Se connecter / S'enregistrer
Votre question

[RESOLU] Secutity Toolbar 7.1 impossible a desinstaller !!

Tags :
  • Windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
5 Août 2007 17:10:36

J'ai un probleme avec une barre d'outil internet qui est impossible a supprimer, malgre mes efforts, de plsu j'ai de plus en plus souvent des pop-up qui apparaissent.

Merci de votre aide

Autres pages sur : resolu secutity toolbar impossible desinstaller

5 Août 2007 19:29:58

J'ai vmt besoin d'aide SVP!
5 Août 2007 21:49:56

bonsoir

~Télécharge Smitfraudfix

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

~Dezippe la totalité de l'archive smitfraudfix.zip
Recherche:
~Double clique sur smitfraudfix.cmd
~Sélectionne 1 et presse Entrée dans le menu pour créer un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque système C:\rapport.txt
~Poste ce rapport.
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Contenus similaires
6 Août 2007 20:31:07

Tout d'abord, merci de ton aide, voila le rapport:

SmitFraudFix v2.208

Rapport fait à 20:29:29,76, 06/08/2007
Executé à partir de C:\Documents and Settings\deborah\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\qwerty12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Fichiers communs\DriveCleaner Free\udcsdr.exe
C:\Program Files\USB Disk Win98 Driver\Res.EXE
C:\windows\system32\zmbwqtz.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Veoh Networks\Veoh\VeohClient.exe
C:\WINDOWS\explorer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\gtawclv.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\deborah


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\deborah\Application Data

C:\Documents and Settings\deborah\Application Data\Microsoft\Internet Explorer\Quick Launch\VirusProtectPro 3.5.lnk PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\deborah\Favoris

C:\DOCUME~1\deborah\Favoris\Online Security Test.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\Video ActiveX Access\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{e71aba09-d81a-4876-baa3-df133c1dfc48}"="enjoyment"

[HKEY_CLASSES_ROOT\CLSID\{e71aba09-d81a-4876-baa3-df133c1dfc48}\InProcServer32]
@="C:\WINDOWS\system32\gtawclv.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{e71aba09-d81a-4876-baa3-df133c1dfc48}\InProcServer32]
@="C:\WINDOWS\system32\gtawclv.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=" "


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau virtuelle FreeBox USB - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{761021AC-84B5-4EA4-B2E4-3C69E1999788}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{761021AC-84B5-4EA4-B2E4-3C69E1999788}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\..\{761021AC-84B5-4EA4-B2E4-3C69E1999788}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

6 Août 2007 21:04:40

bonsoir :) 

~Redémarre l'ordinateur en mode sans échec (F8 au démarrage de l'ordinateur)
http://www.malekal.com/modesansechec.php

~Double clique sur smitfraudfix.cmd
~Sélectionne 2 et presse Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
~Réponds Oui (o) à toutes les questions.
Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
~Poste le nouveau rapport ainsi qu'un nouveau log hijackthis.

7 Août 2007 00:19:17

Encore une fois merci de ton attention, il me semble que le pb est resolu, je te poste le rapport SmitFraudFix:

SmitFraudFix v2.208

Rapport fait à 0:06:59,79, 07/08/2007
Executé à partir de C:\Documents and Settings\deborah\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{e71aba09-d81a-4876-baa3-df133c1dfc48}"="enjoyment"

[HKEY_CLASSES_ROOT\CLSID\{e71aba09-d81a-4876-baa3-df133c1dfc48}\InProcServer32]
@="C:\WINDOWS\system32\gtawclv.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{e71aba09-d81a-4876-baa3-df133c1dfc48}\InProcServer32]
@="C:\WINDOWS\system32\gtawclv.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\gtawclv.dll -> Hoax.Win32.Renos.gen.o
C:\WINDOWS\system32\gtawclv.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\Documents and Settings\deborah\Application Data\Microsoft\Internet Explorer\Quick Launch\VirusProtectPro 3.5.lnk supprimé
C:\DOCUME~1\deborah\Favoris\Online Security Test.url supprimé
C:\Program Files\Video ActiveX Access\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{761021AC-84B5-4EA4-B2E4-3C69E1999788}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{761021AC-84B5-4EA4-B2E4-3C69E1999788}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\..\{761021AC-84B5-4EA4-B2E4-3C69E1999788}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

7 Août 2007 00:20:17

Et voila le rapport HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 00:09:06, on 07/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {98fa1718-d506-445e-8915-0779933a187f} - C:\WINDOWS\system32\atmloc.dll (file missing)
O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\tmp6.tmp.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SDR6V_Check] "C:\Program Files\Fichiers communs\DriveCleaner Free\udcsdr.exe"
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Program Files\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [zmbwqtz] c:\windows\system32\zmbwqtz.exe zmbwqtz
O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\awuuvv.dll",forkonce
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SysRestore] "C:\DOCUME~1\deborah\LOCALS~1\Temp\tmp21.tmp.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - Global Startup: KODAK Software Updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs:
O20 - Winlogon Notify: atmloc - atmloc.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\qwerty12.exe
O23 - Service: lxcf_device - - C:\WINDOWS\System32\lxcfcoms.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

7 Août 2007 09:47:27

bonjour

tu as de nombreuses d'infections. (il y a du boulot) :) 

1


Télécharge Combofix de sUBs :
combofix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, Il va te poser une question, réponds en appuyant sur la touche1 puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé. Poste le rapport.

ajoute un nouveau rapport Hijackthis.

++++++++++++++++++++++

2

Télécharge FindAWF:
http://noahdfear.net/downloads/FindAWF.exe

Sauvegarde le fichier sur ton Bureau.
Double-clique sur l'icône FindAWF. Appuie sur une touche pour poursuivre le lancement de l'outil.

Si une alerte de sécurité apparait, autorise le programme à s'exécuter.
Comme indiqué, presse une touche pour continuer.
Choisis l'option suivante : Press 1 then Enter to scan for bak folders
Le scan peut prendre un peu de temps, donc soit patient.

Quand il a fini, un rapport Find AWF report est généré.
Poste ce rapport Find AWF report dans ta prochaine réponse.
7 Août 2007 17:09:43

Lol merci, c'est bien ce que je me disais :|

Rapport ComboFix

ComboFix 07-08-04.3 - "deborah" 2007-08-07 16:54:49.1 [GMT 2:00] - NTFS
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.Vrai
* Created a new restore point


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOCUME~1\deborah\APPLIC~1.\DriveCleaner Free
C:\DOCUME~1\deborah\APPLIC~1.\DriveCleaner Free\Logs\update.log
C:\DOCUME~1\deborah\APPLIC~1.\macromedia\Flash Player\#SharedObjects\TUUX9H2M\www.broadcaster.com
C:\DOCUME~1\deborah\APPLIC~1.\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com
C:\DOCUME~1\deborah\APPLIC~1.\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol
C:\DOCUME~1\deborah\APPLIC~1.\SystemDoctor 2006 Free
C:\DOCUME~1\deborah\APPLIC~1.\SystemDoctor 2006 Free\Logs\update.log
C:\DOCUME~1\deborah\APPLIC~1\..\err.log>>d-delA.cf
C:\DOCUME~1\deborah\APPLIC~1\..\ResErrors.log
C:\DOCUME~1\deborah\Bureau.\internet explorer.lnk
C:\Program Files\Fichiers communs\drivecleaner free
C:\Program Files\Fichiers communs\drivecleaner free\udcsdr.exe
C:\WINDOWS\dcbdeg.ini
C:\WINDOWS\gedbcd.dll
C:\WINDOWS\system32\nvs2.inf
C:\WINDOWS\system32\qwerty12.exe
C:\WINDOWS\system32\tmp1.tmp.dll
C:\WINDOWS\system32\tmp10.tmp.dll
C:\WINDOWS\system32\tmp11.tmp.dll
C:\WINDOWS\system32\tmp14.tmp.dll
C:\WINDOWS\system32\tmp17.tmp.dll
C:\WINDOWS\system32\tmp18.tmp.dll
C:\WINDOWS\system32\tmp19.tmp.dll
C:\WINDOWS\system32\tmp1A.tmp.dll
C:\WINDOWS\system32\tmp1B.tmp.dll
C:\WINDOWS\system32\tmp1C.tmp.dll
C:\WINDOWS\system32\tmp1F.tmp.dll
C:\WINDOWS\system32\tmp2.tmp.dll
C:\WINDOWS\system32\tmp20.tmp.dll
C:\WINDOWS\system32\tmp21.tmp.dll
C:\WINDOWS\system32\tmp26.tmp.dll
C:\WINDOWS\system32\tmp2F.tmp.dll
C:\WINDOWS\system32\tmp3.tmp.dll
C:\WINDOWS\system32\tmp3A.tmp.dll
C:\WINDOWS\system32\tmp3D.tmp.dll
C:\WINDOWS\system32\tmp4.tmp.dll
C:\WINDOWS\system32\tmp5.tmp.dll
C:\WINDOWS\system32\tmp5E.tmp.dll
C:\WINDOWS\system32\tmp6.tmp.dll
C:\WINDOWS\system32\tmp7.tmp.dll
C:\WINDOWS\system32\tmp8.tmp.dll
C:\WINDOWS\system32\tmp85.tmp.dll
C:\WINDOWS\system32\tmp88.tmp.dll
C:\WINDOWS\system32\tmpA.tmp.dll
C:\WINDOWS\system32\tmpB.tmp.dll
C:\WINDOWS\system32\tmpC.tmp.dll
C:\WINDOWS\system32\zmbwqtz.dat
C:\WINDOWS\system32\zmbwqtz.exe
C:\WINDOWS\system32\zmbwqtz_nav.dat
C:\WINDOWS\system32\zmbwqtz_navps.dat


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_DOMAINSERVICE
-------\DomainService


((((((((((((((((((((((((( Files Created from 2007-07-07 to 2007-08-07 )))))))))))))))))))))))))))))))


2007-08-07 16:53 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-07 00:04 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT
2007-08-07 00:04 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
2007-08-07 00:04 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
2007-08-07 00:04 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
2007-08-07 00:04 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
2007-08-07 00:04 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
2007-08-07 00:04 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
2007-08-07 00:04 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
2007-08-06 20:29 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-08-06 20:29 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-08-06 20:29 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-08-06 20:29 1,310 --a------ C:\WINDOWS\system32\tmp.reg
2007-08-05 19:31 <REP> d-------- C:\DOCUME~1\deborah\APPLIC~1\DivX
2007-08-05 18:07 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-08-05 18:07 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-08-05 18:07 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2007-08-05 18:07 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-08-05 18:07 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-08-05 00:35 <REP> d-------- C:\Program Files\Veoh Networks
2007-08-05 00:33 <REP> d-------- C:\WINDOWS\Downloaded Installations
2007-08-04 18:04 <REP> d-------- C:\Program Files\DivX
2007-08-03 13:15 <REP> d-------- C:\WINDOWS\pss
2007-08-03 13:04 <REP> d-------- C:\HijackThis
2007-07-30 23:02 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-07-30 22:47 131,489 --a------ C:\WINDOWS\awuuvv.dll
2007-07-27 01:06 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2007-07-27 01:06 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-07-27 01:06 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-07-27 01:06 144,704 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-07-27 01:06 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-07-27 01:03 823,296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2007-07-27 01:03 823,296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2007-07-27 01:03 81,920 --a------ C:\WINDOWS\system32\dpl100.dll
2007-07-27 01:03 802,816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2007-07-27 01:03 740,442 --a------ C:\WINDOWS\system32\DivX.dll
2007-07-27 01:03 593,920 --a------ C:\WINDOWS\system32\dpuGUI11.dll
2007-07-27 01:03 57,344 --a------ C:\WINDOWS\system32\dpv11.dll
2007-07-27 01:03 53,248 --a------ C:\WINDOWS\system32\dpuGUI10.dll
2007-07-27 01:03 344,064 --a------ C:\WINDOWS\system32\dpus11.dll
2007-07-27 01:03 294,912 --a------ C:\WINDOWS\system32\dpu11.dll
2007-07-27 01:03 294,912 --a------ C:\WINDOWS\system32\dpu10.dll
2007-07-27 01:03 196,608 --a------ C:\WINDOWS\system32\dtu100.dll
2007-07-27 01:03 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2007-07-17 18:31 581,632 --a------ C:\WINDOWS\system32\igfxres.dll


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-07 01:01 --------- d-------- C:\Program Files\eMule
2007-08-05 00:37 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-03 03:24 --------- d-------- C:\Program Files\Fichiers communs\Symantec Shared
2007-07-31 10:48 --------- d-------- C:\Program Files\adslTV
2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-27 01:06 43528 --------- C:\WINDOWS\system32\drivers\pxhelp20.sys
2007-07-25 19:05 --------- d-------- C:\DOCUME~1\deborah\APPLIC~1\teamspeak2
2007-07-24 12:33 --------- d-------- C:\Program Files\KalOnlineEng
2007-07-11 10:17 --------- d-------- C:\Program Files\Lx_cats
2007-06-28 14:49 --------- d-------- C:\Program Files\InternetGameBox
2007-06-25 17:35 --------- d-------- C:\Program Files\Windows Live Safety Center
2007-06-20 20:21 --------- d-------- C:\Program Files\Microsoft NetService
2007-06-10 00:41 --------- d-------- C:\Program Files\PhotoFiltre Studio
2007-05-16 17:13 86528 -----c--- C:\WINDOWS\system32\dllcache\directdb.dll
2007-05-16 17:13 85504 -----c--- C:\WINDOWS\system32\dllcache\wabimp.dll
2007-05-16 17:13 683520 --a------ C:\WINDOWS\system32\inetcomm.dll
2007-05-16 17:13 683520 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-05-16 17:13 510976 -----c--- C:\WINDOWS\system32\dllcache\wab32.dll
2007-05-16 17:13 1314816 -----c--- C:\WINDOWS\system32\dllcache\msoe.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{98fa1718-d506-445e-8915-0779933a187f}]
C:\WINDOWS\system32\atmloc.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2002-07-17 07:59]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2002-07-17 07:45]
"USB Storage Toolbox"="C:\Program Files\USB Disk Win98 Driver\Res.EXE" [2005-09-14 20:44]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"LXCFCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll" [2005-09-14 10:39]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" []
"Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2007-07-31 17:12]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
KODAK Software Updater.lnk - C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe [2004-02-13 15:12:08]
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2006-02-28 14:35:53]
WG111v2 Smart Wizard Wireless Setting.lnk - C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe [2001-10-27 00:47:12]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\atmloc]
atmloc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=

R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys
R2 UxTuneUp;TuneUp Design Expansion;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 fbxusb;Carte r‚seau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys
R3 ms_mpu401;Pilote UART MIDI MPU-401 Microsoft;C:\WINDOWS\system32\drivers\msmpu401.sys
R3 Mtlmnt5;Mtlmnt5;C:\WINDOWS\system32\DRIVERS\Mtlmnt5.sys
R3 QCMerced;Logitech QuickCam Communicate;C:\WINDOWS\system32\DRIVERS\LVCM.sys
R3 Slntamr;SmartLink AMR_PCI Driver;C:\WINDOWS\system32\DRIVERS\slntamr.sys
R3 SlWdmSup;SlWdmSup;C:\WINDOWS\system32\DRIVERS\SlWdmSup.sys
S1 STYLEXPHELPER;STYLEXPHELPER;\??\C:\Program Files\TGTSoft\StyleXP\STYLEXPHELPER.EXE
S3 EagleNT;EagleNT;\??\C:\WINDOWS\System32\drivers\EagleNT.sys
S3 iAimFP0;iAimFP0;C:\WINDOWS\system32\DRIVERS\wADV01nt.sys
S3 iAimFP1;iAimFP1;C:\WINDOWS\system32\DRIVERS\wADV02NT.sys
S3 iAimFP2;iAimFP2;C:\WINDOWS\system32\DRIVERS\wADV05NT.sys
S3 iAimFP3;iAimFP3;C:\WINDOWS\system32\DRIVERS\wSiINTxx.sys
S3 iAimFP4;iAimFP4;C:\WINDOWS\system32\DRIVERS\wVchNTxx.sys
S3 iAimFP5;iAimFP5;C:\WINDOWS\system32\DRIVERS\wADV07nt.sys
S3 iAimFP6;iAimFP6;C:\WINDOWS\system32\DRIVERS\wADV08nt.sys
S3 iAimFP7;iAimFP7;C:\WINDOWS\system32\DRIVERS\wADV09nt.sys
S3 iAimFP8;iAimFP8;C:\WINDOWS\system32\DRIVERS\wADV11nt.sys
S3 iAimTV0;iAimTV0;C:\WINDOWS\system32\DRIVERS\wATV01nt.sys
S3 iAimTV1;iAimTV1;C:\WINDOWS\system32\DRIVERS\wATV02NT.sys
S3 iAimTV2;iAimTV2;C:\WINDOWS\system32\DRIVERS\wATV03nt.sys
S3 iAimTV3;iAimTV3;C:\WINDOWS\system32\DRIVERS\wATV04nt.sys
S3 iAimTV4;iAimTV4;C:\WINDOWS\system32\DRIVERS\wCh7xxNT.sys
S3 iAimTV5;iAimTV5;C:\WINDOWS\system32\DRIVERS\wATV10nt.sys
S3 iAimTV6;iAimTV6;C:\WINDOWS\system32\DRIVERS\wATV06nt.sys
S3 Mtlstrm;Mtlstrm;C:\WINDOWS\system32\DRIVERS\Mtlstrm.sys
S3 NtMtlFax;NtMtlFax;C:\WINDOWS\system32\DRIVERS\NtMtlFax.sys
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys
S3 SlNtHal;SlNtHal;C:\WINDOWS\system32\DRIVERS\Slnthal.sys
S3 V90drv;v90drv;C:\WINDOWS\system32\DRIVERS\v90drv.sys

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp


Contents of the 'Scheduled Tasks' folder
2007-08-03 16:10:42 C:\WINDOWS\Tasks\1-Click Maintenance.job - C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-07 17:01:27
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-07 17:04:02 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-08-07 17:03

--- E O F ---
7 Août 2007 17:11:02

Et voila le rapport HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 17:10:30, on 07/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\USB Disk Win98 Driver\Res.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Veoh Networks\Veoh\VeohClient.exe
C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Program Files\internet explorer\iexplore.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {98fa1718-d506-445e-8915-0779933a187f} - C:\WINDOWS\system32\atmloc.dll (file missing)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Program Files\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - Global Startup: KODAK Software Updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs:
O20 - Winlogon Notify: atmloc - atmloc.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: lxcf_device - - C:\WINDOWS\System32\lxcfcoms.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

7 Août 2007 17:12:06

re :) 

il me faut le rapport FindAWF pour continuer.
7 Août 2007 18:54:28

Oups désolée, j'avais oublié, voila le rapport FindAWF:


Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D442-6CA8

R‚pertoire de C:\PROGRA~1\QUICKT~1\BAK

25/02/2007 01:41 <REP> .
25/02/2007 01:41 <REP> ..
03/03/2006 23:22 77ÿ824 qttask.exe
1 fichier(s) 77ÿ824 octets
2 R‚p(s) 2ÿ005ÿ835ÿ776 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D442-6CA8

R‚pertoire de C:\WINDOWS\SYSTEM32\BAK

25/02/2007 01:41 <REP> .
25/02/2007 01:41 <REP> ..
29/08/2002 11:45 13ÿ312 ctfmon.exe
17/07/2002 08:45 90ÿ112 hkcmd.exe
17/07/2002 08:59 143ÿ360 igfxtray.exe
25/02/2004 17:15 221ÿ184 LVCOMSX.EXE
4 fichier(s) 467ÿ968 octets
2 R‚p(s) 2ÿ005ÿ831ÿ680 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D442-6CA8

R‚pertoire de C:\PROGRA~1\LOGITECH\VIDEO\BAK

25/02/2007 01:41 <REP> .
25/02/2007 01:41 <REP> ..
25/02/2004 18:15 454ÿ656 ISStart.exe
25/02/2004 18:06 212ÿ992 LogiTray.exe
2 fichier(s) 667ÿ648 octets
2 R‚p(s) 2ÿ005ÿ831ÿ680 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D442-6CA8

R‚pertoire de C:\PROGRA~1\LOGITECH\DESKTO~1\8876480\PROGRAM\BAK

25/02/2007 01:41 <REP> .
25/02/2007 01:41 <REP> ..
28/02/2006 14:35 16ÿ384 BackWeb-8876480.exe
1 fichier(s) 16ÿ384 octets
2 R‚p(s) 2ÿ005ÿ831ÿ680 octets libres


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

77824 3 Mar 2006 "C:\Program Files\QuickTime\bak\qttask.exe"
15360 20 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
13312 29 Aug 2002 "C:\WINDOWS\system32\bak\ctfmon.exe"
90112 17 Jul 2002 "C:\WINDOWS\system32\hkcmd.exe"
90112 17 Jul 2002 "C:\WINDOWS\system32\bak\hkcmd.exe"
90112 17 Jul 2002 "C:\WINDOWS\system32\ReinstallBackups\0013\DriverFiles\hkcmd.exe"
143360 17 Jul 2002 "C:\WINDOWS\system32\igfxtray.exe"
143360 17 Jul 2002 "C:\WINDOWS\system32\bak\igfxtray.exe"
143360 17 Jul 2002 "C:\WINDOWS\system32\ReinstallBackups\0013\DriverFiles\igfxtray.exe"
221184 25 Feb 2004 "C:\WINDOWS\system32\bak\LVCOMSX.EXE"
454656 25 Feb 2004 "C:\Program Files\Logitech\Video\bak\ISStart.exe"
212992 25 Feb 2004 "C:\Program Files\Logitech\Video\bak\LogiTray.exe"
16384 28 Feb 2006 "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\bak\BackWeb-8876480.exe"


end of report




Pourrai-je supprimer tous les ajouts que j'ai fait qd mon probleme sera resolu?
7 Août 2007 22:02:16

bonsoir

Citation :
Pourrai-je supprimer tous les ajouts que j'ai fait qd mon probleme sera resolu?

bien sûr, on supprimera tous les outils utilisés pendant ta désinfection.

1

Télécharge OTMoveIt (d'OldTimer). Sauvegarde-le sur ton Bureau.

~Lance Hijackthis “Do a system scan only”.
Coche les lignes qui suivent si encore présentes et uniquement celles-là.

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {98fa1718-d506-445e-8915-0779933a187f} - C:\WINDOWS\system32\atmloc.dll (file missing)
O20 - AppInit_DLLs:
O20 - Winlogon Notify: atmloc - atmloc.dll (file missing)


Clique sur Fix checked (en bas à gauche)

~Sélectionne TOUS les emplacements suivants :


C:\WINDOWS\awuuvv.dll


---> Clique-droit puis Copier (ou Ctrl+C)
~Double-clique sur OTMoveIt.exe afin de le lancer.
fais un Clique-droit sur le cadre de gauche puis choisis Coller. (ou Ctrl+V).
~Clique maintenant sur [#ff0000]MoveIt![/#f]

!! Si un fichier ou dossier ne peut être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES

~Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport est la date de sa création.

2

Double-clique sur l'icône FindAWF. Appuie sur une touche pour poursuivre le lancement de l'outil.

Si une alerte de sécurité apparait, autorise le programme à s'exécuter.
Comme indiqué, presse une touche pour continuer.
Choisis l'option suivante : Press 2 then Enter to restore files from bak folders
Appuie sur une touche pour poursuivre.


Un fichier texte s'ouvre appelé : files.txt
Clique en dessous de la ligne et colle la liste de fichiers qui suit :

"C:\Program Files\QuickTime\bak\qttask.exe"
"C:\WINDOWS\system32\bak\LVCOMSX.EXE"
"C:\Program Files\Logitech\Video\bak\ISStart.exe"
"C:\Program Files\Logitech\Video\bak\LogiTray.exe"
"C:\Program Files\Logitech\Desktop Messenger\8876480\Program\bak\BackWeb-8876480.exe"


Ensuite, ferme le fichier et clique sur Yes pour sauvegarder les changements.

Une fois que le fichier files.txt est sauvegardé, FindAWF fait ce qui suit:
-Il stoppe les processus nommés dans la liste précédente, si ceux-ci tournent.
-Supprime les rogues dans le dossier parent si présent.
-Copie le fichier original dans le dossier parent.

Quand il aura terminé toutes ces opérations, il commencera automatiquement un noveau scan et ouvrira un nouveau rapport.
Poste ce nouveau rapport FindAWF dans ta prochaine réponse.

7 Août 2007 23:31:46

Bonsoir, voila le rapport OTMoveIt:

DllUnregisterServer procedure not found in C:\WINDOWS\awuuvv.dll
C:\WINDOWS\awuuvv.dll NOT unregistered.
C:\WINDOWS\awuuvv.dll moved successfully.

Created on 08/07/2007 23:29:25
7 Août 2007 23:32:20

Bonsoir, voila le rapport OTMoveIt:

DllUnregisterServer procedure not found in C:\WINDOWS\awuuvv.dll
C:\WINDOWS\awuuvv.dll NOT unregistered.
C:\WINDOWS\awuuvv.dll moved successfully.

Created on 08/07/2007 23:29:25
7 Août 2007 23:40:43

Désolée pour le double post (erreur de manipulation) voila le rapport FindAWF:


Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D442-6CA8

R‚pertoire de C:\PROGRA~1\QUICKT~1\BAK

25/02/2007 01:41 <REP> .
25/02/2007 01:41 <REP> ..
03/03/2006 23:22 77ÿ824 qttask.exe
1 fichier(s) 77ÿ824 octets
2 R‚p(s) 2ÿ284ÿ568ÿ576 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D442-6CA8

R‚pertoire de C:\WINDOWS\SYSTEM32\BAK

25/02/2007 01:41 <REP> .
25/02/2007 01:41 <REP> ..
29/08/2002 11:45 13ÿ312 ctfmon.exe
17/07/2002 08:45 90ÿ112 hkcmd.exe
17/07/2002 08:59 143ÿ360 igfxtray.exe
25/02/2004 17:15 221ÿ184 LVCOMSX.EXE
4 fichier(s) 467ÿ968 octets
2 R‚p(s) 2ÿ284ÿ564ÿ480 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D442-6CA8

R‚pertoire de C:\PROGRA~1\LOGITECH\VIDEO\BAK

25/02/2007 01:41 <REP> .
25/02/2007 01:41 <REP> ..
25/02/2004 18:15 454ÿ656 ISStart.exe
25/02/2004 18:06 212ÿ992 LogiTray.exe
2 fichier(s) 667ÿ648 octets
2 R‚p(s) 2ÿ284ÿ564ÿ480 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D442-6CA8

R‚pertoire de C:\PROGRA~1\LOGITECH\DESKTO~1\8876480\PROGRAM\BAK

25/02/2007 01:41 <REP> .
25/02/2007 01:41 <REP> ..
28/02/2006 14:35 16ÿ384 BackWeb-8876480.exe
1 fichier(s) 16ÿ384 octets
2 R‚p(s) 2ÿ284ÿ564ÿ480 octets libres


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

77824 3 Mar 2006 "C:\Program Files\QuickTime\qttask.exe"
77824 3 Mar 2006 "C:\Program Files\QuickTime\bak\qttask.exe"
15360 20 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
13312 29 Aug 2002 "C:\WINDOWS\system32\bak\ctfmon.exe"
90112 17 Jul 2002 "C:\WINDOWS\system32\hkcmd.exe"
90112 17 Jul 2002 "C:\WINDOWS\system32\bak\hkcmd.exe"
90112 17 Jul 2002 "C:\WINDOWS\system32\ReinstallBackups\0013\DriverFiles\hkcmd.exe"
143360 17 Jul 2002 "C:\WINDOWS\system32\igfxtray.exe"
143360 17 Jul 2002 "C:\WINDOWS\system32\bak\igfxtray.exe"
143360 17 Jul 2002 "C:\WINDOWS\system32\ReinstallBackups\0013\DriverFiles\igfxtray.exe"
221184 25 Feb 2004 "C:\WINDOWS\system32\LVCOMSX.EXE"
221184 25 Feb 2004 "C:\WINDOWS\system32\bak\LVCOMSX.EXE"
454656 25 Feb 2004 "C:\Program Files\Logitech\Video\ISStart.exe"
454656 25 Feb 2004 "C:\Program Files\Logitech\Video\bak\ISStart.exe"
212992 25 Feb 2004 "C:\Program Files\Logitech\Video\LogiTray.exe"
212992 25 Feb 2004 "C:\Program Files\Logitech\Video\bak\LogiTray.exe"
16384 28 Feb 2006 "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe"
16384 28 Feb 2006 "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\bak\BackWeb-8876480.exe"


end of report
8 Août 2007 00:28:22

re :) 

Double-clique sur l'icône FindAWF. Appuie sur une touche pour poursuivre le lancement de l'outil.

Si une alerte de sécurité apparait, autorise le programme à s'exécuter.
Comme indiqué, presse une touche pour continuer.
Choisis l'option suivante : Press 3 then Enter to remove bak folders

Un fichier texte s'ouvre appelé : folders.txt
Clique après la ligne et colle la liste de dossiers qui suit :

C:\Program Files\QuickTime\bak
C:\WINDOWS\system32\bak
C:\Program Files\Logitech\Video\bak
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\bak


Ensuite, ferme le fichier et clique sur Yes pour sauvegarder les changements.

Une fois que folders.txt a été sauvegardé, FindAWF fait ce qui suit :
-Il supprime le contenu des dossiers bak
-Supprime les dossiers bak

Quand il a fini ces opérations, il lancera automatiquement un nouveau scan et un nouveau rapport sera généré.
Poste dans ta prochaine réponse ce nouveau rapport FindAWF.
8 Août 2007 00:40:05

Re :)  voila le nouveau rapport FindAWF:


Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D442-6CA8

R‚pertoire de C:\PROGRA~1\QUICKT~1\BAK

25/02/2007 01:41 <REP> .
25/02/2007 01:41 <REP> ..
03/03/2006 23:22 77ÿ824 qttask.exe
1 fichier(s) 77ÿ824 octets
2 R‚p(s) 2ÿ284ÿ490ÿ752 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D442-6CA8

R‚pertoire de C:\WINDOWS\SYSTEM32\BAK

25/02/2007 01:41 <REP> .
25/02/2007 01:41 <REP> ..
29/08/2002 11:45 13ÿ312 ctfmon.exe
17/07/2002 08:45 90ÿ112 hkcmd.exe
17/07/2002 08:59 143ÿ360 igfxtray.exe
25/02/2004 17:15 221ÿ184 LVCOMSX.EXE
4 fichier(s) 467ÿ968 octets
2 R‚p(s) 2ÿ284ÿ486ÿ656 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D442-6CA8

R‚pertoire de C:\PROGRA~1\LOGITECH\VIDEO\BAK

25/02/2007 01:41 <REP> .
25/02/2007 01:41 <REP> ..
25/02/2004 18:15 454ÿ656 ISStart.exe
25/02/2004 18:06 212ÿ992 LogiTray.exe
2 fichier(s) 667ÿ648 octets
2 R‚p(s) 2ÿ284ÿ486ÿ656 octets libres


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

77824 3 Mar 2006 "C:\Program Files\QuickTime\qttask.exe"
77824 3 Mar 2006 "C:\Program Files\QuickTime\bak\qttask.exe"
15360 20 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
13312 29 Aug 2002 "C:\WINDOWS\system32\bak\ctfmon.exe"
90112 17 Jul 2002 "C:\WINDOWS\system32\hkcmd.exe"
90112 17 Jul 2002 "C:\WINDOWS\system32\bak\hkcmd.exe"
90112 17 Jul 2002 "C:\WINDOWS\system32\ReinstallBackups\0013\DriverFiles\hkcmd.exe"
143360 17 Jul 2002 "C:\WINDOWS\system32\igfxtray.exe"
143360 17 Jul 2002 "C:\WINDOWS\system32\bak\igfxtray.exe"
143360 17 Jul 2002 "C:\WINDOWS\system32\ReinstallBackups\0013\DriverFiles\igfxtray.exe"
221184 25 Feb 2004 "C:\WINDOWS\system32\LVCOMSX.EXE"
221184 25 Feb 2004 "C:\WINDOWS\system32\bak\LVCOMSX.EXE"
454656 25 Feb 2004 "C:\Program Files\Logitech\Video\ISStart.exe"
454656 25 Feb 2004 "C:\Program Files\Logitech\Video\bak\ISStart.exe"
212992 25 Feb 2004 "C:\Program Files\Logitech\Video\LogiTray.exe"
212992 25 Feb 2004 "C:\Program Files\Logitech\Video\bak\LogiTray.exe"


end of report
8 Août 2007 11:34:40

bonjour,

ça se termine :) 

~Télécharge AVG anti-spyware.
http://www.ewido.net/en/download/
~Mets le à jour.

~Télécharge CCleaner:

http://www.filehippo.com/download_ccleaner/

~Lors de l'installation décoche: "Ajouter la Barre d'Outils Yahoo! Ccleaner"

+++++++++++++++++++++++

1

~Double-clique sur OTMoveIt.exe afin de le lancer.

~Sélectionne TOUS les emplacements suivants :


C:\Program Files\QuickTime\bak
C:\WINDOWS\system32\bak
C:\Program Files\Logitech\Video\bak
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\bak


---> Clique-droit puis Copier (ou Ctrl+C)

fais un Clique-droit sur le cadre de gauche puis choisis Coller. (ou Ctrl+V).
~Clique maintenant sur [#ff0000]MoveIt![/#f]

!! Si un fichier ou dossier ne peut être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES




2

Redémarre en mode sans échec. (f8 au démarrage)


3


~Lance CCleaner:

Clique sur le bouton chercher les erreurs, tu fais « réparer les erreurs »
Clique sur le bouton nettoyage, tu fais « lancer le nettoyage ».


4

~Lance AVG anti-spyware.

~Dans l’onglet analyse, dans Paramètre, clique sur Actions recommandées : choisis Quarantaine.

~Clique sur Analyse puis Analyse complète du système pour commencer le scan.

~Une fois que le scan est terminé, clique sur Appliquer toutes les actions, pour supprimer tous les fichiers infectés trouvés par AVG Anti-Spyware.

~Une fois que la suppression des fichiers infectés a été faite, clique sur enregistrer le rapport et sauvegarde-le sur le bureau.

~Redémarre normalement

5

~Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport est la date de sa création.

~Copie/Colle le rapport AVG anti-spyware.

+++++++++++++++++++++++++++++++++
Tuto de CCleaner: (merci à Malekal) .
http://www.malekal.com/tutorial_CCleaner.html

TutoAVG antispyware : (merci à Malekal) .
http://www.malekal.com/tutorial_AVG_AntiSpyware.html



8 Août 2007 16:20:40

Bonjour, désolée j'ai mis du temps a repondre, voila le rapport OTMoveIt:

C:\Program Files\QuickTime\bak moved successfully.
C:\WINDOWS\system32\bak moved successfully.
C:\Program Files\Logitech\Video\bak moved successfully.
File/Folder C:\Program Files\Logitech\Desktop Messenger\8876480\Program\bak not found.
File/Folder not found.

Created on 08/08/2007 13:01:12

8 Août 2007 16:21:50

Et voila le rapport AVG anti-spyware:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 16:10:50 08/08/2007

+ Résultat de l'analyse:



HKU\S-1-5-21-299502267-57989841-725345543-1004\Software\Microsoft\MSNMessenger\PerPassportSettings\4126332343\Sounds\MSNMSGR_NewMail -> Adware.CoolSavings : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{67FD4D0F-C43E-472C-8719-6708C569F972}\RP251\A0095970.ini -> Adware.Qworke : Nettoyé et sauvegardé (mise en quarantaine).
C:\QooBox\Quarantine\C\Program Files\Fichiers communs\DriveCleaner Free\udcsdr.exe.vir -> Adware.WinFixer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{67FD4D0F-C43E-472C-8719-6708C569F972}\RP260\A0105243.exe -> Adware.WinFixer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{67FD4D0F-C43E-472C-8719-6708C569F972}\RP253\A0100035.exe -> Downloader.Zlob.bvj : Nettoyé et sauvegardé (mise en quarantaine).
C:\QooBox\Quarantine\C\WINDOWS\system32\tmp8.tmp.dll.vir -> Trojan.BHO.bc : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{67FD4D0F-C43E-472C-8719-6708C569F972}\RP260\A0105233.dll -> Trojan.BHO.bc : Nettoyé et sauvegardé (mise en quarantaine).
C:\QooBox\Quarantine\C\WINDOWS\system32\tmp14.tmp.dll.vir -> Trojan.BHO.bd : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{67FD4D0F-C43E-472C-8719-6708C569F972}\RP260\A0105212.dll -> Trojan.BHO.bd : Nettoyé et sauvegardé (mise en quarantaine).
C:\QooBox\Quarantine\C\WINDOWS\system32\qwerty12.exe.vir -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{67FD4D0F-C43E-472C-8719-6708C569F972}\RP260\A0105239.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

8 Août 2007 21:57:03

bonsoir



parfait, on vérifie une dernière chose:

1

supprime les dossiers en gras:
C:\QooBox
C:\_OTMoveIt
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\bak

2

Kaspersky
~Fais une analyse antivirus en ligne sur le site de Kaspersky
http://webscanner.kaspersky.fr/

~ Clique sur Online Scanner.
~Accepte l'installation du contrôle ActiveX en cliquant sur le bouton Install.

~Sélectionne le poste de travail comme analyse.

~Enregistre le rapport en cliquant sur le bouton "Enregistrer rapport sous". Nomme-le, tu feras un copier/coller dans ta prochaine réponse.
Tuto en image : http://support.kaspersky.fr/admin/u2Files/Image/webscan...


9 Août 2007 13:25:28

Bonjour, tout d'abord, je ne trouve pas ce dossier:
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\bak
Il m'est donc impossible de la supprimer =/


Quant au rapport Kaspersky, dois-je te scanner toute la page ou une partie precise?
9 Août 2007 17:50:17

bonjour

Citation :
tout d'abord, je ne trouve pas ce dossier:
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\bak


je voulais vérifier ;) 

Citation :
Quant au rapport Kaspersky, dois-je te scanner toute la page ou une partie precise?


tu scannes tout ton disque dur et tu colles tout ton rapport (même s'il est long, ce n'est pas grave, je le lirais)
9 Août 2007 20:19:12

Mon ordi bug car le rapport est trop long, je vais donc le poster en plusieurs parties:

Partie n°1:
KASPERSKY ON-LINE SCANNER REPORT
Thursday, August 09, 2007 1:01:31 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 9/08/2007
Enregistrements dans la base antivirus Kaspersky : 353931


Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\

Statistiques de l'analyse
Total d'objets analysés 62759
Nombre de virus trouvés 3
Nombre d'objets infectés 4 / 0
Nombre d'objets suspects 0
Durée de l'analyse 02:31:49
9 Août 2007 20:58:33

Le reste du scan est trop long et des que j'essaye de le copier-coller ca bug, le faire en plusieurs partie prendrait trop de temps =/
9 Août 2007 21:47:10

re

poste moi juste ceux là alors:
Citation :
Nombre de virus trouvés 3
Nombre d'objets infectés 4 / 0


les lignes infectieuses.
10 Août 2007 00:45:22

J'ai mis longtemps a les trouver mais les voila ^^':

C:\RECYCLER\S-1-5-21-299502267-57989841-725345543-1004\Dc2\Quarantine\C\WINDOWS\system32\tmp1B.tmp.dll.vir Infecté : Trojan.Win32.BHO.g ignoré

C:\System Volume Information\_restore{67FD4D0F-C43E-472C-8719-6708C569F972}\RP250\A0093943.exe Infecté : Trojan.Win32.Pakes ignoré

C:\System Volume Information\_restore{67FD4D0F-C43E-472C-8719-6708C569F972}\RP258\A0104151.dll Infecté : Trojan-Downloader.Win32.Agent.bkd ignoré

C:\System Volume Information\_restore{67FD4D0F-C43E-472C-8719-6708C569F972}\RP260\A0105217.dll Infecté : Trojan.Win32.BHO.g ignoré
10 Août 2007 10:11:18

bonjour

parfait, rien de méchant, c'est terminé, tu n'es plus infecté :) 

vide ta corbeille

~Désactive et Réactive la restauration en suivant ce tuto:
http://service1.symantec.com/SUPPORT/INTER/tsgeninfoint...


Télécharge maintenant, ToolsCleaner! de A.Rothstein Sur ton Bureau.

  • Double clique sur ToolsCleaner.exe, et clique sur Extract sans changer la destination initiale.
  • Fais ensuite : Démarrer > Poste de Travail > et ouvre le Lecteur C:\
  • Double clic sur ToolsCleaner.bat representé par cette icône et suis les directives pour le faire travailler.
  • Fais un copier/coller du rapport qui s'ouvre pour le poster dans ta prochaine réponse. Il se trouve dans C:\TCleaner.txt
    10 Août 2007 13:18:35

    Voila le rapport TCleaner:

    ********ToolsCleaner! (A.Rothstein) V2.0********



    Nettoyage commence le 10/08/2007 a 13:17:21,43

    ***************************************

    -ComboFix.exe = Trouve!

    - (B) ComboFix.exe = Suppression effectuee!

    -Otmoveit.exe = Trouve!

    -Otmoveit.exe = Suppression effectuee!

    Programme(s) supprime(s) avec succes!
    ***************************************

    Fin le 10/08/2007 a 13:17:21,90

    Merci d'avoir utilise ToolsCleaner!
    10 Août 2007 13:20:46

    Il reste encore FindAWF, AVG Anti-spyware, CCleaner et SmitFraudFix, dois-je les supprimer manuellement?
    10 Août 2007 13:28:02

    re

    Supprime les programmes FindAWF et SmitFraudFix installés pour la désinfection.
    Tu peux garder AVG - antispyware qui est le meilleur antispyware du moment. Au bout de 30 jours, tu perdras le bouclier résident et les mises à jours automatiques. Mais tu pourras le garder et le passer régulièrement en faisant les mises à jours manuellement.

    ~Tu devrais également utiliser régulièrement Ccleaner. (au moins toutes les semaines):



    ~Edite ton premier message (en cliquant sur la gomme) et marque [résolu] dans le titre.

    :hello: 
    10 Août 2007 15:45:58

    Merci beaucoup de tn aide (precieuse et utile) :) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS