Se connecter / S'enregistrer
Votre question

aidé moi SVP tres urjent

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
24 Mars 2007 19:32:56

voila le probleme c'est que je n'arrive plus a ouvrir la fentre de mon antivirus ni s'il de spybot ni s'il de firewall et avant tout ca j'ai un fichier qui se nom Zlip est qui m'ouvre des fenetre sans arret et voila le ficher log de hijackthis

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:44:25, on 24/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {65B4F167-35A7-4B04-F64F-1CE33D9CA9C1} - C:\WINDOWS\System32\ufqb.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{382B3~1\Bar888.dll
O2 - BHO: PEDEV_IEListener Class - {E1412445-4FF8-410e-8D24-F2CF86B171A4} - C:\Program Files\PeDevice\PeDev.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{382B3~1\Bar888.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\ovzqeqmb.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [Nfo] C:\WINDOWS\System32\nfomon\nfomon.exe
O4 - HKLM\..\Run: [vidmon] C:\WINDOWS\System32\vidmon\vidmon.exe
O4 - HKLM\..\Run: [Windows Secure Update ] kvcaquziuf.exe
O4 - HKLM\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe
O4 - HKLM\..\Run: [Windows Service Agent] wpdnkg.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\rvmlffrv.exe
O4 - HKLM\..\Run: [hwamsz] c:\windows\system32\hwamsz.exe hwamsz
O4 - HKLM\..\Run: [Internet Security Service] msq32.exe
O4 - HKLM\..\Run: [NI.UWA7PV_0001_N91M0510] "C:\Documents and Settings\proprietaire\Bureau\WinAntiVirusPro2007FreeInstall_fr.exe" -nag
O4 - HKLM\..\Run: [DriveCleaner Free] "C:\Program Files\DriveCleaner Free\UDC.exe" /min
O4 - HKLM\..\Run: [SDR6V_Check] "C:\Program Files\Fichiers communs\DriveCleaner Free\udcsdr.exe"
O4 - HKLM\..\Run: [UDC6cw] "C:\Program Files\DriveCleaner Free\UDC6cw.exe" -c
O4 - HKLM\..\Run: [Registry Crawler] C:\PROGRA~1\RCrawler\RCrawler.exe -TRAYONLY
O4 - HKLM\..\RunServices: [Windows Secure Update ] kvcaquziuf.exe
O4 - HKLM\..\RunServices: [Windows Service Agent] wpdnkg.exe
O4 - HKLM\..\RunServices: [Internet Security Service] msq32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Ahha] "C:\DOCUME~1\PROPRI~1\MESDOC~1\RACLE~1\ntvdm.exe" -vt yazb
O4 - HKCU\..\Run: [Xlwsym] "C:\Program Files\??curity\d?dplay.exe" 99001658
O4 - HKCU\..\Run: [Windows Secure Update ] kvcaquziuf.exe
O4 - HKCU\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe
O4 - HKCU\..\Run: [Windows Service Agent] wpdnkg.exe
O4 - HKCU\..\Run: [Internet Security Service] msq32.exe
O4 - HKCU\..\Run: [ErrorSafeFree] "C:\Program Files\ErrorSafe Free\uers.exe" /scan
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Policies\Explorer\Run: [{782B314D-0A28-1036-0625-030624030021}] "C:\Program Files\Fichiers communs\{782B314D-0A28-1036-0625-030624030021}\Update.exe" mc-110-12-0000144
O4 - HKUS\S-1-5-21-606747145-1580818891-725345543-500\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Administrateur')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows Service Agent] wpdnkg.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Internet Security Service] msq23.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [{782B314D-0A28-1036-0625-030624030021}] "C:\Program Files\Fichiers communs\{782B314D-0A28-1036-0625-030624030021}\Update.exe" mc-110-12-0000144 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [{782B314D-0A28-1036-0625-030624030021}] "C:\Program Files\Fichiers communs\{782B314D-0A28-1036-0625-030624030021}\Update.exe" mc-110-12-0000144 (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Client IP-IPX - Unknown owner - C:\WINDOWS\System32\svchosts.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Service de planification Media Center (ehSched) - Unknown owner - C:\WINDOWS\ehome\ehSched.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\qxchost.exe
O23 - Service: Microsoft Passport Network CyberShots - Unknown owner - C:\WINDOWS\System32\dllcache\cybershots.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Seagate Communication - Unknown owner - C:\WINDOWS\System32\dllcache\seagatecom.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

--
End of file - 8703 bytes



merci de me dire ce que je doi faire

Autres pages sur : aide svp tres urjent

24 Mars 2007 19:41:09

ok je vai le faire et je remet le fichier log
Contenus similaires
24 Mars 2007 19:54:32

voici le noveau fichier log avec l'encien version d'Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 19:50:39, on 24/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {65B4F167-35A7-4B04-F64F-1CE33D9CA9C1} - C:\WINDOWS\System32\ufqb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\ovzqeqmb.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [Windows Secure Update ] kvcaquziuf.exe
O4 - HKLM\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe
O4 - HKLM\..\Run: [Windows Service Agent] wpdnkg.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\znzzvd.exe
O4 - HKLM\..\Run: [hwamsz] c:\windows\system32\hwamsz.exe hwamsz
O4 - HKLM\..\Run: [Internet Security Service] msq32.exe
O4 - HKLM\..\Run: [Registry Crawler] C:\PROGRA~1\RCrawler\RCrawler.exe -TRAYONLY
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKLM\..\RunServices: [Windows Secure Update ] kvcaquziuf.exe
O4 - HKLM\..\RunServices: [Windows Service Agent] wpdnkg.exe
O4 - HKLM\..\RunServices: [Internet Security Service] msq32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Ahha] "C:\DOCUME~1\PROPRI~1\MESDOC~1\RACLE~1\ntvdm.exe" -vt yazb
O4 - HKCU\..\Run: [Xlwsym] "C:\Program Files\??curity\d?dplay.exe" 99001658
O4 - HKCU\..\Run: [Windows Secure Update ] kvcaquziuf.exe
O4 - HKCU\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe
O4 - HKCU\..\Run: [Windows Service Agent] wpdnkg.exe
O4 - HKCU\..\Run: [Internet Security Service] msq32.exe
O4 - HKCU\..\Run: [ErrorSafeFree] "C:\Program Files\ErrorSafe Free\uers.exe" /scan
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\qxchost.exe
O23 - Service: Microsoft Passport Network CyberShots - Unknown owner - C:\WINDOWS\System32\dllcache\cybershots.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Seagate Communication - Unknown owner - C:\WINDOWS\System32\dllcache\seagatecom.exe

a b 8 Sécurité
24 Mars 2007 20:04:05

Re,

Installe d'urgence un firewall comme Kerio :
http://www.malekal.com/kerio_firewall.php

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.

Redémarre en mode sans échec

  • Ouvre le dossier SDFix qui vient d'être créé à la racine de ton dique dur (C:) et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis.
    24 Mars 2007 20:09:55

    ok je v faire ca merci a tout de suite
    24 Mars 2007 20:43:40

    desolé c pas les bon fichier voila le log de Hijackthis

    Logfile of HijackThis v1.99.1
    Scan saved at 20:37:41, on 24/03/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\ehome\ehSched.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\ehome\ehtray.exe
    C:\WINDOWS\System32\RunDll32.exe
    C:\WINDOWS\System32\kvcaquziuf.exe
    C:\WINDOWS\System32\znzzvd.exe
    C:\PROGRA~1\RCrawler\RCrawler.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\ehome\ehmsas.exe
    C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\DOCUME~1\PROPRI~1\MESDOC~1\RACLE~1\ntvdm.exe
    C:\Program Files\??curity\d?dplay.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {65B4F167-35A7-4B04-F64F-1CE33D9CA9C1} - C:\WINDOWS\System32\ufqb.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Windows Secure Update ] kvcaquziuf.exe
    O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\znzzvd.exe
    O4 - HKLM\..\Run: [Registry Crawler] C:\PROGRA~1\RCrawler\RCrawler.exe -TRAYONLY
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
    O4 - HKLM\..\RunServices: [Windows Secure Update ] kvcaquziuf.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Ahha] "C:\DOCUME~1\PROPRI~1\MESDOC~1\RACLE~1\ntvdm.exe" -vt yazb
    O4 - HKCU\..\Run: [Xlwsym] "C:\Program Files\??curity\d?dplay.exe" 99001658
    O4 - HKCU\..\Run: [Windows Secure Update ] kvcaquziuf.exe
    O4 - HKCU\..\Run: [ErrorSafeFree] "C:\Program Files\ErrorSafe Free\uers.exe" /scan
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    et le log sdfix

    SDFix: Version 1.74

    Run by proprietaire - 24/03/2007 - 20:24:42,42

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\Documents and Settings\proprietaire\Bureau\SDFix

    Safe Mode:
    Checking Services:

    Name:
    Microsoft Agent
    Microsoft Passport Network CyberShots
    Seagate Communication
    Microsoft Agent
    Microsoft Passport Network CyberShots
    Seagate Communication

    ImagePath:
    "C:\WINDOWS\System32\dllcache\qxchost.exe"
    "C:\WINDOWS\System32\dllcache\cybershots.exe"
    "C:\WINDOWS\System32\dllcache\seagatecom.exe"

    Microsoft Agent Deleted
    Microsoft Passport Network CyberShots Deleted
    Seagate Communication Deleted


    Restoring Windows Registry Entries
    Restoring Default Hosts File


    Rebooting...

    Normal Mode:
    Checking Files:

    Below files will be copied to Backups folder then removed:

    C:\a.bat - Deleted
    C:\WINDOWS\system32\algose32.exe - Deleted
    C:\WINDOWS\system32\dllcache\cybershots.exe - Deleted
    C:\WINDOWS\system32\dllcache\qxchost.exe - Deleted
    C:\WINDOWS\system32\dllcache\seagatecom.exe - Deleted
    C:\WINDOWS\system32\i - Deleted
    C:\WINDOWS\system32\msq32.exe - Deleted



    ADS Check:

    C:\WINDOWS\system32
    No streams found.


    Final Check:

    Remaining Services:
    ------------------



    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "}"="}:*:Enabled:Windows Secure Update "
    "C:\\WINDOWS\\System32\\dllcache\\cybershots.exe"="C:\\WINDOWS\\System32\\dllcache\\cybershots.exe:*:Enabled:Microsoft Passport Network CyberShots"


    Remaining Files:
    ---------------

    Backups Folder: - C:\DOCUME~1\PROPRI~1\Bureau\SDFix\backups\backups.zip

    Checking For Files with Hidden Attributes :

    C:\Program Files\EPSON\PrinterDriverTemp\SC84\msvcr71.dll
    C:\Documents and Settings\proprietaire\Mes documents\?racle\ntvdm.exe
    C:\Program Files\Fichiers communs\Yazzle1658OinAdmin.exe
    C:\Program Files\Fichiers communs\Yazzle1658OinUninstaller.exe
    C:\Program Files\??curity\d?dplay.exe
    C:\WINDOWS\system32\kvcaquziuf.exe
    C:\WINDOWS\system32\msq23.exe
    C:\WINDOWS\system32\srxrgbd.exe
    C:\WINDOWS\system32\wpdnkg.exe

    Finished

    a b 8 Sécurité
    24 Mars 2007 20:46:21

    Evite le SMS :jap: 

    Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
  • Double-clique VundoFix.exe afin de le lancer
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
    24 Mars 2007 21:06:41

    voila ce qui me donne le Vundofix.exe
    le1er message: Done Searching for files
    le2ème message : Done searching for files ; No infected files were found

    est ce le veux dire que c'est bon ou il faut faire autre chose
    merci
    a b 8 Sécurité
    24 Mars 2007 21:16:20

    Re,

  • Télécharge combofix.exe (par sUBs) sur ton Bureau
  • Double clique combofix.exe.
  • Tape sur la touche Y (Yes) pour démarrer le scan.
  • Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    24 Mars 2007 21:54:10

    voila le fichier log de combofix:

    "proprietaire" - 07-03-24 21:47:15 Service Pack 1
    ComboFix 07-03-23 - Running from: "C:\Documents and Settings\proprietaire\Bureau"

    (((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


    C:\Program Files\Fichiers communs\Yazzle1658OinAdmin.exe
    C:\Program Files\Fichiers communs\Yazzle1658OinUninstaller.exe
    C:\Program Files\outerinfo\OiUninstaller.exe
    C:\Program Files\outerinfo\outerinfo.ico
    C:\Program Files\outerinfo\Terms.rtf
    C:\WINDOWS\system32\nvs2.inf
    C:\WINDOWS\system32\wintsvit.exe
    C:\Program Files\Fichiers communs\{382B3~1
    C:\Program Files\Fichiers communs\{782B3~2
    C:\Program Files\Fichiers communs\{782B3~1
    C:\Program Files\outerinfo
    C:\WINDOWS\system32\hwamsz__navps.dat
    C:\WINDOWS\system32\hwamsz.exe
    C:\WINDOWS\system32\hwamsz.dat
    ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
    Folders Quarantined:
    C:\qoobox\purity\DOCUME~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\APPLIC~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\APPLIC~1\ASKS~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\APPLIC~1\FNTS~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\APPLIC~1\from.txt
    C:\qoobox\purity\DOCUME~1\PROPRI~1\APPLIC~1\RACLE~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\APPLIC~1\SSTEM~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\APPLIC~1\YMANTE~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1\ASKS~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1\CROSOF~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1\DOBE~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1\ECURIT~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1\from.txt
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1\MBOLS~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1\RACLE~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1\STEM32~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1\YSTEM~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1\RACLE~1\ntvdm.exe
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1\RACLE~1\?racle
    C:\qoobox\purity\Program Files\CURITY~1
    C:\qoobox\purity\Program Files\DOBE~1
    C:\qoobox\purity\Program Files\FNTS~1
    C:\qoobox\purity\Program Files\PPATCH~1
    C:\qoobox\purity\Program Files\STEM32~1
    C:\qoobox\purity\Program Files\WNSXS~1
    C:\qoobox\purity\Program Files\CURITY~1\d?dplay.exe
    C:\qoobox\purity\WINDOWS\ASEMBL~1
    C:\qoobox\purity\WINDOWS\RACLE~1
    C:\qoobox\purity\WINDOWS\SSEMBL~1
    C:\qoobox\purity\WINDOWS\SSTEM3~1
    C:\qoobox\purity\WINDOWS\YMANTE~1
    C:\qoobox\purity\WINDOWS\system32\DOBE~1


    ((((((((((((((((((((((((((((((( Files Created from 2007-02-24 to 2007-03-24 ))))))))))))))))))))))))))))))))))


    2007-03-24 20:54 <REP> d-------- C:\VundoFix Backups
    2007-03-24 20:29 6,479 --a------ C:\a.bat
    2007-03-24 19:43 <REP> d-------- C:\Program Files\RegCleaner
    2007-03-24 18:10 <REP> d-------- C:\Program Files\Ashampoo
    2007-03-24 17:47 28,112 --a------ C:\DOCUME~1\PROPRI~1\APPLIC~1\GDIPFONTCACHEV1.DAT
    2007-03-24 17:32 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AntiVir PersonalEdition Classic
    2007-03-24 17:31 <REP> d-------- C:\WINDOWS\CSC
    2007-03-24 17:00 57,856 --a------ C:\WINDOWS\system32\znzzvd.exe
    2007-03-24 16:59 57,856 --a------ C:\WINDOWS\system32\uuiwqbr.exe
    2007-03-24 16:41 <REP> d-------- C:\Program Files\RCrawler
    2007-03-24 15:59 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
    2007-03-24 15:57 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT
    2007-03-24 15:57 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
    2007-03-24 15:57 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
    2007-03-24 15:57 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
    2007-03-24 15:57 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
    2007-03-24 15:57 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
    2007-03-24 15:57 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
    2007-03-24 15:57 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
    2007-03-24 15:50 <REP> d-------- C:\Program Files\Lavasoft
    2007-03-24 15:49 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2007-03-24 15:22 <REP> d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\DriveCleaner Free
    2007-03-24 15:18 57,856 --a------ C:\WINDOWS\system32\rvmlffrv.exe
    2007-03-24 15:13 57,856 --a------ C:\WINDOWS\system32\oedv.exe
    2007-03-22 22:41 57,856 --a------ C:\WINDOWS\system32\lond.exe
    2007-03-22 21:18 57,856 --a------ C:\WINDOWS\system32\sambpneq.exe
    2007-03-22 21:11 57,856 --a------ C:\WINDOWS\system32\xkic.exe
    2007-03-22 21:11 57,856 --a------ C:\WINDOWS\system32\oqycc.exe
    2007-03-21 19:42 115,712 --a------ C:\WINDOWS\asdfc.exe
    2007-03-21 17:45 220,160 --a------ C:\WINDOWS\system32\dsadas.exe
    2007-03-21 16:12 57,856 --a------ C:\WINDOWS\system32\zkvh.exe
    2007-03-21 16:09 60,928 --a------ C:\WINDOWS\system32\ufqb.dll
    2007-03-15 13:52 212,992 --a------ C:\WINDOWS\system32\awwsdasbd.exe
    2007-03-15 13:34 2 --a------ C:\WINDOWS\system32\wintit.exe
    2007-03-14 17:01 799 --a------ C:\WINDOWS\system32\hwamsz_navps.dat
    2007-03-14 17:01 240,097 --a------ C:\WINDOWS\system32\hwamsz_nav.dat
    2007-03-14 08:20 20,480 --a------ C:\WINDOWS\system32\lgetlddo.exe
    2007-03-12 20:20 20,480 --a------ C:\WINDOWS\system32\qfoqtqqi.exe
    2007-03-12 20:17 20,480 --a------ C:\WINDOWS\system32\joub.exe
    2007-03-12 14:58 20,480 --a------ C:\WINDOWS\system32\ghhsrb.exe
    2007-03-12 14:55 20,480 --a------ C:\WINDOWS\system32\ovwdbalh.exe
    2007-03-07 09:53 173,056 --a------ C:\WINDOWS\system32\dsdexw.exe
    2007-03-07 09:53 150,528 --a------ C:\WINDOWS\system32\ovzqeqmb.exe
    2007-03-06 21:37 173,056 --a------ C:\WINDOWS\system32\cgojvvr.exe
    2007-03-06 21:37 150,528 --a------ C:\WINDOWS\system32\mxkmhutf.exe
    2007-03-03 15:34 150,528 --a------ C:\WINDOWS\system32\vktr.exe
    2007-03-03 12:38 578,364 --a------ C:\WINDOWS\system32\tyoah.exe
    2007-03-02 23:13 173,056 --a------ C:\WINDOWS\system32\vamjih.exe
    2007-03-02 23:13 150,528 --a------ C:\WINDOWS\system32\azvizeb.exe
    2007-02-28 21:28 93,184 --a------ C:\WINDOWS\system32\jmvoxqwt.exe
    2007-02-28 21:27 10,013 --a------ C:\WINDOWS\klastj.exe
    2007-02-28 21:25 93,184 --a------ C:\WINDOWS\system32\mgxblrwb.exe
    2007-02-27 22:31 93,184 --a------ C:\WINDOWS\system32\ogyszcj.exe
    2007-02-27 22:31 93,184 --a------ C:\WINDOWS\system32\frypz.exe
    2007-02-27 19:59 93,184 --a------ C:\WINDOWS\system32\nddyqm.exe
    2007-02-27 19:56 93,184 --a------ C:\WINDOWS\system32\rnex.exe
    2007-02-27 18:36 93,184 --a------ C:\WINDOWS\system32\nfovdch.exe
    2007-02-27 18:36 93,184 --a------ C:\WINDOWS\system32\bcpaba.exe
    2007-02-27 08:25 93,184 --a------ C:\WINDOWS\system32\dflchdci.exe
    2007-02-27 08:24 93,184 --a------ C:\WINDOWS\system32\zbvn.exe
    2007-02-27 08:16 93,184 --a------ C:\WINDOWS\system32\jkxggdh.exe
    2007-02-27 08:15 93,184 --a------ C:\WINDOWS\system32\vgprbkv.exe
    2007-02-26 21:38 271 --a------ C:\WINDOWS\lksatj.exe
    2007-02-26 21:09 93,184 --a------ C:\WINDOWS\system32\ysjr.exe
    2007-02-26 21:03 93,184 --a------ C:\WINDOWS\system32\rynx.exe
    2007-02-25 21:43 93,184 --a------ C:\WINDOWS\system32\obkpeg.exe
    2007-02-25 21:43 93,184 --a------ C:\WINDOWS\system32\ccizljoo.exe
    2007-02-25 21:24 93,184 --a------ C:\WINDOWS\system32\ovtxh.exe
    2007-02-25 21:21 93,184 --a------ C:\WINDOWS\system32\xdahha.exe
    2007-02-25 17:56 93,184 --a------ C:\WINDOWS\system32\jqhmivuv.exe
    2007-02-25 17:56 93,184 --a------ C:\WINDOWS\system32\iyydnknp.exe


    (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


    2007-03-24 20:27 54742 --a------ C:\WINDOWS\system32\perfc00c.dat
    2007-03-24 20:27 426276 --a------ C:\WINDOWS\system32\perfh00c.dat
    2007-03-24 17:01 -------- d-------- C:\Program Files\google
    2007-03-24 16:56 -------- d-------- C:\Program Files\pedevice
    2007-03-24 15:50 -------- d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\lavasoft
    2007-02-23 22:17 214016 --a------ C:\WINDOWS\system32\kasdi.exe
    2007-02-23 22:07 93184 --a------ C:\WINDOWS\system32\imzwfkky.exe
    2007-02-22 19:25 93184 --a------ C:\WINDOWS\system32\mbpu.exe
    2007-02-22 19:23 93184 --a------ C:\WINDOWS\system32\mxoc.exe
    2007-02-22 12:37 93184 --a------ C:\WINDOWS\system32\djixpef.exe
    2007-02-22 12:37 93184 --a------ C:\WINDOWS\system32\agimx.exe
    2007-02-22 09:49 93184 --a------ C:\WINDOWS\system32\otvqpqhk.exe
    2007-02-22 09:40 93184 --a------ C:\WINDOWS\system32\mqgzibl.exe
    2007-02-20 09:20 41472 --a------ C:\WINDOWS\system32\zxircfh.exe
    2007-02-20 09:20 41472 --a------ C:\WINDOWS\system32\hlfoz.exe
    2007-02-18 19:33 41472 --a------ C:\WINDOWS\system32\kzqjy.exe
    2007-02-17 22:25 41472 --a------ C:\WINDOWS\system32\lfkiehbo.exe
    2007-02-17 22:22 41472 --a------ C:\WINDOWS\system32\oeitfgf.exe
    2007-02-16 07:26 41472 --a------ C:\WINDOWS\system32\yoheo.exe
    2007-02-16 07:26 41472 --a------ C:\WINDOWS\system32\uibfichd.exe
    2007-02-15 20:37 41472 --a------ C:\WINDOWS\system32\tazk.exe
    2007-02-15 20:35 41472 --a------ C:\WINDOWS\system32\euqgthp.exe
    2007-02-14 21:45 41472 --a------ C:\WINDOWS\system32\tlqikuk.exe
    2007-02-14 21:44 41472 --a------ C:\WINDOWS\system32\hchsiqfw.exe
    2007-02-14 19:35 41472 --a------ C:\WINDOWS\system32\wnctwdf.exe
    2007-02-14 19:35 41472 --a------ C:\WINDOWS\system32\fkis.exe
    2007-02-14 08:27 41472 --a------ C:\WINDOWS\system32\mtsfc.exe
    2007-02-14 08:22 41472 --a------ C:\WINDOWS\system32\ewgqbm.exe
    2007-02-13 19:52 41472 --a------ C:\WINDOWS\system32\geyb.exe
    2007-02-13 19:51 41472 --a------ C:\WINDOWS\system32\matd.exe
    2007-02-12 22:00 41472 --a------ C:\WINDOWS\system32\watse.exe
    2007-02-12 22:00 41472 --a------ C:\WINDOWS\system32\iyqgf.exe
    2007-02-12 21:05 41472 --a------ C:\WINDOWS\system32\pistgta.exe
    2007-02-12 21:03 41472 --a------ C:\WINDOWS\system32\pinfmdli.exe
    2007-02-11 21:12 41472 --a------ C:\WINDOWS\system32\mnmwkuyy.exe
    2007-02-11 21:11 41472 --a------ C:\WINDOWS\system32\yrpzkgo.exe
    2007-02-09 23:04 -------- d-------- C:\Program Files\webmediaplayer
    2007-02-09 22:21 41472 --a------ C:\WINDOWS\system32\nlpwarz.exe
    2007-02-09 22:11 41472 --a------ C:\WINDOWS\system32\ubsu.exe
    2007-02-08 23:05 41472 --a------ C:\WINDOWS\system32\plrx.exe
    2007-02-08 23:03 41472 --a------ C:\WINDOWS\system32\lzzfutqj.exe
    2007-02-07 19:35 41472 --a------ C:\WINDOWS\system32\suex.exe
    2007-02-07 19:35 193281 --a------ C:\WINDOWS\system32\becida.exe
    2007-02-07 19:34 41472 --a------ C:\WINDOWS\system32\bcdkvwaq.exe
    2007-02-07 09:55 41472 --a------ C:\WINDOWS\system32\roctrt.exe
    2007-02-07 09:55 193281 --a------ C:\WINDOWS\system32\fcuevsmd.exe
    2007-02-07 09:52 41472 --a------ C:\WINDOWS\system32\bnwrh.exe
    2007-02-06 21:34 41472 --a------ C:\WINDOWS\system32\ekfanh.exe
    2007-02-06 21:34 193281 --a------ C:\WINDOWS\system32\ebxtfxr.exe
    2007-02-06 21:33 41472 --a------ C:\WINDOWS\system32\kxpzxad.exe
    2007-02-06 08:43 41472 --a------ C:\WINDOWS\system32\kllxhedy.exe
    2007-02-06 08:43 193281 --a------ C:\WINDOWS\system32\epjv.exe
    2007-02-06 08:42 41472 --a------ C:\WINDOWS\system32\yahjh.exe
    2007-02-05 15:47 193281 --a------ C:\WINDOWS\system32\eeuhdqfs.exe
    2007-02-02 20:48 41472 --a------ C:\WINDOWS\system32\gwwazg.exe
    2007-02-02 20:48 193281 --a------ C:\WINDOWS\system32\ogvpntxn.exe
    2007-01-31 21:38 93184 --a------ C:\WINDOWS\system32\rkpzdh.exe
    2007-01-31 21:38 193281 --a------ C:\WINDOWS\system32\kninpbt.exe
    2007-01-31 21:35 93184 --a------ C:\WINDOWS\system32\cbvtc.exe
    2007-01-31 08:59 93184 --a------ C:\WINDOWS\system32\fdib.exe
    2007-01-31 08:54 93184 --a------ C:\WINDOWS\system32\rwaeg.exe
    2007-01-31 08:54 193281 --a------ C:\WINDOWS\system32\klmlhtny.exe
    2007-01-30 22:49 93184 --a------ C:\WINDOWS\system32\yxji.exe
    2007-01-30 22:37 93184 --a------ C:\WINDOWS\system32\lviyxs.exe
    2007-01-30 21:34 93184 --a------ C:\WINDOWS\system32\xourhtmz.exe
    2007-01-30 21:31 -------- d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\help
    2007-01-30 20:31 93184 --a------ C:\WINDOWS\system32\eeswem.exe
    2007-01-30 20:27 93184 --a------ C:\WINDOWS\system32\annmqzbw.exe
    2007-01-29 21:11 93184 --a------ C:\WINDOWS\system32\zcqhb.exe
    2007-01-29 21:11 93184 --a------ C:\WINDOWS\system32\mwhuajjg.exe
    2007-01-29 07:04 93184 --a------ C:\WINDOWS\system32\ksjs.exe
    2007-01-28 21:29 93184 --a------ C:\WINDOWS\system32\tfmpcoh.exe
    2007-01-28 21:28 93184 --a------ C:\WINDOWS\system32\vkompdns.exe
    2007-01-28 21:02 -------- d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\vlc
    2007-01-28 20:45 -------- d-------- C:\Program Files\videolan
    2007-01-28 20:42 -------- d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\google
    2007-01-28 20:19 93184 --a------ C:\WINDOWS\system32\hbok.exe
    2007-01-28 20:18 93184 --a------ C:\WINDOWS\system32\ntijxifk.exe
    2007-01-28 20:09 93184 --a------ C:\WINDOWS\system32\nkxjfwuf.exe
    2007-01-28 20:09 93184 --a------ C:\WINDOWS\system32\lskdqqg.exe
    2007-01-28 20:03 93184 --a------ C:\WINDOWS\system32\ysgq.exe
    2007-01-28 20:00 93184 --a------ C:\WINDOWS\system32\yobt.exe
    2007-01-28 19:54 52092 --ah----- C:\WINDOWS\system32\srxrgbd.exe
    2007-01-28 19:53 93184 --a------ C:\WINDOWS\system32\zzkyosu.exe
    2007-01-28 19:51 93184 --a------ C:\WINDOWS\system32\stoma.exe
    2007-01-28 19:47 93184 --a------ C:\WINDOWS\system32\qxat.exe
    2007-01-28 19:45 93184 --a------ C:\WINDOWS\system32\knrm.exe


    (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
    "CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
    "MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"
    "swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.2.908.8472\\GoogleToolbarNotifier.exe"
    "Ahha"="\"C:\\DOCUME~1\\PROPRI~1\\MESDOC~1\\RACLE~1\\ntvdm.exe\" -vt yazb"
    "Xlwsym"="\"C:\\Program Files\\??curity\\d?dplay.exe\" 99001658"
    "Windows Secure Update "="kvcaquziuf.exe"
    "ErrorSafeFree"="\"C:\\Program Files\\ErrorSafe Free\\uers.exe\" /scan"
    "SpybotSD TeaTimer"="C:\\Program Files\\Spybot - Search & Destroy\\TeaTimer.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
    "ehTray"="C:\\WINDOWS\\ehome\\ehtray.exe"
    "Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
    "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
    "nwiz"="nwiz.exe /install"
    "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
    "NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
    "Windows Secure Update "="kvcaquziuf.exe"
    "Advanced DHTML Enable"="C:\\WINDOWS\\System32\\znzzvd.exe"
    "Registry Crawler"="C:\\PROGRA~1\\RCrawler\\RCrawler.exe -TRAYONLY"
    "avgnt"="\"C:\\Program Files\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
    "Ashampoo FireWall"="\"C:\\Program Files\\Ashampoo\\Ashampoo FireWall\\FireWall.exe\" -TRAY"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
    "Installed"="1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
    "Installed"="1"
    "NoChange"="1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
    "Installed"="1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
    "Windows Secure Update "="kvcaquziuf.exe"


    [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
    "Windows Secure Update "="kvcaquziuf.exe"
    "Offices Monitorse"="C:\\WINDOWS\\System32\\algose32.exe"
    "Windows Service Agent"="wpdnkg.exe"
    "Internet Security Service"="msq23.exe"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
    "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
    LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
    NetworkService REG_MULTI_SZ DnsCache\0\0
    rpcss REG_MULTI_SZ RpcSs\0\0
    imgsvc REG_MULTI_SZ StiSvc\0\0
    termsvcs REG_MULTI_SZ TermService\0\0



    ********************************************************************

    catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
    http://www.gmer.net

    scanning hidden processes ...

    scanning hidden services ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    ********************************************************************

    Completion time: 07-03-24 21:49:38
    a b 8 Sécurité
    24 Mars 2007 22:37:44

    Re,

    Avant de commencer, lis la licence de Blacklight (F-Secure)
    En lisant ce document, tu as pris connaissance et accepté les conditions d'utilisation de ce programme inclus dans Navilog1.zip.

    Télécharge maintenant Navilog1.zip (Il Mafioso)
    Enregistre-le sur ton Bureau.
    Dézippe le contenu de l'archive en faisant un Clique droit sur Navilog1.zip puis en choisissant Tout Extraire.

    Double clique sur Navilog1.bat.
    Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
    ! N'utilise pas l'option 2, 3 et 4 sans notre accord !
    Patiente jusqu'à l'apparition de ce message :
    "*** Analyse Termine le ..... ***"
    Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste-nous son contenu de cette manière :

    -> Edition / Sélectionner tout
    -> Edition / Copier
    -> Clique-Droit / Coller dans ta réponse


    NOTE : Le rapport se trouve également ici : C:\fixnavi.txt
    25 Mars 2007 00:12:39

    voila le rapport:
    Search Navipromo version 1.0.7 commencé le 25/03/2007 à 0:04:27,12

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Poster ce rapport sur le forum pour le faire analyser !!!
    !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

    Fix lancé depuis C:\Documents and Settings\proprietaire\Bureau\navilog1
    Mise a jour le 12.03.2007 a 18h00 by IL-MAFIOSO

    Executé en mode normal

    *** Recherche Programmes installes ***


    WebMediaPlayer


    *** Recherche dossiers dans C:\WINDOWS ***




    *** Recherche dossiers dans C:\Program Files ***


    C:\Program Files\WebMediaPlayer trouvé !


    *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




    *** Recherche dossiers dans C:\Documents and Settings\proprietaire\Application Data ***



    *** Recherche avec BlackLight Engine/F-secure ***
    BlackLight Engine est un produit de F-secure, pour + d'infos :
    http://www.f-secure.com/blacklight/blacklight_help.html


    F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
    ======================================

    Copyright 2005-2006 F-Secure Corporation. All rights reserved.
    This is a beta version. It will expire on 1st of April, 2007.
    Version information: 2.2.1055.

    [+] Started on 03/25/07 at 00:04:27.
    [+] Initializing ...
    [+] Starting scan, press Ctrl-C to abort.
    [+] Scanning for hidden items ................................
    [+] Scan complete.
    [+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
    [+] Exited on 03/25/07 at 00:06:37 (return code = 0).


    *** Recherche fichiers ***


    C:\WINDOWS\pack.epk trouvé !


    *** Recherche cles registre ***


    Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



    Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



    Recherche Clé Magic Control



    *** Module de recherche complémentaire ***
    (recherche fichiers spécifiques)

    1)Recherche fichiers connus:


    2)Recherche Heuristique :
    *
    **
    ***
    ****
    C:\WINDOWS\system32\hwamsz_navps.dat trouvé !
    *****
    C:\WINDOWS\system32\hwamsz_nav.dat trouvé !
    ******
    *******
    ********


    *** Analyse Terminé le 25/03/2007 à 0:06:58,45 ***
    a b 8 Sécurité
    25 Mars 2007 12:23:24

    Re,

    Télécharge puis installe AVG Anti-Spyware (AVG AS)
    Une fois AVG AS lancé, clique sur "Mise à jour"
    Ferme le programme.
    AIDE : Tuto sur AVG Antispyware (Malekal)

    Redémarre en mode sans échec

    Double clique sur Navilog1.bat.
    Suis les instructions. Choisis ensuite l'option 2 puis valide.
    Laisse toi guider et réponds aux questions éventuelles.

    Ton bureau va disparaître, c'est normal !

    Patiente jusqu'à l'apparition de ce message :
    "*** Nettoyage Termine le ..... ***"

    Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver en mode normal.
    Referme le Bloc-notes. Ton bureau va maintenant réapparaître.

    Relance AVG AS puis choisis l'onglet "Analyse"
    Puis l'onglet "Paramètres"
    Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
    Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

    /!\ Si un fichier est infecté en fin d'analyse /!\
    Clique sur "Appliquer toutes les actions"

    Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
    Enregistre ce fichier texte sur ton bureau.

    Redémarre normalement puis poste le rapport sauvegardé auparavant (C:\cleannavi.txt)
    Ainsi qu'un nouveau rapport Hijackthis.

    Copie/Colle le rapport AVG AS.

    Ferme Internet Explorer puis Démarrer/Panneau de Configuration/Options Internet.
    Choisis l'onglet Contenu puis onglet Certificats.
    Si tu trouves les programmes suivant (en particulier dans Editeurs approuvés), supprime-les :
    electronic-group
    egroup
    Montorgueil
    VIP
    "Sunny Day Design Ltd"
    25 Mars 2007 12:31:49

    Bonjour Angeldark
    ok je v faire ce que tu ma dis a tout de suite
    25 Mars 2007 13:40:01

    voila le raport cleannavi.txt:

    Clean Navipromo version 1.0.7 commencé le 25/03/2007 à 12:41:00,84

    Fix lancé depuis C:\Documents and Settings\proprietaire\Bureau\navilog1
    Mise a jour le 12.03.2007 a 18h00 by IL-MAFIOSO

    Executé en mode sans echec

    Mode suppression automatique avec prise en charge résultats Blacklight


    *** fsbl1.txt non trouvé ***
    (Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)


    *** Suppression dossiers dans C:\WINDOWS ***


    *** Suppression dossiers dans C:\Program Files ***

    C:\Program Files\WebMediaPlayer ...suppression...
    C:\Program Files\WebMediaPlayer supprimé !


    *** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


    *** Suppression dossiers dans C:\Documents and Settings\proprietaire\Application Data ***



    *** Suppression fichiers ***

    C:\Documents and Settings\proprietaire\Bureau\WebMediaPlayer.lnk supprimé !
    C:\WINDOWS\pack.epk supprimé !

    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\proprietaire\Local Settings\Temp effectué !


    *** Sauvegarde du registre vers dossier Backupnavi***


    sauvegarde du registre réalisée avec succès !


    *** Nettoyage registre ***


    Nettoyage registre Ok

    *** Traitement Recherche complémentaire ***

    1)Recherche fichiers connus:


    2)Recherche et Suppression Heuristique :

    *
    **
    ***
    ****
    C:\WINDOWS\System32\hwamsz_navps.dat trouvé !
    Copie C:\WINDOWS\system32\hwamsz_navps.dat réalisé avec succès !
    C:\WINDOWS\system32\hwamsz_navps.dat supprimé !

    *****
    C:\WINDOWS\System32\hwamsz_nav.dat trouvé !
    Copie C:\WINDOWS\system32\hwamsz_nav.dat réalisé avec succès !
    C:\WINDOWS\system32\hwamsz_nav.dat supprimé !

    ******
    *******
    ********

    *** Nettoyage termine le 25/03/2007 à 12:41:52,25 ***

    et la c 'est le raport AVG AS.---------------------------------------------------------
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 13:23:48 25/03/2007

    + Résultat de l'analyse:



    C:\Program Files\PeDevice\PeDev.dll -> Adware.Delfin : Nettoyé et sauvegardé (mise en quarantaine).
    C:\Documents and Settings\proprietaire\Cookies\proprietaire@m.webtrends[1].txt -> TrackingCookie.Webtrends : Nettoyé.
    C:\WINDOWS\system32\wintit.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
    C:\a.bat -> Trojan.Zapchast : Nettoyé et sauvegardé (mise en quarantaine).


    Fin du rapport

    et en fin le rapport Hijackthis

    Logfile of HijackThis v1.99.1
    Scan saved at 13:39:35, on 25/03/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\ehome\ehSched.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\ehome\ehtray.exe
    C:\WINDOWS\system32\RunDll32.exe
    C:\PROGRA~1\RCrawler\RCrawler.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\ehome\ehmsas.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\SpywareGuard\sgmain.exe
    C:\Program Files\SpywareGuard\sgbhp.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {65B4F167-35A7-4B04-F64F-1CE33D9CA9C1} - C:\WINDOWS\System32\ufqb.dll
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Registry Crawler] C:\PROGRA~1\RCrawler\RCrawler.exe -TRAYONLY
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    a b 8 Sécurité
    25 Mars 2007 13:50:04

    Re,

    Télécharge Clean.zip (de Malekal),
    Décompresse-le sur ton bureau (Clique-Droit/Extraire tout), tu dois obtenir un dossier Clean.
    Ouvre le dossier clean, double-clique sur clean.cmd.
    Choisis l'option 1 puis patiente. Poste ensuite le contenu du rapport.

    Refais un scan Combofix.
    25 Mars 2007 13:58:12

    voila le rapport du clean:

    Rapport clean par Malekal_morte - http://www.malekal.com
    Option 1, executee le 25/03/2007 a 13:54:00,73

    *** Recherche de fichiers sur C:

    *** Recherche des fichiers dans C:\WINDOWS\

    *** Recherche des fichiers dans C:\WINDOWS\system32

    "C:\Program Files\PeDevice\" FOUND
    *** Fin du rapport !

    et voila le rapport combofix:

    "proprietaire" - 07-03-25 13:55:47 Service Pack 2
    ComboFix 07-03-23 - Running from: "C:\Documents and Settings\proprietaire\Bureau"

    (((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


    ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
    Folders Quarantined:
    C:\qoobox\purity\DOCUME~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\APPLIC~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\APPLIC~1\ASKS~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\APPLIC~1\FNTS~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\APPLIC~1\from.txt
    C:\qoobox\purity\DOCUME~1\PROPRI~1\APPLIC~1\RACLE~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\APPLIC~1\SSTEM~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\APPLIC~1\YMANTE~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1\ASKS~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1\CROSOF~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1\DOBE~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1\ECURIT~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1\from.txt
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1\MBOLS~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1\RACLE~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1\STEM32~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1\YSTEM~1
    C:\qoobox\purity\DOCUME~1\PROPRI~1\MESDOC~1\RACLE~1\?racle
    C:\qoobox\purity\Program Files\CURITY~1
    C:\qoobox\purity\Program Files\DOBE~1
    C:\qoobox\purity\Program Files\FNTS~1
    C:\qoobox\purity\Program Files\PPATCH~1
    C:\qoobox\purity\Program Files\STEM32~1
    C:\qoobox\purity\Program Files\WNSXS~1
    C:\qoobox\purity\Program Files\CURITY~1\d?dplay.exe
    C:\qoobox\purity\WINDOWS\ASEMBL~1
    C:\qoobox\purity\WINDOWS\RACLE~1
    C:\qoobox\purity\WINDOWS\SSEMBL~1
    C:\qoobox\purity\WINDOWS\SSTEM3~1
    C:\qoobox\purity\WINDOWS\YMANTE~1
    C:\qoobox\purity\WINDOWS\system32\DOBE~1


    ((((((((((((((((((((((((((((((( Files Created from 2007-02-25 to 2007-03-25 ))))))))))))))))))))))))))))))))))


    2007-03-25 12:27 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2007-03-25 11:59 <REP> d-------- C:\Program Files\AxBx
    2007-03-25 11:54 <REP> d-------- C:\Program Files\SpywareGuard
    2007-03-25 11:36 <REP> d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\Microsoft Web Folders
    2007-03-25 11:26 <REP> d-------- C:\DOCUME~1\LOCALS~1\Menu D‚marrer
    2007-03-25 11:24 <REP> d-------- C:\WINDOWS\Prefetch
    2007-03-25 11:11 <REP> d-------- C:\WINDOWS\provisioning
    2007-03-25 11:11 <REP> d-------- C:\WINDOWS\peernet
    2007-03-25 11:09 <REP> d-------- C:\WINDOWS\ServicePackFiles
    2007-03-25 11:07 <REP> d-------- C:\WINDOWS\system32\ReinstallBackups
    2007-03-25 10:55 4,569 --------- C:\WINDOWS\system32\secupd.dat
    2007-03-25 10:55 11,776 --------- C:\WINDOWS\system32\spnpinst.exe
    2007-03-25 10:31 262,144 --a------ C:\DOCUME~1\ALLUSE~1\ntuser.dat
    2007-03-25 10:20 614,912 --a------ C:\WINDOWS\system32\h323msp.dll
    2007-03-25 10:20 39,936 --a------ C:\WINDOWS\system32\mf3216.dll
    2007-03-25 10:20 332,800 --a------ C:\WINDOWS\system32\ipnathlp.dll
    2007-03-25 10:20 26,112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe
    2007-03-25 10:17 <REP> d-------- C:\WINDOWS\Downloaded Installations
    2007-03-25 10:15 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
    2007-03-25 09:34 1,097,728 --a------ C:\WINDOWS\system32\esent.dll
    2007-03-25 02:17 <REP> d-------- C:\WINDOWS\system32\bits
    2007-03-25 01:16 8,192 --------- C:\WINDOWS\system32\bitsprx2.dll
    2007-03-25 01:16 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
    2007-03-25 01:16 351,232 --a------ C:\WINDOWS\system32\winhttp.dll
    2007-03-25 01:16 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
    2007-03-25 01:16 18,944 --a------ C:\WINDOWS\system32\qmgrprxy.dll
    2007-03-25 01:16 <REP> d--h----- C:\WINDOWS\$hf_mig$
    2007-03-25 01:16 <REP> d-------- C:\WINDOWS\system32\PreInstall
    2007-03-25 01:03 <REP> d-------- C:\WINDOWS\system32\SoftwareDistribution
    2007-03-25 01:02 467,224 --a------ C:\WINDOWS\system32\wuapi.dll
    2007-03-25 01:02 41,240 --a------ C:\WINDOWS\system32\wups.dll
    2007-03-25 01:02 195,352 --a------ C:\WINDOWS\system32\wuaueng1.dll
    2007-03-25 01:02 175,896 --a------ C:\WINDOWS\system32\wuauclt1.exe
    2007-03-25 01:02 173,536 --a------ C:\WINDOWS\system32\wuweb.dll
    2007-03-25 01:02 128,792 --a------ C:\WINDOWS\system32\wucltui.dll
    2007-03-25 01:02 <REP> d-------- C:\WINDOWS\SoftwareDistribution
    2007-03-25 00:44 <REP> d-------- C:\Program Files\RegCleaner
    2007-03-24 23:37 <REP> d-------- C:\Program Files\Yahoo!
    2007-03-24 23:37 <REP> d-------- C:\Program Files\CCleaner
    2007-03-24 23:01 2,316 --a------ C:\WINDOWS\mozver.dat
    2007-03-24 23:01 0 --a------ C:\WINDOWS\nsreg.dat
    2007-03-24 21:54 <REP> d-------- C:\VundoFix Backups
    2007-03-24 19:10 <REP> d-------- C:\Program Files\Ashampoo
    2007-03-24 18:47 28,112 --a------ C:\DOCUME~1\PROPRI~1\APPLIC~1\GDIPFONTCACHEV1.DAT
    2007-03-24 18:32 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AntiVir PersonalEdition Classic
    2007-03-24 18:31 <REP> d-------- C:\WINDOWS\CSC
    2007-03-24 17:41 <REP> d-------- C:\Program Files\RCrawler
    2007-03-24 16:59 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
    2007-03-24 16:57 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT
    2007-03-24 16:57 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
    2007-03-24 16:57 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
    2007-03-24 16:57 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
    2007-03-24 16:57 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
    2007-03-24 16:57 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
    2007-03-24 16:57 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
    2007-03-24 16:57 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
    2007-03-24 16:50 <REP> d-------- C:\Program Files\Lavasoft
    2007-03-24 16:49 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2007-03-24 16:22 <REP> d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\DriveCleaner Free
    2007-03-21 20:42 115,712 --a------ C:\WINDOWS\asdfc.exe
    2007-03-21 17:09 60,928 --a------ C:\WINDOWS\system32\ufqb.dll
    2007-03-07 10:53 173,056 --a------ C:\WINDOWS\system32\dsdexw.exe
    2007-03-06 22:37 173,056 --a------ C:\WINDOWS\system32\cgojvvr.exe
    2007-03-03 00:13 173,056 --a------ C:\WINDOWS\system32\vamjih.exe
    2007-02-28 22:27 10,013 --a------ C:\WINDOWS\klastj.exe
    2007-02-28 22:25 93,184 --a------ C:\WINDOWS\system32\mgxblrwb.exe
    2007-02-27 23:31 93,184 --a------ C:\WINDOWS\system32\frypz.exe
    2007-02-27 20:59 93,184 --a------ C:\WINDOWS\system32\nddyqm.exe
    2007-02-27 19:36 93,184 --a------ C:\WINDOWS\system32\nfovdch.exe
    2007-02-27 09:24 93,184 --a------ C:\WINDOWS\system32\zbvn.exe
    2007-02-27 09:16 93,184 --a------ C:\WINDOWS\system32\jkxggdh.exe
    2007-02-26 22:38 271 --a------ C:\WINDOWS\lksatj.exe
    2007-02-26 22:03 93,184 --a------ C:\WINDOWS\system32\rynx.exe
    2007-02-25 22:43 93,184 --a------ C:\WINDOWS\system32\ccizljoo.exe
    2007-02-25 22:21 93,184 --a------ C:\WINDOWS\system32\xdahha.exe
    2007-02-25 18:56 93,184 --a------ C:\WINDOWS\system32\iyydnknp.exe


    (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


    2007-03-25 11:36 -------- d-------- C:\Program Files\microsoft frontpage
    2007-03-25 11:27 54742 --a------ C:\WINDOWS\system32\perfc00c.dat
    2007-03-25 11:27 426276 --a------ C:\WINDOWS\system32\perfh00c.dat
    2007-03-25 11:23 -------- d-------- C:\Program Files\messenger
    2007-03-25 11:11 -------- d-------- C:\Program Files\movie maker
    2007-03-25 11:09 -------- d-------- C:\Program Files\windows nt
    2007-03-25 01:02 -------- d--h----- C:\Program Files\windowsupdate
    2007-03-24 18:46 -------- d--h----- C:\Program Files\Fichiers communs\uninstall information
    2007-03-24 18:01 -------- d-------- C:\Program Files\google
    2007-03-24 17:56 -------- d-------- C:\Program Files\pedevice
    2007-03-24 16:50 -------- d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\lavasoft
    2007-02-23 23:07 93184 --a------ C:\WINDOWS\system32\imzwfkky.exe
    2007-02-22 20:25 93184 --a------ C:\WINDOWS\system32\mbpu.exe
    2007-02-22 13:37 93184 --a------ C:\WINDOWS\system32\djixpef.exe
    2007-02-22 10:40 93184 --a------ C:\WINDOWS\system32\mqgzibl.exe
    2007-02-07 20:35 193281 --a------ C:\WINDOWS\system32\becida.exe
    2007-02-07 10:55 193281 --a------ C:\WINDOWS\system32\fcuevsmd.exe
    2007-02-06 22:34 193281 --a------ C:\WINDOWS\system32\ebxtfxr.exe
    2007-02-06 09:43 193281 --a------ C:\WINDOWS\system32\epjv.exe
    2007-02-05 16:47 193281 --a------ C:\WINDOWS\system32\eeuhdqfs.exe
    2007-02-02 21:48 193281 --a------ C:\WINDOWS\system32\ogvpntxn.exe
    2007-01-31 22:38 193281 --a------ C:\WINDOWS\system32\kninpbt.exe
    2007-01-31 09:54 193281 --a------ C:\WINDOWS\system32\klmlhtny.exe
    2007-01-30 22:31 -------- d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\help
    2007-01-28 22:02 -------- d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\vlc
    2007-01-28 21:45 -------- d-------- C:\Program Files\videolan
    2007-01-28 21:42 -------- d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\google


    (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
    "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
    "MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"
    "SpybotSD TeaTimer"="C:\\Program Files\\Spybot - Search & Destroy\\TeaTimer.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
    "ehTray"="C:\\WINDOWS\\ehome\\ehtray.exe"
    "Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
    "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
    "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
    "NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
    "Registry Crawler"="C:\\PROGRA~1\\RCrawler\\RCrawler.exe -TRAYONLY"
    "avgnt"="\"C:\\Program Files\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
    "Ashampoo FireWall"="\"C:\\Program Files\\Ashampoo\\Ashampoo FireWall\\FireWall.exe\" -TRAY"
    "!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
    "Installed"="1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
    "Installed"="1"
    "NoChange"="1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
    "Installed"="1"


    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{81559C35-8464-49F7-BB0E-07A383BEF910}"=""
    "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
    "Offices Monitorse"="C:\\WINDOWS\\System32\\algose32.exe"
    "Windows Service Agent"="wpdnkg.exe"
    "Internet Security Service"="msq23.exe"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
    "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
    LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
    NetworkService REG_MULTI_SZ DnsCache\0\0
    rpcss REG_MULTI_SZ RpcSs\0\0
    imgsvc REG_MULTI_SZ StiSvc\0\0
    termsvcs REG_MULTI_SZ TermService\0\0
    HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
    DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0



    ********************************************************************

    catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
    http://www.gmer.net

    scanning hidden processes ...

    scanning hidden services ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    ********************************************************************

    Completion time: 07-03-25 13:57:10
    C:\ComboFix2.txt ... 07-03-24 22:49
    a b 8 Sécurité
    25 Mars 2007 14:02:00

    Re,

    Supprime ces dossiers :
    C:\Program Files\PeDevice
    C:\qoobox

    Refais un scan Combofix.
    25 Mars 2007 14:11:31

    ok j fait ce que tu ma demmander et voila le log du combofix:

    "proprietaire" - 07-03-25 14:09:37 Service Pack 2
    ComboFix 07-03-23 - Running from: "C:\Documents and Settings\proprietaire\Bureau"

    ((((((((((((((((((((((((((((((( Files Created from 2007-02-25 to 2007-03-25 ))))))))))))))))))))))))))))))))))


    2007-03-25 12:27 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2007-03-25 11:59 <REP> d-------- C:\Program Files\AxBx
    2007-03-25 11:54 <REP> d-------- C:\Program Files\SpywareGuard
    2007-03-25 11:36 <REP> d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\Microsoft Web Folders
    2007-03-25 11:26 <REP> d-------- C:\DOCUME~1\LOCALS~1\Menu D‚marrer
    2007-03-25 11:24 <REP> d-------- C:\WINDOWS\Prefetch
    2007-03-25 11:11 <REP> d-------- C:\WINDOWS\provisioning
    2007-03-25 11:11 <REP> d-------- C:\WINDOWS\peernet
    2007-03-25 11:09 <REP> d-------- C:\WINDOWS\ServicePackFiles
    2007-03-25 11:07 <REP> d-------- C:\WINDOWS\system32\ReinstallBackups
    2007-03-25 10:55 4,569 --------- C:\WINDOWS\system32\secupd.dat
    2007-03-25 10:55 11,776 --------- C:\WINDOWS\system32\spnpinst.exe
    2007-03-25 10:31 262,144 --a------ C:\DOCUME~1\ALLUSE~1\ntuser.dat
    2007-03-25 10:20 614,912 --a------ C:\WINDOWS\system32\h323msp.dll
    2007-03-25 10:20 39,936 --a------ C:\WINDOWS\system32\mf3216.dll
    2007-03-25 10:20 332,800 --a------ C:\WINDOWS\system32\ipnathlp.dll
    2007-03-25 10:20 26,112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe
    2007-03-25 10:17 <REP> d-------- C:\WINDOWS\Downloaded Installations
    2007-03-25 10:15 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
    2007-03-25 09:34 1,097,728 --a------ C:\WINDOWS\system32\esent.dll
    2007-03-25 02:17 <REP> d-------- C:\WINDOWS\system32\bits
    2007-03-25 01:16 8,192 --------- C:\WINDOWS\system32\bitsprx2.dll
    2007-03-25 01:16 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
    2007-03-25 01:16 351,232 --a------ C:\WINDOWS\system32\winhttp.dll
    2007-03-25 01:16 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
    2007-03-25 01:16 18,944 --a------ C:\WINDOWS\system32\qmgrprxy.dll
    2007-03-25 01:16 <REP> d--h----- C:\WINDOWS\$hf_mig$
    2007-03-25 01:16 <REP> d-------- C:\WINDOWS\system32\PreInstall
    2007-03-25 01:03 <REP> d-------- C:\WINDOWS\system32\SoftwareDistribution
    2007-03-25 01:02 467,224 --a------ C:\WINDOWS\system32\wuapi.dll
    2007-03-25 01:02 41,240 --a------ C:\WINDOWS\system32\wups.dll
    2007-03-25 01:02 195,352 --a------ C:\WINDOWS\system32\wuaueng1.dll
    2007-03-25 01:02 175,896 --a------ C:\WINDOWS\system32\wuauclt1.exe
    2007-03-25 01:02 173,536 --a------ C:\WINDOWS\system32\wuweb.dll
    2007-03-25 01:02 128,792 --a------ C:\WINDOWS\system32\wucltui.dll
    2007-03-25 01:02 <REP> d-------- C:\WINDOWS\SoftwareDistribution
    2007-03-25 00:44 <REP> d-------- C:\Program Files\RegCleaner
    2007-03-24 23:37 <REP> d-------- C:\Program Files\Yahoo!
    2007-03-24 23:37 <REP> d-------- C:\Program Files\CCleaner
    2007-03-24 23:01 2,316 --a------ C:\WINDOWS\mozver.dat
    2007-03-24 23:01 0 --a------ C:\WINDOWS\nsreg.dat
    2007-03-24 21:54 <REP> d-------- C:\VundoFix Backups
    2007-03-24 19:10 <REP> d-------- C:\Program Files\Ashampoo
    2007-03-24 18:47 28,112 --a------ C:\DOCUME~1\PROPRI~1\APPLIC~1\GDIPFONTCACHEV1.DAT
    2007-03-24 18:32 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AntiVir PersonalEdition Classic
    2007-03-24 18:31 <REP> d-------- C:\WINDOWS\CSC
    2007-03-24 17:41 <REP> d-------- C:\Program Files\RCrawler
    2007-03-24 16:59 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
    2007-03-24 16:57 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT
    2007-03-24 16:57 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
    2007-03-24 16:57 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
    2007-03-24 16:57 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
    2007-03-24 16:57 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
    2007-03-24 16:57 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
    2007-03-24 16:57 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
    2007-03-24 16:57 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
    2007-03-24 16:50 <REP> d-------- C:\Program Files\Lavasoft
    2007-03-24 16:49 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2007-03-24 16:22 <REP> d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\DriveCleaner Free
    2007-03-21 20:42 115,712 --a------ C:\WINDOWS\asdfc.exe
    2007-03-21 17:09 60,928 --a------ C:\WINDOWS\system32\ufqb.dll
    2007-03-07 10:53 173,056 --a------ C:\WINDOWS\system32\dsdexw.exe
    2007-03-06 22:37 173,056 --a------ C:\WINDOWS\system32\cgojvvr.exe
    2007-03-03 00:13 173,056 --a------ C:\WINDOWS\system32\vamjih.exe
    2007-02-28 22:27 10,013 --a------ C:\WINDOWS\klastj.exe
    2007-02-28 22:25 93,184 --a------ C:\WINDOWS\system32\mgxblrwb.exe
    2007-02-27 23:31 93,184 --a------ C:\WINDOWS\system32\frypz.exe
    2007-02-27 20:59 93,184 --a------ C:\WINDOWS\system32\nddyqm.exe
    2007-02-27 19:36 93,184 --a------ C:\WINDOWS\system32\nfovdch.exe
    2007-02-27 09:24 93,184 --a------ C:\WINDOWS\system32\zbvn.exe
    2007-02-27 09:16 93,184 --a------ C:\WINDOWS\system32\jkxggdh.exe
    2007-02-26 22:38 271 --a------ C:\WINDOWS\lksatj.exe
    2007-02-26 22:03 93,184 --a------ C:\WINDOWS\system32\rynx.exe
    2007-02-25 22:43 93,184 --a------ C:\WINDOWS\system32\ccizljoo.exe
    2007-02-25 22:21 93,184 --a------ C:\WINDOWS\system32\xdahha.exe
    2007-02-25 18:56 93,184 --a------ C:\WINDOWS\system32\iyydnknp.exe


    (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


    2007-03-25 11:36 -------- d-------- C:\Program Files\microsoft frontpage
    2007-03-25 11:27 54742 --a------ C:\WINDOWS\system32\perfc00c.dat
    2007-03-25 11:27 426276 --a------ C:\WINDOWS\system32\perfh00c.dat
    2007-03-25 11:23 -------- d-------- C:\Program Files\messenger
    2007-03-25 11:11 -------- d-------- C:\Program Files\movie maker
    2007-03-25 11:09 -------- d-------- C:\Program Files\windows nt
    2007-03-25 01:02 -------- d--h----- C:\Program Files\windowsupdate
    2007-03-24 18:46 -------- d--h----- C:\Program Files\Fichiers communs\uninstall information
    2007-03-24 18:01 -------- d-------- C:\Program Files\google
    2007-03-24 16:50 -------- d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\lavasoft
    2007-02-23 23:07 93184 --a------ C:\WINDOWS\system32\imzwfkky.exe
    2007-02-22 20:25 93184 --a------ C:\WINDOWS\system32\mbpu.exe
    2007-02-22 13:37 93184 --a------ C:\WINDOWS\system32\djixpef.exe
    2007-02-22 10:40 93184 --a------ C:\WINDOWS\system32\mqgzibl.exe
    2007-02-07 20:35 193281 --a------ C:\WINDOWS\system32\becida.exe
    2007-02-07 10:55 193281 --a------ C:\WINDOWS\system32\fcuevsmd.exe
    2007-02-06 22:34 193281 --a------ C:\WINDOWS\system32\ebxtfxr.exe
    2007-02-06 09:43 193281 --a------ C:\WINDOWS\system32\epjv.exe
    2007-02-05 16:47 193281 --a------ C:\WINDOWS\system32\eeuhdqfs.exe
    2007-02-02 21:48 193281 --a------ C:\WINDOWS\system32\ogvpntxn.exe
    2007-01-31 22:38 193281 --a------ C:\WINDOWS\system32\kninpbt.exe
    2007-01-31 09:54 193281 --a------ C:\WINDOWS\system32\klmlhtny.exe
    2007-01-30 22:31 -------- d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\help
    2007-01-28 22:02 -------- d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\vlc
    2007-01-28 21:45 -------- d-------- C:\Program Files\videolan
    2007-01-28 21:42 -------- d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\google


    (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
    "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
    "MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"
    "SpybotSD TeaTimer"="C:\\Program Files\\Spybot - Search & Destroy\\TeaTimer.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
    "ehTray"="C:\\WINDOWS\\ehome\\ehtray.exe"
    "Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
    "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
    "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
    "NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
    "Registry Crawler"="C:\\PROGRA~1\\RCrawler\\RCrawler.exe -TRAYONLY"
    "avgnt"="\"C:\\Program Files\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
    "Ashampoo FireWall"="\"C:\\Program Files\\Ashampoo\\Ashampoo FireWall\\FireWall.exe\" -TRAY"
    "!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
    "Installed"="1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
    "Installed"="1"
    "NoChange"="1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
    "Installed"="1"


    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{81559C35-8464-49F7-BB0E-07A383BEF910}"=""
    "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
    "Offices Monitorse"="C:\\WINDOWS\\System32\\algose32.exe"
    "Windows Service Agent"="wpdnkg.exe"
    "Internet Security Service"="msq23.exe"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
    "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
    LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
    NetworkService REG_MULTI_SZ DnsCache\0\0
    rpcss REG_MULTI_SZ RpcSs\0\0
    imgsvc REG_MULTI_SZ StiSvc\0\0
    termsvcs REG_MULTI_SZ TermService\0\0
    HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
    DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0



    ********************************************************************

    catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
    http://www.gmer.net

    scanning hidden processes ...

    scanning hidden services ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    ********************************************************************

    Completion time: 07-03-25 14:10:23
    C:\ComboFix2.txt ... 07-03-25 13:57
    C:\ComboFix3.txt ... 07-03-24 22:49
    a b 8 Sécurité
    25 Mars 2007 14:15:30

    Avant de continuer :

    Télécharge LopResearch.zip
    Dézippe-le sur ton Bureau.
    Lance le fichier Scan.bat
    Un rapport sera généré, poste son contenu ici.
    25 Mars 2007 14:19:33

    ok voila le rapport:

    Rapport fait à 14:17:34,90 le 25/03/2007

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 782B-314D

    R‚pertoire de C:\Documents and Settings\Administrateur\Application Data

    24/03/2007 16:57 62 desktop.ini
    24/03/2007 16:57 <REP> ..
    24/03/2007 16:57 <REP> Microsoft
    24/03/2007 16:57 <REP> .
    1 fichier(s) 62 octets
    3 R‚p(s) 111536381952 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 782B-314D

    R‚pertoire de C:\Documents and Settings\All Users\Application Data

    25/03/2007 10:15 <REP> Windows Genuine Advantage
    24/03/2007 23:10 305 addr_file.html
    24/03/2007 18:32 <REP> AntiVir PersonalEdition Classic
    24/03/2007 16:59 <REP> Spybot - Search & Destroy
    28/01/2007 21:29 <REP> Google
    03/12/2006 22:40 <REP> MSN6
    29/11/2006 22:08 <REP> Adobe
    29/11/2006 15:44 62 desktop.ini
    29/11/2006 15:43 <REP> Microsoft
    29/11/2006 15:43 <REP> .
    29/11/2006 15:43 <REP> ..
    2 fichier(s) 367 octets
    9 R‚p(s) 111536377856 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 782B-314D

    R‚pertoire de C:\Documents and Settings\Default User\Application Data

    29/11/2006 15:44 62 desktop.ini
    29/11/2006 15:43 <REP> Microsoft
    29/11/2006 15:43 <REP> ..
    29/11/2006 15:43 <REP> .
    1 fichier(s) 62 octets
    3 R‚p(s) 111536377856 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 782B-314D

    R‚pertoire de C:\Documents and Settings\proprietaire\Application Data

    25/03/2007 11:36 <REP> Microsoft Web Folders
    24/03/2007 23:01 <REP> Mozilla
    24/03/2007 18:47 28112 GDIPFONTCACHEV1.DAT
    24/03/2007 16:22 <REP> DriveCleaner Free
    30/01/2007 22:31 <REP> Help
    28/01/2007 22:02 <REP> vlc
    28/01/2007 21:56 <REP> Lavasoft
    03/12/2006 22:40 <REP> MSN6
    03/12/2006 13:56 <REP> Google
    29/11/2006 23:50 <REP> AdobeUM
    29/11/2006 23:20 <REP> Ahead
    29/11/2006 22:54 <REP> NeroVision
    29/11/2006 21:50 <REP> Macromedia
    29/11/2006 21:47 <REP> Adobe
    29/11/2006 16:04 <REP> Identities
    29/11/2006 16:04 62 desktop.ini
    29/11/2006 16:04 <REP> Microsoft
    29/11/2006 16:04 <REP> .
    29/11/2006 16:04 <REP> ..
    2 fichier(s) 28174 octets
    17 R‚p(s) 111536377856 octets libres
    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 782B-314D

    R‚pertoire de C:\WINDOWS\Tasks

    29/11/2006 15:56 6 SA.DAT
    29/11/2006 15:54 65 desktop.ini
    29/11/2006 15:54 <REP> ..
    29/11/2006 15:54 <REP> .
    2 fichier(s) 71 octets
    2 R‚p(s) 111ÿ536ÿ377ÿ856 octets libres

    ******************************************
    Recherche dans Program files

    Le dossier C:\Program Files\C2Media n'existe pas

    *************** Fin du rapport ****************
    a b 8 Sécurité
    25 Mars 2007 14:56:02

    Re,

    Télécharge OTMoveIt (d'OldTimer). Sauvegarde-le sur ton Bureau.
    Sélectionne TOUS les emplacements en gras ci-dessous :

    C:\Documents and Settings\proprietaire\Application Data\DriveCleaner Free
    C:\WINDOWS\asdfc.exe
    C:\WINDOWS\system32\ufqb.dll
    C:\WINDOWS\system32\dsdexw.exe
    C:\WINDOWS\system32\cgojvvr.exe
    C:\WINDOWS\system32\vamjih.exe
    C:\WINDOWS\klastj.exe
    C:\WINDOWS\system32\mgxblrwb.exe
    C:\WINDOWS\system32\frypz.exe
    C:\WINDOWS\system32\nddyqm.exe
    C:\WINDOWS\system32\nfovdch.exe
    C:\WINDOWS\system32\zbvn.exe
    C:\WINDOWS\system32\jkxggdh.exe
    C:\WINDOWS\lksatj.exe
    C:\WINDOWS\system32\rynx.exe
    C:\WINDOWS\system32\ccizljoo.exe
    C:\WINDOWS\system32\xdahha.exe
    C:\WINDOWS\system32\iyydnknp.exe
    C:\Program Files\windows nt
    C:\Program Files\windowsupdate
    C:\WINDOWS\system32\imzwfkky.exe
    C:\WINDOWS\system32\mbpu.exe
    C:\WINDOWS\system32\djixpef.exe
    C:\WINDOWS\system32\mqgzibl.exe
    C:\WINDOWS\system32\becida.exe
    C:\WINDOWS\system32\fcuevsmd.exe
    C:\WINDOWS\system32\ebxtfxr.exe
    C:\WINDOWS\system32\epjv.exe
    C:\WINDOWS\system32\eeuhdqfs.exe
    C:\WINDOWS\system32\ogvpntxn.exe
    C:\WINDOWS\system32\kninpbt.exe
    C:\WINDOWS\system32\klmlhtny.exe


    ---> Clique-droit puis Copier

    Double-clique sur OTMoveIt.exe afin de le lancer.
    Fais un Clique-droit sur le cadre de gauche puis choisis Coller.
    Clique maintenant sur [#ff0000]MoveIt![/#f]

    ! Si un fichier ou dossier ne peut être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES !

    Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
    Le nom du rapport est la date de sa création.
    25 Mars 2007 15:22:48

    ok voila le rapport OTMoveit:

    le nom du rapport est : 03252007_151420
    date de creation 25/03/2007

    File/Folder C:\Documents and Settings\proprietaire\Application Data\DriveCleaner Free not found.
    C:\WINDOWS\asdfc.exe moved successfully.
    C:\WINDOWS\system32\ufqb.dll unregistered successfully.
    C:\WINDOWS\system32\ufqb.dll moved successfully.
    C:\WINDOWS\system32\dsdexw.exe moved successfully.
    C:\WINDOWS\system32\cgojvvr.exe moved successfully.
    C:\WINDOWS\system32\vamjih.exe moved successfully.
    C:\WINDOWS\klastj.exe moved successfully.
    C:\WINDOWS\system32\mgxblrwb.exe moved successfully.
    C:\WINDOWS\system32\frypz.exe moved successfully.
    C:\WINDOWS\system32\nddyqm.exe moved successfully.
    C:\WINDOWS\system32\nfovdch.exe moved successfully.
    C:\WINDOWS\system32\zbvn.exe moved successfully.
    C:\WINDOWS\system32\jkxggdh.exe moved successfully.
    C:\WINDOWS\lksatj.exe moved successfully.
    C:\WINDOWS\system32\rynx.exe moved successfully.
    C:\WINDOWS\system32\ccizljoo.exe moved successfully.
    C:\WINDOWS\system32\xdahha.exe moved successfully.
    C:\WINDOWS\system32\iyydnknp.exe moved successfully.
    Folder cleanup failed. C:\Program Files\windows nt\Pinball scheduled to be deleted on reboot.
    Folder cleanup failed. C:\Program Files\windows nt\Accessoires scheduled to be deleted on reboot.
    Folder cleanup failed. C:\Program Files\windows nt scheduled to be deleted on reboot.
    C:\Program Files\windowsupdate moved successfully.
    C:\WINDOWS\system32\imzwfkky.exe moved successfully.
    C:\WINDOWS\system32\mbpu.exe moved successfully.
    C:\WINDOWS\system32\djixpef.exe moved successfully.
    C:\WINDOWS\system32\mqgzibl.exe moved successfully.
    C:\WINDOWS\system32\becida.exe moved successfully.
    C:\WINDOWS\system32\fcuevsmd.exe moved successfully.
    C:\WINDOWS\system32\ebxtfxr.exe moved successfully.
    C:\WINDOWS\system32\epjv.exe moved successfully.
    C:\WINDOWS\system32\eeuhdqfs.exe moved successfully.
    C:\WINDOWS\system32\ogvpntxn.exe moved successfully.
    C:\WINDOWS\system32\kninpbt.exe moved successfully.
    C:\WINDOWS\system32\klmlhtny.exe moved successfully.

    Created on 03/25/2007 15:14:20
    a b 8 Sécurité
    25 Mars 2007 15:39:11

    Tu peux refaire un scan Combofix ?
    25 Mars 2007 15:46:16

    voilà le rapport combofix:

    "proprietaire" - 07-03-25 15:44:01 Service Pack 2
    ComboFix 07-03-23 - Running from: "C:\Documents and Settings\proprietaire\Bureau"

    ((((((((((((((((((((((((((((((( Files Created from 2007-02-25 to 2007-03-25 ))))))))))))))))))))))))))))))))))


    2007-03-25 12:27 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2007-03-25 11:59 <REP> d-------- C:\Program Files\AxBx
    2007-03-25 11:54 <REP> d-------- C:\Program Files\SpywareGuard
    2007-03-25 11:36 <REP> d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\Microsoft Web Folders
    2007-03-25 11:26 <REP> d-------- C:\DOCUME~1\LOCALS~1\Menu D‚marrer
    2007-03-25 11:24 <REP> d-------- C:\WINDOWS\Prefetch
    2007-03-25 11:11 <REP> d-------- C:\WINDOWS\provisioning
    2007-03-25 11:11 <REP> d-------- C:\WINDOWS\peernet
    2007-03-25 11:09 <REP> d-------- C:\WINDOWS\ServicePackFiles
    2007-03-25 11:07 <REP> d-------- C:\WINDOWS\system32\ReinstallBackups
    2007-03-25 10:55 4,569 --------- C:\WINDOWS\system32\secupd.dat
    2007-03-25 10:55 11,776 --------- C:\WINDOWS\system32\spnpinst.exe
    2007-03-25 10:31 262,144 --a------ C:\DOCUME~1\ALLUSE~1\ntuser.dat
    2007-03-25 10:20 614,912 --a------ C:\WINDOWS\system32\h323msp.dll
    2007-03-25 10:20 39,936 --a------ C:\WINDOWS\system32\mf3216.dll
    2007-03-25 10:20 332,800 --a------ C:\WINDOWS\system32\ipnathlp.dll
    2007-03-25 10:20 26,112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe
    2007-03-25 10:17 <REP> d-------- C:\WINDOWS\Downloaded Installations
    2007-03-25 10:15 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
    2007-03-25 09:34 1,097,728 --a------ C:\WINDOWS\system32\esent.dll
    2007-03-25 02:17 <REP> d-------- C:\WINDOWS\system32\bits
    2007-03-25 01:16 8,192 --------- C:\WINDOWS\system32\bitsprx2.dll
    2007-03-25 01:16 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
    2007-03-25 01:16 351,232 --a------ C:\WINDOWS\system32\winhttp.dll
    2007-03-25 01:16 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
    2007-03-25 01:16 18,944 --a------ C:\WINDOWS\system32\qmgrprxy.dll
    2007-03-25 01:16 <REP> d--h----- C:\WINDOWS\$hf_mig$
    2007-03-25 01:16 <REP> d-------- C:\WINDOWS\system32\PreInstall
    2007-03-25 01:03 <REP> d-------- C:\WINDOWS\system32\SoftwareDistribution
    2007-03-25 01:02 467,224 --a------ C:\WINDOWS\system32\wuapi.dll
    2007-03-25 01:02 41,240 --a------ C:\WINDOWS\system32\wups.dll
    2007-03-25 01:02 195,352 --a------ C:\WINDOWS\system32\wuaueng1.dll
    2007-03-25 01:02 175,896 --a------ C:\WINDOWS\system32\wuauclt1.exe
    2007-03-25 01:02 173,536 --a------ C:\WINDOWS\system32\wuweb.dll
    2007-03-25 01:02 128,792 --a------ C:\WINDOWS\system32\wucltui.dll
    2007-03-25 01:02 <REP> d-------- C:\WINDOWS\SoftwareDistribution
    2007-03-25 00:44 <REP> d-------- C:\Program Files\RegCleaner
    2007-03-24 23:37 <REP> d-------- C:\Program Files\Yahoo!
    2007-03-24 23:37 <REP> d-------- C:\Program Files\CCleaner
    2007-03-24 23:01 2,316 --a------ C:\WINDOWS\mozver.dat
    2007-03-24 23:01 0 --a------ C:\WINDOWS\nsreg.dat
    2007-03-24 21:54 <REP> d-------- C:\VundoFix Backups
    2007-03-24 19:10 <REP> d-------- C:\Program Files\Ashampoo
    2007-03-24 18:47 28,112 --a------ C:\DOCUME~1\PROPRI~1\APPLIC~1\GDIPFONTCACHEV1.DAT
    2007-03-24 18:32 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AntiVir PersonalEdition Classic
    2007-03-24 18:31 <REP> d-------- C:\WINDOWS\CSC
    2007-03-24 17:41 <REP> d-------- C:\Program Files\RCrawler
    2007-03-24 16:59 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
    2007-03-24 16:57 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT
    2007-03-24 16:57 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
    2007-03-24 16:57 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
    2007-03-24 16:57 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
    2007-03-24 16:57 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
    2007-03-24 16:57 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
    2007-03-24 16:57 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
    2007-03-24 16:57 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
    2007-03-24 16:50 <REP> d-------- C:\Program Files\Lavasoft
    2007-03-24 16:49 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard


    (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


    2007-03-25 15:14 -------- d-------- C:\Program Files\windows nt
    2007-03-25 11:36 -------- d-------- C:\Program Files\microsoft frontpage
    2007-03-25 11:27 54742 --a------ C:\WINDOWS\system32\perfc00c.dat
    2007-03-25 11:27 426276 --a------ C:\WINDOWS\system32\perfh00c.dat
    2007-03-25 11:23 -------- d-------- C:\Program Files\messenger
    2007-03-25 11:11 -------- d-------- C:\Program Files\movie maker
    2007-03-24 18:46 -------- d--h----- C:\Program Files\Fichiers communs\uninstall information
    2007-03-24 18:01 -------- d-------- C:\Program Files\google
    2007-03-24 16:50 -------- d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\lavasoft
    2007-01-30 22:31 -------- d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\help
    2007-01-28 22:02 -------- d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\vlc
    2007-01-28 21:45 -------- d-------- C:\Program Files\videolan
    2007-01-28 21:42 -------- d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\google


    (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
    "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
    "MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"
    "SpybotSD TeaTimer"="C:\\Program Files\\Spybot - Search & Destroy\\TeaTimer.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
    "ehTray"="C:\\WINDOWS\\ehome\\ehtray.exe"
    "Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
    "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
    "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
    "NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
    "Registry Crawler"="C:\\PROGRA~1\\RCrawler\\RCrawler.exe -TRAYONLY"
    "avgnt"="\"C:\\Program Files\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
    "Ashampoo FireWall"="\"C:\\Program Files\\Ashampoo\\Ashampoo FireWall\\FireWall.exe\" -TRAY"
    "!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
    "Installed"="1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
    "Installed"="1"
    "NoChange"="1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
    "Installed"="1"


    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{81559C35-8464-49F7-BB0E-07A383BEF910}"="SpywareGuard"
    "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
    "Offices Monitorse"="C:\\WINDOWS\\System32\\algose32.exe"
    "Windows Service Agent"="wpdnkg.exe"
    "Internet Security Service"="msq23.exe"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
    "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
    LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
    NetworkService REG_MULTI_SZ DnsCache\0\0
    rpcss REG_MULTI_SZ RpcSs\0\0
    imgsvc REG_MULTI_SZ StiSvc\0\0
    termsvcs REG_MULTI_SZ TermService\0\0
    HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
    DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0



    ********************************************************************

    catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
    http://www.gmer.net

    scanning hidden processes ...

    scanning hidden services ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    ********************************************************************

    Completion time: 07-03-25 15:45:24
    C:\ComboFix2.txt ... 07-03-25 14:10
    C:\ComboFix3.txt ... 07-03-25 13:57
    a b 8 Sécurité
    25 Mars 2007 15:54:59

    Reposte un rapport Hijackthis.
    25 Mars 2007 15:57:30

    ok le voila:

    Logfile of HijackThis v1.99.1
    Scan saved at 15:57:02, on 25/03/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\ehome\ehSched.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\ehome\ehtray.exe
    C:\WINDOWS\system32\RunDll32.exe
    C:\PROGRA~1\RCrawler\RCrawler.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\SpywareGuard\sgmain.exe
    C:\Program Files\SpywareGuard\sgbhp.exe
    C:\WINDOWS\ehome\ehmsas.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Registry Crawler] C:\PROGRA~1\RCrawler\RCrawler.exe -TRAYONLY
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    a b 8 Sécurité
    25 Mars 2007 15:58:51

    Ton pc se comporte mieux ?

  • Fais un scan en ligne Kaspersky avec Internet Explorer :
  • Clique sur
  • Clique maintenant sur J'accepte.
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.

    AIDE : Tuto sur le scan en ligne

    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
    25 Mars 2007 16:43:46

    voila le rappor kaspersky:

    KASPERSKY ON-LINE SCANNER REPORT
    Sunday, March 25, 2007 4:41:47 PM
    Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
    Kaspersky On-line Scanner version : 5.0.83.0
    Dernière mise à jour de la base antivirus Kaspersky : 25/03/2007
    Enregistrements dans la base antivirus Kaspersky : 269434
    Paramètres d'analyse
    Analyser avec la base antivirus suivante standard
    Analyser les archives vrai
    Analyser les bases de messagerie vrai
    Cible de l'analyse Poste de travail
    A:\
    C:\
    D:\
    E:\
    F:\
    G:\
    H:\
    I:\
    J:\
    Statistiques de l'analyse
    Total d'objets analysés 30206
    Nombre de virus trouvés 2
    Nombre d'objets infectés 2 / 0
    Nombre d'objets suspects 0
    Durée de l'analyse 00:27:16

    Nom de l'objet infecté Nom du virus Dernière action
    C:\Documents and Settings\All Users\Application Data\Microsoft\eHome\EPG\epg.sdf L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\proprietaire\Application Data\Mozilla\Firefox\Profiles\0c88qydh.default\cert8.db L'objet est verrouillé ignoré
    C:\Documents and Settings\proprietaire\Application Data\Mozilla\Firefox\Profiles\0c88qydh.default\formhistory.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\proprietaire\Application Data\Mozilla\Firefox\Profiles\0c88qydh.default\history.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\proprietaire\Application Data\Mozilla\Firefox\Profiles\0c88qydh.default\key3.db L'objet est verrouillé ignoré
    C:\Documents and Settings\proprietaire\Application Data\Mozilla\Firefox\Profiles\0c88qydh.default\parent.lock L'objet est verrouillé ignoré
    C:\Documents and Settings\proprietaire\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\proprietaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\proprietaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\proprietaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\0c88qydh.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
    C:\Documents and Settings\proprietaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\0c88qydh.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
    C:\Documents and Settings\proprietaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\0c88qydh.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
    C:\Documents and Settings\proprietaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\0c88qydh.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
    C:\Documents and Settings\proprietaire\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\proprietaire\Local Settings\Temp\~DF8713.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\proprietaire\Local Settings\Temp\~DF9C55.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\proprietaire\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\proprietaire\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\proprietaire\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
    C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
    C:\WINDOWS\SoftwareDistribution\EventCache\{55B7B9D1-D006-4B03-AFD4-B81E1F1FB719}.bin L'objet est verrouillé ignoré
    C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
    C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
    C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\Media Ce.evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\msq23.exe Infecté : Backdoor.Win32.Rbot.bng ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
    C:\_OTMoveIt\MovedFiles\WINDOWS\asdfc.exe Infecté : Backdoor.Win32.IRCBot.wt ignoré
    Analyse terminée.
    a b 8 Sécurité
    25 Mars 2007 16:51:27

    Relance OTMoveIt mais avec cet emplacement :
    C:\WINDOWS\system32\msq23.exe
    25 Mars 2007 16:56:00

    voila le rapport

    C:\WINDOWS\system32\msq23.exe moved successfully.

    Created on 03/25/2007 16:54:50
    a b 8 Sécurité
    25 Mars 2007 17:01:11

    Tu as toujours des problèmes ?
    25 Mars 2007 17:03:18

    non pour le moment tout fonctionne impecable je te remercier pour tous ce que ta fait pour moi franchement merci
    :-)
    25 Mars 2007 17:07:01

    juste une dernier question est ce que je peux supprimé tous les fichier log que j sur le bureau
    a b 8 Sécurité
    25 Mars 2007 17:07:13

    Bon surf :hello: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS