Votre question

Trojan dans un fichier systeme avant l'installation d'un anti-virus

Tags :
  • Système d'exploitation
  • Sécurité
Dernière réponse : dans Sécurité et virus
4 Juin 2007 12:03:52

Bonjour,
L'ordi de mes parents est infesté par un ou des chevaux de troie. Il possède un firewall (Kerio) mais pas d'antivirus donc j'ai mis Antivir ce matin, qui a trouvé les choses suivantes :
- Trojan Horse TR/Vgten.A.4
- HEUR/MAlware
Ce sont les 2 qui reviennent le plus souvent. J'ai aussi trouvé :
- tmp1.tmp.exe
- TR/Spy.Agent.272384
- HEUR-DBLEXT/Crypted
- TR/BHO.0.2
- TR/Proxy.wopla.AG4
- TR/Crypt.NSPM.Gen

Comme il m'a été conseillé je dis à Antivir de les ignorer et non de les éliminer car cela pourrait éliminer des fichers système.
Il faut que je trouve des patchs qui élimineront ces trojans, mais le problème, c'est que j'ai beau chercher sur le net je n'en trouve aucun! Ces virus semblent inconnus... je ne sais pas quoi faire, me voilà bloqué, avez-vous une solution??
Merci pour vos réponses!

Autres pages sur : trojan fichier systeme installation anti virus

a b 8 Sécurité
4 Juin 2007 12:28:04

Bonjour,

Quels sont leur emplacement ?
4 Juin 2007 12:32:48

J'ai activé Antivir pour savoir.
Le troyen TR/Vgten.A.4est dans C:\WINDOWS/System32\emo.dll
c'est un fichier systeme non?
Contenus similaires
a b 8 Sécurité
4 Juin 2007 12:35:41

On va vérifier.

- Assure toi d'avoir accès aux dossiers/fichiers cachés
-> Démarrer
-> Panneau de configuration
-> Options des Dossiers, onglet Affichage :
. Clique sur Afficher les dossiers cachés
. Décoche Masquer les extensions des fichiers dont le type est connu
. Décoche Masquer les fichiers protégés du système d'exploitation


Va sur le site de VirusTotal
Clique sur Parcourir... puis ouvre:

C:\WINDOWS\System32\emo.dll

Si tu vois ce message:
" Your file " ***.*** " is queued in position: ***. Estimated start time is between *** and *** minutes. "
Il faudra patienter un moment.

Clique ensuite sur Send. Poste le rapport en fin d'analyse.
4 Juin 2007 12:48:01

Ben il ne se passe rien...
Voilà ce qu'il s'est passé :
quand j'ai voulu aller dans le panneau de config une fenetre antivir est apparue pour signeler HEUR/Malware situé à C:\WINDOWS/System32/findstr.dll
ensuite j'ai cocher et décocher les choses adéquates
puis sur le site virustotal j'ai ouvert le fichier
puis j'ai cjiqué sur send mais ça n'a rien fait. En bas à gauche il y a marqué "erreur sur la page" quand je clique sur Send...
a b 8 Sécurité
4 Juin 2007 12:56:00

Re,

Télécharge Hijackthis (de Merjin).
Dézippe-le dans un dossier ou sur ton Bureau.

Lance l'application (Hijackthis.exe) :
- Choisis l'option "Do a system scan and save a logfile"
- Le Bloc-Notes s'ouvre, poste son contenu :

-> Edition / Sélectionner tout
-> Edition / Copier
-> Clique-Droit / Coller dans ta réponse


AIDE : Tuto en vidéo sur Hijackthis
4 Juin 2007 13:03:06

euh... ca marche comment pour dézipper?
4 Juin 2007 13:08:52

cad que j'ai 4 téléchargements possibles, mais lequel choisir??
a b 8 Sécurité
4 Juin 2007 13:16:31

Tu as regardé mon tuto en vidéo ?
4 Juin 2007 14:16:33

non dsl j'étais occupé, je vais le visionner sur le champs!
4 Juin 2007 14:18:54

oui mais comment fait-on pour dézipper? je n'ai jamais fait ca...
a b 8 Sécurité
4 Juin 2007 14:23:11

Tu as Winrar ?
4 Juin 2007 14:24:30

tu fait clique droit extraire tous les fichier.
pas besoin de winrar :D 
4 Juin 2007 14:26:24

non...
4 Juin 2007 14:28:45

Bonjour,
si tua s xp tu n'as besoin de winrar, un simple clique droit et extraire vers suffit.

Cldt,
4 Juin 2007 14:30:56

Je ne savais pas que ct si compliqué tout ça...
Je voulais juste savoir où je pouvais trouver les patchs correspondant aux virus présents avant de pouvoir protéger l'ordi avec l'antivir que j'ai installé. Ces patchs n'existent pas pour les vius concernés?
4 Juin 2007 14:32:15

Ok merci pour vos précisions
j'ai extraire les fichiers
extraire ici
extraire hijackthis
je choisis lequel?
a b 8 Sécurité
4 Juin 2007 14:32:25

Il n'y a rien de compliqué, un clique droit...
a b 8 Sécurité
4 Juin 2007 14:33:21

Extraire vers Hijackthis\
T'as pas regardé la vidéo...
4 Juin 2007 14:34:17

Et tu exécutes le programme ...
4 Juin 2007 14:41:50

Logfile of HijackThis v1.99.1
Scan saved at 14:40:52, on 04/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\TEMP\tmp1.tmp.exe
C:\WINDOWS\PTV339\IRMONITOR.EXE
C:\PROGRA~1\Webshots\webshots.scr
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\dwwin.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Home\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\findstr.dll
O2 - BHO: (no name) - {a0c581fc-d724-4fe8-8b1a-3921cf2b9e31} - C:\WINDOWS\system32\cmutat.dll
O2 - BHO: (no name) - {DEBEB52F-CFA6-4647-971F-3EDB75B63AFA} - C:\WINDOWS\system32\tmp4.tmp.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\mlkjhg.dll",realset
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [SysRestore] "C:\WINDOWS\TEMP\tmp1.tmp.exe"
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: PTV339 Remote Controller Service.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
O20 - AppInit_DLLs:
O20 - Winlogon Notify: cmutat - C:\WINDOWS\SYSTEM32\cmutat.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

a b 8 Sécurité
4 Juin 2007 14:54:38

J'aimerais voir s'il y a un rootkit avant de continuer.

Télécharge Gmer.
Dézippe le dans un dossier ou sur ton bureau.

Déconnecte toi d'Internet puis et ferme tous les programmes.
Double-clique sur Gmer.exe.

IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.

Clique sur l'onglet rootkit.
A droite, coche Files et Services.
Clique maintenant sur Scan.

Lorsque le scan est terminé, clique sur Copy.

Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
4 Juin 2007 15:08:12

GMER 1.0.12.12244 - http://www.gmer.net
Rootkit scan 2007-06-04 15:06:20
Windows 5.1.2600 Service Pack 2


---- Files - GMER 1.0.12 ----

File C:\WINDOWS\system32\koos.exe
File C:\WINDOWS\system32\kprof
File C:\WINDOWS\system32\poof

---- EOF - GMER 1.0.12 ----
a b 8 Sécurité
4 Juin 2007 15:38:33

Re,

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
  • Double-clique VundoFix.exe afin de le lancer
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse
    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
    4 Juin 2007 15:59:56

    Voici le rapport concernant vundo :

    VundoFix V6.4.2

    Checking Java version...

    Sun Java not detected
    Scan started at 15:45:31 04/06/2007

    Listing files found while scanning....

    C:\WINDOWS\ghjklm.ini
    C:\WINDOWS\mlkjhg.dll
    C:\WINDOWS\system32\tmp1.tmp.dll
    C:\WINDOWS\system32\tmp2.tmp.dll
    C:\WINDOWS\system32\tmp3.tmp.dll
    C:\WINDOWS\system32\tmp7.tmp.dll
    C:\WINDOWS\system32\tmp8.tmp.dll
    C:\WINDOWS\TEMP\tmp1.tmp.dll

    Beginning removal...

    Attempting to delete C:\WINDOWS\ghjklm.ini
    C:\WINDOWS\ghjklm.ini Has been deleted!

    Attempting to delete C:\WINDOWS\mlkjhg.dll
    C:\WINDOWS\mlkjhg.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\tmp1.tmp.dll
    C:\WINDOWS\system32\tmp1.tmp.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\tmp2.tmp.dll
    C:\WINDOWS\system32\tmp2.tmp.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\tmp3.tmp.dll
    C:\WINDOWS\system32\tmp3.tmp.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\tmp7.tmp.dll
    C:\WINDOWS\system32\tmp7.tmp.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\tmp8.tmp.dll
    C:\WINDOWS\system32\tmp8.tmp.dll Has been deleted!

    Attempting to delete C:\WINDOWS\TEMP\tmp1.tmp.dll
    C:\WINDOWS\TEMP\tmp1.tmp.dll Has been deleted!

    Performing Repairs to the registry.
    Done!



    Voici le rapport du scan Hijack que je viens de faire :

    Logfile of HijackThis v1.99.1
    Scan saved at 15:59:04, on 04/06/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\TEMP\tmp1.tmp.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\WINDOWS\PTV339\IRMONITOR.EXE
    C:\PROGRA~1\Webshots\webshots.scr
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Kerio\Personal Firewall\persfw.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Home\Bureau\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\findstr.dll
    O2 - BHO: (no name) - {a0c581fc-d724-4fe8-8b1a-3921cf2b9e31} - C:\WINDOWS\system32\cmutat.dll
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
    O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
    O4 - HKCU\..\Run: [SysRestore] "C:\WINDOWS\TEMP\tmp1.tmp.exe"
    O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: PTV339 Remote Controller Service.lnk = ?
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\emo.dll
    O20 - AppInit_DLLs:
    O20 - Winlogon Notify: cmutat - C:\WINDOWS\SYSTEM32\cmutat.dll
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

    a b 8 Sécurité
    4 Juin 2007 16:01:23

    Re,

    Télécharge Combofix
    Sauvegarde-le sur ton Bureau et pas ailleurs !

    Clique sur le menu Démarrer puis Executer, copie/colle ceci :
    "%userprofile%\Bureau\combofix.exe" /v cmutat
    Clique sur [OK]. Suis les invites.

    Attends que Combofix ait terminé, un rapport sera créé. Poste le rapport.
    4 Juin 2007 16:26:19

    Voici le rapport, mais je n'ai pas eu l'occasion de coller "%userprofile%\Bureau\combofix.exe" /v cmutat >>

    "Home" - 2007-06-04 16:12:28 Service Pack 2 NTFS
    ComboFix 07-06-3 - Running from: "C:\Documents and Settings\Home\Bureau\"


    (((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


    C:\WINDOWS\khgecb.dll
    C:\WINDOWS\ljklkj.dll
    C:\WINDOWS\jklkjl.ini
    C:\WINDOWS\system32\cmutat.dll


    * * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


    C:\Program Files\internet explorer\iekey.dll
    C:\Program Files\internet explorer\iexp1ore.exe
    C:\WINDOWS\system32\ctfmon.dll
    C:\WINDOWS\system32\emo.dll
    C:\WINDOWS\system32\info.txt
    C:\WINDOWS\system32\ipv6monl.dll
    C:\WINDOWS\system32\koos.exe
    C:\WINDOWS\system32\kprof
    C:\WINDOWS\system32\msdtc.dll
    C:\WINDOWS\system32\poof
    C:\WINDOWS\system32\spoolsv.dll
    C:\WINDOWS\system32\tmp4.tmp.dll


    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


    -------\LEGACY_NTLDR.SYS
    -------\LEGACY_POOF
    -------\ntldr.sys


    ((((((((((((((((((((((((( Files Created from 2007-05-04 to 2007-06-04 )))))))))))))))))))))))))))))))


    2007-06-04 16:15 <REP> d-------- C:\Avenger
    2007-06-04 15:45 <REP> d-------- C:\VundoFix Backups
    2007-06-04 09:14 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AntiVir PersonalEdition Classic
    2007-05-29 14:27 68,288 --a------ C:\WINDOWS\system32\findstr.dll
    2007-05-29 14:27 68,288 --a------ C:\WINDOWS\system32\dcomcnfg.dll
    2007-05-29 14:27 68,288 --a------ C:\WINDOWS\system32\cipher.dll
    2007-05-29 14:27 68,288 --a------ C:\WINDOWS\system32\autoconv.dll
    2007-05-29 14:26 68,288 --a------ C:\WINDOWS\system32\openfiles.dll
    2007-05-29 14:25 68,288 --a------ C:\WINDOWS\system32\winhlp32.dll
    2007-05-29 14:25 68,288 --a------ C:\WINDOWS\system32\recover.dll
    2007-05-29 14:25 68,288 --a------ C:\WINDOWS\system32\packager.dll
    2007-05-29 14:24 68,288 --a------ C:\WINDOWS\system32\edlin.dll
    2007-05-29 14:24 68,288 --a------ C:\WINDOWS\system32\cleanmgr.dll
    2007-05-29 14:23 68,288 --a------ C:\WINDOWS\system32\help.dll
    2007-05-29 14:22 68,288 --a------ C:\WINDOWS\system32\drwatson.dll
    2007-05-29 14:22 68,288 --a------ C:\WINDOWS\system32\asr_fmt.dll
    2007-05-29 14:21 68,288 --a------ C:\WINDOWS\system32\regwiz.dll
    2007-05-29 14:21 68,288 --a------ C:\WINDOWS\system32\eventvwr.dll
    2007-05-29 14:20 68,288 --a------ C:\WINDOWS\system32\vssadmin.dll
    2007-05-29 14:19 68,288 --a------ C:\WINDOWS\system32\dxdiag.dll
    2007-05-29 14:18 68,288 --a------ C:\WINDOWS\system32\mshearts.dll
    2007-05-29 14:18 68,288 --a------ C:\WINDOWS\system32\logman.dll
    2007-05-29 14:18 68,288 --a------ C:\WINDOWS\system32\ipsec6.dll
    2007-05-29 14:17 68,288 --a------ C:\WINDOWS\system32\wowdeb.dll
    2007-05-29 14:17 68,288 --a------ C:\WINDOWS\system32\rsmsink.dll
    2007-05-29 14:17 68,288 --a------ C:\WINDOWS\system32\dwwin.dll
    2007-05-29 14:17 68,288 --a------ C:\WINDOWS\system32\auditusr.dll
    2007-05-29 14:16 68,288 --a------ C:\WINDOWS\system32\netsetup.dll
    2007-05-29 14:16 68,288 --a------ C:\WINDOWS\system32\mqbkup.dll
    2007-05-29 14:16 68,288 --a------ C:\WINDOWS\system32\finger.dll
    2007-05-29 14:16 102,104 --a------ C:\WINDOWS\v040120.exe
    2007-05-29 13:38 17,010 --a------ C:\tmp1.tmp.exe
    2007-05-25 08:57 98,008 --a------ C:\WINDOWS\v030999.exe
    2007-05-13 19:33 96,984 --a------ C:\WINDOWS\v030998.exe


    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-05-26 15:06:13 -------- d-----w C:\Program Files\Microsoft Money
    2007-05-26 10:03:30 -------- d-----w C:\Program Files\QuickTime
    2007-04-27 11:49:49 281,348 ----a-w C:\WINDOWS\system32\drivers\ndis.sys
    2007-04-21 16:23:19 -------- d-----w C:\DOCUME~1\Home\APPLIC~1\Leadertech
    2007-03-25 09:17:33 64,492 ----a-w C:\WINDOWS\system32\perfc00C.dat
    2007-03-25 09:17:33 447,772 ----a-w C:\WINDOWS\system32\perfh00C.dat


    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
    {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 19:38]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "D-Link AirPlus G"="C:\Program Files\D-Link\AirPlus G\AirGCFG.exe" []
    "ANIWZCS2Service"="C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" []
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" []
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" []
    "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" []
    "avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MoneyAgent"="C:\Program Files\Microsoft Money\System\mnyexpr.exe" []

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoLowDiskSpaceChecks"=1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "appinit_dlls"=

    HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*


    **************************************************************************

    catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-06-04 16:22:36
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    Completion time: 2007-06-04 16:23:33 - machine was rebooted
    C:\ComboFix-quarantined-files.txt ... 2007-06-04 16:23

    --- E O F ---
    4 Juin 2007 17:47:37

    J'ai refait un scan avec anti vir, il y a toujours autant de virus, dont certains dans system32...
    a b 8 Sécurité
    4 Juin 2007 17:48:08

    Reposte un rapport Hijackthis.
    4 Juin 2007 17:52:03

    Logfile of HijackThis v1.99.1
    Scan saved at 17:51:43, on 04/06/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Kerio\Personal Firewall\persfw.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\PTV339\IRMONITOR.EXE
    C:\PROGRA~1\Webshots\webshots.scr
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\internet explorer\iexplore.exe
    C:\Program Files\Real\RealPlayer\RealPlay.exe
    C:\Documents and Settings\Home\Bureau\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - (no file)
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
    O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
    O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: PTV339 Remote Controller Service.lnk = ?
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\tsgobws.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\tsgobws.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\tsgobws.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\tsgobws.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\tsgobws.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\tsgobws.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\tsgobws.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\tsgobws.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\tsgobws.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\tsgobws.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\tsgobws.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\tsgobws.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\tsgobws.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\tsgobws.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\tsgobws.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\tsgobws.dll
    O20 - AppInit_DLLs:
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

    a b 8 Sécurité
    4 Juin 2007 17:53:37

    Re,

    Télécharge Blacklight (F-Secure), clique sur " I ACCEPT " en bas de la page :
    Clique sur le premier " Download " afin de télécharger le programme
    Sauvegarde le sur ton Bureau
    Double-clique fsbl.exe et accepte la licence; clique Scan puis Next.

    A la fin du scan, NE TOUCHE A RIEN !

    Tu verras un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
    Nous devons analyser ce rapport, ferme donc le BlackLight.

    Poste le rapport sur le forum.

    AIDE : Tuto sur BlackLight (Malekal)
    4 Juin 2007 18:03:25

    06/04/07 17:59:12 [Info]: BlackLight Engine 1.0.61 initialized
    06/04/07 17:59:12 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    06/04/07 17:59:12 [Note]: 7019 4
    06/04/07 17:59:12 [Note]: 7005 0
    06/04/07 17:59:20 [Note]: 7006 0
    06/04/07 17:59:20 [Note]: 7011 1580
    06/04/07 17:59:20 [Note]: 7026 0
    06/04/07 17:59:20 [Note]: 7026 0
    06/04/07 17:59:30 [Note]: FSRAW library version 1.7.1021
    06/04/07 18:02:19 [Note]: 2000 1012
    a b 8 Sécurité
    4 Juin 2007 18:04:52

    Re,

    Télécharge Clean.zip (de Malekal),
    Décompresse-le sur ton bureau (Clique-Droit/Extraire tout), tu dois obtenir un dossier Clean.
    Ouvre le dossier clean, double-clique sur clean.cmd.
    Choisis l'option 1 puis patiente. Poste ensuite le contenu du rapport.
    4 Juin 2007 18:07:50

    04/06/2007 a 18:07:03,65

    *** Recherche des fichiers dans C:

    *** Recherche des fichiers dans C:\WINDOWS\

    *** Recherche des fichiers dans C:\WINDOWS\system32

    *** Recherche des fichiers dans C:\Program Files
    *** Fin du rapport !
    4 Juin 2007 18:12:32

    T'es sur que ça va marcher à la fin? :-)
    a b 8 Sécurité
    4 Juin 2007 18:12:36

    Re,

    Télécharge puis installe AVG Anti-Spyware (AVG AS)
    Fais les mises à jour mais ne lance pas de scan pour le moment.
    AIDE : Tuto sur AVG Anti-Spyware (Malekal)

    Redémarre en mode sans échec

    Relance AVG AS :
    - Choisis l'onglet "Analyse"
    - Puis l'onglet "Paramètres"
    - Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
    - Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

    [#ff0000]Si un fichier est infecté en fin d'analyse, clique sur "Appliquer toutes les actions"[/#f]

    Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
    Enregistre ce fichier texte sur ton bureau.

    Redémarre normalement.
    Poste le rapport AVG AS ainsi qu'un rapport Hijackthis.
    4 Juin 2007 18:42:04

    une questino en attendant : il y a kerio personal firewall sur l'ordi, ça sert à quelquechose ou je peux le virer? (c'est windows XP professional)
    a b 8 Sécurité
    4 Juin 2007 18:43:02

    Garde-le :) 
    4 Juin 2007 18:50:17

    Pour la mise a jour, ca marque : aucune mise a jour n'était disponible... je redemarre qd meme mon ordi en mode sans echec?
    a b 8 Sécurité
    4 Juin 2007 18:56:01

    Oui ;) 
    4 Juin 2007 19:05:05

    Bon ben j'ai essayé deux fois :
    la 1ere en allant dans la session administrateur du mode sans echec : l'icone AVG AS était bien présent mais message : Echec de la connexion au service. Réinstallez ANti-Spyware 7.5
    la 2eme en allant dans la session Home : meme message en voulant lancer AVGAS
    a b 8 Sécurité
    4 Juin 2007 19:06:31

    Fais-le en mode normal.
    4 Juin 2007 19:45:37

    ---------------------------------------------------------
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 19:35:19 04/06/2007

    + Résultat de l'analyse:



    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} -> Adware.RogueSuspect : Nettoyé et sauvegardé (mise en quarantaine).
    HKU\S-1-5-21-854245398-492894223-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} -> Adware.RogueSuspect : Nettoyé et sauvegardé (mise en quarantaine).
    C:\tmp1.tmp.exe -> Downloader.Agent.bjk : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\v030998.exe -> Logger.BZub.jg : Nettoyé et sauvegardé (mise en quarantaine).
    C:\cp1041.nls -> Proxy.Horst : Nettoyé et sauvegardé (mise en quarantaine).
    C:\QooBox\Quarantine\catchme2007-06-04_162233.93.zip/koos.exe -> Proxy.Wopla.ag : Nettoyé et sauvegardé (mise en quarantaine).
    C:\QooBox\Quarantine\catchme2007-06-04_162233.93.zip/kprof -> Proxy.Wopla.ag : Nettoyé et sauvegardé (mise en quarantaine).
    C:\QooBox\Quarantine\catchme2007-06-04_162233.93.zip/poof -> Proxy.Wopla.ag : Nettoyé et sauvegardé (mise en quarantaine).
    C:\Documents and Settings\Home\Cookies\home@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@2o7[2].txt -> TrackingCookie.2o7 : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@budgetcarhire.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@hertz.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@karavel.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@opodo.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@sfr.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@aavalue[1].txt -> TrackingCookie.Aavalue : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@arn.aavalue[1].txt -> TrackingCookie.Aavalue : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@www.abcsearch[1].txt -> TrackingCookie.Abcsearch : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@ads.addynamix[2].txt -> TrackingCookie.Addynamix : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@adjuggler[1].txt -> TrackingCookie.Adjuggler : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@adrevolver[1].txt -> TrackingCookie.Adrevolver : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@track.adrevolver[1].txt -> TrackingCookie.Adrevolver : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@adtech[2].txt -> TrackingCookie.Adtech : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@advertising[1].txt -> TrackingCookie.Advertising : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@bfast[2].txt -> TrackingCookie.Bfast : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@iv2.bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@casalemedia[1].txt -> TrackingCookie.Casalemedia : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@promo.casinotropez[1].txt -> TrackingCookie.Casinotropez : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@clickbank[2].txt -> TrackingCookie.Clickbank : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@ads.guardian.co[1].txt -> TrackingCookie.Co : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@com[2].txt -> TrackingCookie.Com : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@fl01.ct2.comclick[2].txt -> TrackingCookie.Comclick : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@enhance[1].txt -> TrackingCookie.Enhance : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@www.etracker[2].txt -> TrackingCookie.Etracker : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@adopt.euroclick[2].txt -> TrackingCookie.Euroclick : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@fastclick[1].txt -> TrackingCookie.Fastclick : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@goclick[2].txt -> TrackingCookie.Goclick : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@banner.goldenpalace[2].txt -> TrackingCookie.Goldenpalace : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@goldenpalace[2].txt -> TrackingCookie.Goldenpalace : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@ehg-france24.hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@ehg-francetel.hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@ehg-hollywood.hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@ehg-hollywoodmedia.hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@ehg-playboy.hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@ehg-telecomitalia.hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@ie.search.msn[2].txt -> TrackingCookie.Msn : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@overture[2].txt -> TrackingCookie.Overture : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@ads.pointroll[2].txt -> TrackingCookie.Pointroll : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@realmedia[1].txt -> TrackingCookie.Realmedia : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@revsci[1].txt -> TrackingCookie.Revsci : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@specificclick[2].txt -> TrackingCookie.Specificclick : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@h.starware[2].txt -> TrackingCookie.Starware : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@try.starware[1].txt -> TrackingCookie.Starware : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@statcounter[2].txt -> TrackingCookie.Statcounter : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@login.tracking101[2].txt -> TrackingCookie.Tracking101 : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@tribalfusion[2].txt -> TrackingCookie.Tribalfusion : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@blackbox.weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@statse.webtrendslive[2].txt -> TrackingCookie.Webtrendslive : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyé.
    C:\Documents and Settings\Home\Cookies\home@zedo[1].txt -> TrackingCookie.Zedo : Nettoyé.
    C:\WINDOWS\system32\tsgobws.dll -> Trojan.Agent.j : Nettoyé et sauvegardé (mise en quarantaine).
    C:\QooBox\Quarantine\C\WINDOWS\system32\cmutat.dll.vir -> Trojan.Baws.a : Nettoyé et sauvegardé (mise en quarantaine).
    C:\VundoFix Backups\tmp3.tmp.dll.bad -> Trojan.BHO.o : Nettoyé et sauvegardé (mise en quarantaine).
    C:\QooBox\Quarantine\C\WINDOWS\khgecb.dll.vir -> Trojan.Klone.k : Nettoyé et sauvegardé (mise en quarantaine).
    C:\QooBox\Quarantine\C\WINDOWS\system32\emo.dll.vir -> Trojan.Vqten : Nettoyé et sauvegardé (mise en quarantaine).
    C:\QooBox\Quarantine\C\Program Files\Internet Explorer\iexp1ore.exe.vir -> Worm.Agent.p : Nettoyé et sauvegardé (mise en quarantaine).


    Fin du rapport



    Logfile of HijackThis v1.99.1
    Scan saved at 19:45:23, on 04/06/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\WINDOWS\PTV339\IRMONITOR.EXE
    C:\PROGRA~1\Webshots\webshots.scr
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Kerio\Personal Firewall\persfw.exe
    C:\Program Files\internet explorer\iexplore.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Documents and Settings\Home\Bureau\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
    O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
    O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: PTV339 Remote Controller Service.lnk = ?
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O20 - AppInit_DLLs:
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

    a b 8 Sécurité
    4 Juin 2007 20:04:16

    Re,

    Télécharge [#FF0000]FindAWF.exe[/#F] (par Noahdfear) sur ton Bureau.

    Double-clique FindAWF.exe
    Un fichier texte sera produit et s'affichera à l'écran (awf.txt)
    Copie/colle le contenu du fichier dans ta prochaine réponse.
    4 Juin 2007 20:52:55


    Find AWF report by noahdfear ©2006


    bak folders found
    ~~~~~~~~~~~

    Le volume dans le lecteur C s'appelle WinXPpro
    Le num‚ro de s‚rie du volume est 94C0-535F

    R‚pertoire de C:\PROGRA~1\QUICKT~1\BAK

    26/03/2007 00:29 <REP> .
    26/03/2007 00:29 <REP> ..
    10/05/2006 15:59 77ÿ824 qttask.exe
    1 fichier(s) 77ÿ824 octets
    2 R‚p(s) 2ÿ068ÿ717ÿ568 octets libres
    Le volume dans le lecteur C s'appelle WinXPpro
    Le num‚ro de s‚rie du volume est 94C0-535F

    R‚pertoire de C:\WINDOWS\SYSTEM32\BAK

    26/03/2007 00:29 <REP> .
    26/03/2007 00:29 <REP> ..
    09/07/2001 11:50 155ÿ648 NeroCheck.exe
    1 fichier(s) 155ÿ648 octets
    2 R‚p(s) 2ÿ068ÿ717ÿ568 octets libres
    Le volume dans le lecteur C s'appelle WinXPpro
    Le num‚ro de s‚rie du volume est 94C0-535F

    R‚pertoire de C:\PROGRA~1\ANI\ANIWZC~1\BAK

    26/03/2007 00:29 <REP> .
    26/03/2007 00:29 <REP> ..
    16/12/2004 18:49 49ÿ152 WZCSLDR2.exe
    1 fichier(s) 49ÿ152 octets
    2 R‚p(s) 2ÿ068ÿ713ÿ472 octets libres
    Le volume dans le lecteur C s'appelle WinXPpro
    Le num‚ro de s‚rie du volume est 94C0-535F

    R‚pertoire de C:\PROGRA~1\D-LINK\AIRPLU~1\BAK

    26/03/2007 00:29 <REP> .
    26/03/2007 00:29 <REP> ..
    22/04/2005 18:51 1ÿ236ÿ992 AirGCFG.exe
    1 fichier(s) 1ÿ236ÿ992 octets
    2 R‚p(s) 2ÿ068ÿ713ÿ472 octets libres
    Le volume dans le lecteur C s'appelle WinXPpro
    Le num‚ro de s‚rie du volume est 94C0-535F

    R‚pertoire de C:\PROGRA~1\MICAC0~1\SYSTEM\BAK

    26/03/2007 00:29 <REP> .
    26/03/2007 00:29 <REP> ..
    17/07/2002 12:00 204ÿ863 mnyexpr.exe
    1 fichier(s) 204ÿ863 octets
    2 R‚p(s) 2ÿ068ÿ713ÿ472 octets libres
    Le volume dans le lecteur C s'appelle WinXPpro
    Le num‚ro de s‚rie du volume est 94C0-535F

    R‚pertoire de C:\PROGRA~1\FICHIE~1\REAL\UPDATE~1\BAK

    26/03/2007 00:29 <REP> .
    26/03/2007 00:29 <REP> ..
    18/04/2006 18:17 180ÿ269 realsched.exe
    1 fichier(s) 180ÿ269 octets
    2 R‚p(s) 2ÿ068ÿ713ÿ472 octets libres
    Le volume dans le lecteur C s'appelle WinXPpro
    Le num‚ro de s‚rie du volume est 94C0-535F

    R‚pertoire de C:\PROGRA~1\ADOBE\PHOTOS~1\3.0\APPS\BAK

    26/03/2007 00:29 <REP> .
    26/03/2007 00:29 <REP> ..
    23/06/2005 20:33 57ÿ344 apdproxy.exe
    1 fichier(s) 57ÿ344 octets
    2 R‚p(s) 2ÿ068ÿ713ÿ472 octets libres


    Duplicate files of bak directory contents
    ~~~~~~~~~~~~~~~~~~~~~~~

    77824 10 May 2006 "C:\Program Files\QuickTime\bak\qttask.exe"
    155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
    49152 16 Dec 2004 "C:\Program Files\ANI\ANIWZCS2 Service\bak\WZCSLDR2.exe"
    1236992 22 Apr 2005 "C:\Program Files\D-Link\AirPlus G\bak\AirGCFG.exe"
    204863 17 Jul 2002 "C:\Program Files\Microsoft Money\System\bak\mnyexpr.exe"
    180269 18 Apr 2006 "C:\Program Files\Fichiers communs\Real\Update_OB\bak\realsched.exe"
    57344 23 Jun 2005 "C:\Program Files\Adobe\Photoshop Album Edition D‚couverte\3.0\Apps\bak\apdproxy.exe"


    end of report
    a b 8 Sécurité
    4 Juin 2007 21:02:02

    Re,

    C:\Program Files\QuickTime\bak\qttask.exe <- coupe ce fichier
    C:\Program Files\QuickTime\ <- colle-le ici
    C:\Program Files\QuickTime\bak\ <- supprime ce dossier

    Fais pareil avec :

    C:\WINDOWS\system32\bak\NeroCheck.exe
    C:\WINDOWS\system32\

    C:\Program Files\ANI\ANIWZCS2 Service\bak\WZCSLDR2.exe
    C:\Program Files\ANI\ANIWZCS2 Service\

    C:\Program Files\D-Link\AirPlus G\bak\AirGCFG.exe
    C:\Program Files\D-Link\AirPlus G\

    C:\Program Files\Microsoft Money\System\bak\mnyexpr.exe
    C:\Program Files\Microsoft Money\System\

    C:\Program Files\Fichiers communs\Real\Update_OB\bak\realsched.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\

    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\bak\apdproxy.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\
    4 Juin 2007 21:09:07

    C:\Program Files\QuickTime\bak\qttask.exe <- coupe ce fichier
    C:\Program Files\QuickTime\ <- colle-le ici
    C:\Program Files\QuickTime\bak\ <- supprime ce dossier

    je comprend pas : où je trouve C:\Program Files\QuickTime\ ??
    Je n'ai que C:\Program Files\QuickTime\bak\qttask.exe
    4 Juin 2007 21:19:02

    Il y a encore bcp de choses à télécharger???
    a b 8 Sécurité
    4 Juin 2007 21:19:20

    Citation :
    je comprend pas : où je trouve C:\Program Files\QuickTime\ ??
    Je n'ai que C:\Program Files\QuickTime\bak\qttask.exe

    Je n'ai pas dit qu'il se trouvait là...
    J'ai dit de le coller.
    4 Juin 2007 21:25:12

    Mais tu as dit de couper C:\Program Files\QuickTime\bak\qttask.exe et de le coller, mais où?
    Je n'ai pas C:\Program Files\QuickTime\
    quant à C:\Program Files\QuickTime\bak\ j'ai un truc qui ressemble en heut : R‚pertoire de C:\PROGRA~1\QUICKT~1\BAK
        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS