 C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
    ----a-w 3,637,248 2007-09-04 18:11:37 C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
    ----a-w 8,192 2007-09-04 18:11:37 C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
    ----a-w 163,328 2007-09-01 22:18:41 C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
    ----a-w 3,637,248 2007-09-04 18:11:28 C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
    ----a-w 8,192 2007-09-04 18:11:28 C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
    ----a-w 44,032 2002-08-29 09:45:10 C:\WINDOWS\system32\ftp.exe
    ----a-w 40,128 2007-09-04 17:42:59 C:\WINDOWS\system32\perfc009.dat
    ----a-w 48,856 2007-09-04 17:42:59 C:\WINDOWS\system32\perfc00C.dat
    ----a-w 311,740 2007-09-04 17:42:59 C:\WINDOWS\system32\perfh009.dat
    ----a-w 368,076 2007-09-04 17:42:59 C:\WINDOWS\system32\perfh00C.dat
    ----a-w 17,920 2001-10-07 19:50:13 C:\WINDOWS\system32\tftp.exe
    -c--a-w 44,032 2002-08-29 09:45:10 C:\WINDOWS\system32\dllcache\ftp.exe
    -c--a-w 17,920 2001-10-07 19:50:13 C:\WINDOWS\system32\dllcache\tftp.exe

    ----a-w 44,032 2007-07-08 16:38:35 C:\WINDOWS\system32\ftp.exe
    ----a-w 40,128 2007-06-19 10:30:58 C:\WINDOWS\system32\perfc009.dat
    ----a-w 48,856 2007-06-19 10:30:58 C:\WINDOWS\system32\perfc00C.dat
    ----a-w 311,740 2007-06-19 10:30:58 C:\WINDOWS\system32\perfh009.dat
    ----a-w 368,076 2007-06-19 10:30:58 C:\WINDOWS\system32\perfh00C.dat
    ----a-w 17,920 2007-07-08 16:38:35 C:\WINDOWS\system32\tftp.exe
    -c--a-w 44,032 2007-07-08 16:38:35 C:\WINDOWS\system32\dllcache\ftp.exe
    -c--a-w 17,920 2007-07-08 16:38:36 C:\WINDOWS\system32\dllcache\tftp.exe

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMan"="SOUNDMAN.EXE" [2003-05-14 07:20 C:\WINDOWS\SOUNDMAN.EXE]
    "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-03-03 12:00]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-12-07 17:49]
    "REGSHAVE"="C:\Program Files\REGSHAVE\REGSHAVE.exe" [2002-02-04 22:32]
    "avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 11:45]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-19 15:12]
    "WINSOS VERIFY"="C:\Program Files\Winsos\WINSOS.exe" []
    "AnumanLive"="C:\Documents and Settings\std\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe" [2007-08-22 16:36]

    R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys
    R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
    S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\System32\DRIVERS\fbxusb32.sys
    S3 SetupNTGLM7X;SetupNTGLM7X;\??\D:\NTGLM7X.sys


    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-09-04 21:12:46
    Windows 5.1.2600 Service Pack 1 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    Completion time: 2007-09-04 21:13:19
    C:\ComboFix-quarantined-files.txt ... 2007-09-04 21:13
    C:\ComboFix2.txt ... 2007-09-04 21:11
    C:\ComboFix3.txt ... 2007-09-04 20:42

    --- E O F ---
    a b 8 Sécurité
    4 Septembre 2007 21:17:51

    Recommence avec ce script :

    File::
    C:\WINDOWS\system32\bbdpqbt.exe
    C:\WINDOWS\system32\wjgcpn.exe
    C:\WINDOWS\system32\qmmf.exe
    4 Septembre 2007 21:41:13

    Voici le rapport hijackthis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:39, on 2007-09-04
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Documents and Settings\std\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\internet explorer\iexplore.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\astra32.exe
    C:\Documents and Settings\std\Bureau\HijackThis.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\System32\cmd.exe
    C:\WINDOWS\system32\cscript.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\astra32.exe
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
    O4 - HKCU\..\Run: [AnumanLive] C:\Documents and Settings\std\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/0756cf721e199a02ce15/netzip...
    O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/Newuploader/ImageUploader4.cab
    O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.fr/clients/uploader_v2.1.0.53.ca...
    O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp09.photoprintit.de/microsite/3462/defaults/ac...
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Sysinfo Tool for Win32 - Unknown owner - C:\WINDOWS\astra32.exe

    --
    End of file - 5065 bytes



    Et le rapport combofix:

    ComboFix 07-08-30.3 - "std" 2007-09-04 21:39:09.6 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.294 [GMT 2:00]


    ((((((((((((((((((((((((( Files Created from 2007-08-04 to 2007-09-04 )))))))))))))))))))))))))))))))


    2007-09-04 21:35 603,648 -r-hs---- C:\WINDOWS\astra32.exe
    2007-09-04 21:34 56,068 --ah----- C:\WINDOWS\system32\soxlepln.exe
    2007-09-04 21:34 21,504 --ah----- C:\WINDOWS\system32\mtga.exe
    2007-09-04 20:11 <REP> d-------- C:\WINDOWS\ERUNT
    2007-09-04 19:38 51,200 --a------ C:\WINDOWS\nircmd.exe
    2007-09-04 19:12 <REP> d-------- C:\Program Files\Navilog1
    2007-09-04 19:00 <REP> d-------- C:\VundoFix Backups
    2007-09-04 18:19 <REP> d-------- C:\WINDOWS\pss
    2007-09-04 17:42 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
    2007-09-03 20:08 347,136 --a------ C:\Program Files\A3Dinstall_1.0.exe
    2007-09-03 19:55 <REP> d-------- C:\Program Files\montage photos
    2007-09-03 19:54 2,923,706 --a------ C:\Program Files\montage photos.exe
    2007-09-03 18:42 <REP> d-------- C:\Program Files\Freeplayer
    2007-09-03 17:55 <REP> d-------- C:\Program Files\Total Video Converter
    2007-09-03 17:54 5,322,381 --a------ C:\Program Files\total video converter.exe
    2007-08-28 19:21 12,015,715 --a------ C:\Program Files\Freeplayer-Win32-20070531.exe
    2007-08-19 16:14 <REP> d-------- C:\DOCUME~1\std\APPLIC~1\Anuman Interactive
    2007-08-19 16:10 <REP> d-------- C:\Program Files\Boonty
    2007-08-07 18:23 <REP> d-------- C:\Program Files\Pixiphot


    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-09-04 21:38 44032 --a------ C:\WINDOWS\system32\ftp.exe
    2007-09-04 21:38 17920 --a------ C:\WINDOWS\system32\tftp.exe
    2007-09-03 21:48 --------- d-------- C:\Program Files\eMule
    2007-09-03 18:41 --------- d-------- C:\Program Files\Google
    2007-07-16 13:52 --------- d-------- C:\DOCUME~1\std\APPLIC~1\vlc
    2007-06-19 20:01 135168 --a------ C:\WINDOWS\system32\sfc_os.dll
    2006-12-01 19:21 23488648 --a------ C:\Program Files\AdbeRdr708_fr_FR.exe
    2006-11-01 13:43 16277288 --a------ C:\Program Files\Install_Messenger.exe


    ((((((((((((((((((((((((((((( snapshot_2007-09-04_194059.06 )))))))))))))))))))))))))))))))))))))))))

    ----a-w 163,328 2007-09-01 22:18:41 C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
    ----a-w 3,637,248 2007-09-04 18:11:37 C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
    ----a-w 8,192 2007-09-04 18:11:37 C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
    ----a-w 163,328 2007-09-01 22:18:41 C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
    ----a-w 3,637,248 2007-09-04 18:11:28 C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
    ----a-w 8,192 2007-09-04 18:11:28 C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
    ----a-w 40,128 2007-09-04 17:42:59 C:\WINDOWS\system32\perfc009.dat
    ----a-w 48,856 2007-09-04 17:42:59 C:\WINDOWS\system32\perfc00C.dat
    ----a-w 311,740 2007-09-04 17:42:59 C:\WINDOWS\system32\perfh009.dat
    ----a-w 368,076 2007-09-04 17:42:59 C:\WINDOWS\system32\perfh00C.dat
    ----a-w 16,384 2007-09-04 19:35:25 C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    ----a-w 32,768 2007-09-04 19:35:25 C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    ----a-w 32,768 2007-09-04 19:35:25 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    -c--a-w 44,032 2007-09-04 19:38:40 C:\WINDOWS\system32\dllcache\ftp.exe
    -c--a-w 17,920 2007-09-04 19:38:40 C:\WINDOWS\system32\dllcache\tftp.exe

    ----a-w 40,128 2007-06-19 10:30:58 C:\WINDOWS\system32\perfc009.dat
    ----a-w 48,856 2007-06-19 10:30:58 C:\WINDOWS\system32\perfc00C.dat
    ----a-w 311,740 2007-06-19 10:30:58 C:\WINDOWS\system32\perfh009.dat
    ----a-w 368,076 2007-06-19 10:30:58 C:\WINDOWS\system32\perfh00C.dat
    ----a-w 16,384 2007-06-19 18:01:23 C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    ----a-w 32,768 2007-06-19 18:01:23 C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    ----a-w 32,768 2007-06-19 18:01:23 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    -c--a-w 44,032 2007-07-08 16:38:35 C:\WINDOWS\system32\dllcache\ftp.exe
    -c--a-w 17,920 2007-07-08 16:38:36 C:\WINDOWS\system32\dllcache\tftp.exe

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMan"="SOUNDMAN.EXE" [2003-05-14 07:20 C:\WINDOWS\SOUNDMAN.EXE]
    "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-03-03 12:00]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-12-07 17:49]
    "REGSHAVE"="C:\Program Files\REGSHAVE\REGSHAVE.exe" [2002-02-04 22:32]
    "avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 11:45]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-19 15:12]
    "WINSOS VERIFY"="C:\Program Files\Winsos\WINSOS.exe" []
    "AnumanLive"="C:\Documents and Settings\std\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe" [2007-08-22 16:36]

    R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys
    R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
    R2 Sysinfo Tool for Win32 ;Sysinfo Tool for Win32 ;"C:\WINDOWS\astra32.exe"
    S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\System32\DRIVERS\fbxusb32.sys
    S3 SetupNTGLM7X;SetupNTGLM7X;\??\D:\NTGLM7X.sys


    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-09-04 21:40:21
    Windows 5.1.2600 Service Pack 1 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    Completion time: 2007-09-04 21:40:56
    C:\ComboFix-quarantined-files.txt ... 2007-09-04 21:40
    C:\ComboFix2.txt ... 2007-09-04 21:34
    C:\ComboFix3.txt ... 2007-09-04 21:13

    --- E O F ---
    a b 8 Sécurité
    5 Septembre 2007 15:49:40

    Re,

    ----------
    -> Démarrer
    -> Exécuter...
    Tape Services.msc puis valide
    Double clique sur Sysinfo Tool for Win32
    Type de démarrage : "Désactiver"
    Clique en bas sur "Arrêter"
    Valide les changements.
    -----
    Ouvre Hijackthis puis:
    -> Open the Misc Tools Section
    -> Delete an NT Service
    Tape Sysinfo Tool for Win32 puis valide.
    ----------

    Utilise ce script :
    C:\WINDOWS\astra32.exe
    C:\WINDOWS\system32\soxlepln.exe
    C:\WINDOWS\system32\mtga.exe


    Possèdes-tu une vraie version de Windows ?
    5 Septembre 2007 16:54:28

    Tout d'abord, merci d'avoir repris la conversation aujourd'hui.

    Je vais faire ce que tu m'as dit, mais qu'entends-tu par vraie version de windows? Quand j'ai acheté le pc windows était déjà installé (windows xp professionnel), je l'avais acheté à un particulier.

    Je te tranmets les rapports quand j'ai fait ce que tu m'as dit...
    5 Septembre 2007 17:00:40

    J'ai pu mettre "désactivé" pour le type de démarrage, mais je n'ai pas pu mettre "arrêter" pour le statut du service.

    Il m'affiche "statut du service:D émarré" et "démarrer, arrêter, suspendre, reprendre" sont tous en surbrillance...
    a b 8 Sécurité
    5 Septembre 2007 17:39:41

    Citation :
    Je vais faire ce que tu m'as dit, mais qu'entends-tu par vraie version de windows? Quand j'ai acheté le pc windows était déjà installé (windows xp professionnel), je l'avais acheté à un particulier.

    C'est donc une version légale. Peux-tu mettre à jour ton pc via Windows Update ?

    Citation :
    J'ai pu mettre "désactivé" pour le type de démarrage, mais je n'ai pas pu mettre "arrêter" pour le statut du service.

    Pas grave, continue.
    5 Septembre 2007 17:49:44

    Il me dit que Sysinfo Tool for Win32 n'a pas été trouvé dans le registre et de vérifier l'orthographe.

    D'autre part, c'est quoi Windows update?
    5 Septembre 2007 18:17:59

    J'ai un truc qui s'appelle "mises à jour automatiques" dans panneau de configuration, c'est ça windows update?
    5 Septembre 2007 18:35:51

    J'ai essayé de mettre windows à jour, on m'a affiché:
    "Cette copie de windows n'a pas pu être validée, la clé de produit installée sur cet ordinateur est une clé de licence en volume (VLK) qui a été bloquée"
    ...
    a b 8 Sécurité
    5 Septembre 2007 18:54:45

    Tu as installé ton ordi chez un petit commerçant ?
    Essaie les mises à jour via le site Internet Windows Update.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS