Se connecter / S'enregistrer
Votre question

ca bug sévère

Tags :
  • Windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
24 Février 2007 18:25:22

Salut à tous,
malgré l'aide de certain sur ce forum, je suis tj infecté.
Pouvez déchiffrer mon rapport hijackthis.
On m'a dit de supprimer des trucs dans Hijackthis et certaines lignes ont disparru après que j'ai scanné et fait check fixed, mais d'autres persistent et refusent de disparraitre, elles sont tj là quand je fais un nouveau scan. Il s'agit de :
-O2 - BHO: (no name) - {50E2ACEC-95EA-4735-AFCC-4B96A0328F39} - C:\WINDOWS\System32\ddayw.dll
-O20 - Winlogon Notify: ddayw - C:\WINDOWS\System32\ddayw.dll
-O20 - Winlogon Notify: wsmsag - C:\WINDOWS\SYSTEM32\wsmsag.dll
-O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe" /service (file missing )

Voici le rapport Hijacthis complet:
Logfile of HijackThis v1.99.1
Scan saved at 13:10:39, on 24/02/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\urdvxc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\instdrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\tcpipmon.exe
C:\WINDOWS\System32\tcpipmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Documents and Settings\alex\Bureau\Scanner.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: (no name) - {9FC4D356-1F25-47F1-A344-8D86074FC5B1} - C:\WINDOWS\System32\ddayw.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/re [...] oscan8.cab
O20 - Winlogon Notify: ddayw - C:\WINDOWS\System32\ddayw.dll
O20 - Winlogon Notify: wsmsag - C:\WINDOWS\SYSTEM32\wsmsag.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe (file missing)
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe" /service (file missing)
O23 - Service: Windows Instrument Driver (WMID) - Unknown owner - C:\WINDOWS\instdrv.exe

Merci d'avance car je connait l'effort que font les experts pour aider les novices sur ce forum.

Autres pages sur : bug severe

24 Février 2007 19:55:36

Salut ...

On va commencer comme ceci :

Avertissement : Tu n’auras pas accès à Internet pendant une partie de la procédure. Enregistre cette page pour pouvoir la consulter hors-connexion : Fichier > Enregistrer sous ...
Dans "Type", choisis "Page Web, complète" et donne-lui un nom.

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

  • Double-clique VundoFix.exe afin de le lancer.
  • Clique sur le bouton "Scan for Vundo".
  • Lorsque le scan est complété, clique sur le bouton "Remove Vundo".
  • Une invite te demandera si tu veux supprimer les fichiers, clique "YES".
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
  • Tu verras ensuite une invite qui t'annonce que ton PC va redémarrer, clique "OK".
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse.

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage. Il faut simplement suivre les instructions ci-dessus, à partir de "clique sur le bouton "Scan for Vundo".

    Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

    Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

    Suis les instructions ci-dessous :

  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

    Poste les 2 rapports et un nouveau log Hijackthis ...
    24 Février 2007 22:06:24

    Salut Mykerinos et merci à toi pour le temps que tu m'accorde.
    Merci aussi pour le détails des explications ce qui rend la procédure évidente.
    Voilà donc les trois rapports.

    Log Hijackthis:
    Logfile of HijackThis v1.99.1
    Scan saved at 21:59:38, on 24/02/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\instdrv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\notepad.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Winamp\Winampa.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Java\jre1.6.0\bin\jusched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\System32\tcpipmon.exe
    C:\WINDOWS\System32\tcpipmon.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\SuperCopier\SuperCopier.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Documents and Settings\alex\Bureau\Scanner.exe.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
    O2 - BHO: (no name) - {A8EE1B00-29E8-46E8-B17B-5F944EE23B24} - C:\WINDOWS\System32\ddayw.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
    O4 - HKCU\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll (file missing)
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll (file missing)
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8....
    O20 - Winlogon Notify: ddayw - C:\WINDOWS\System32\ddayw.dll
    O20 - Winlogon Notify: wsmsag - wsmsag.dll (file missing)
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: Windows Instrument Driver (WMID) - Unknown owner - C:\WINDOWS\instdrv.exe



    Rapport de Vundofix:
    VundoFix V6.1.4

    Checking Java version...

    Scan started at 22:01:05 24/02/2007

    Listing files found while scanning....

    No infected files were found.


    Beginning removal...




    Et rapport de SDFix:
    SDFix: Version 1.68

    Run by alex - 24/02/2007 @ 21:55:12,96

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\Documents and Settings\alex\Bureau\SDFix\SDFix

    Safe Mode:
    Checking Services:

    Name:
    msupdate
    MSWindows

    Path:
    c:\windows\system32\msvcrtd.exe
    "C:\WINDOWS\System32\urdvxc.exe" /service

    msupdate Deleted
    MSWindows Deleted

    Restoring Windows Registry Entries
    Restoring Default Hosts File


    Rebooting...

    Normal Mode:
    Checking Files:

    Below files will be copied to Backups folder then removed:

    C:\WINDOWS\system32\.exe - Deleted
    C:\WINDOWS\system32\.exe - Deleted
    C:\WINDOWS\system32\algose32.exe - Deleted
    C:\WINDOWS\system32\o - Deleted
    C:\WINDOWS\system32\ssms.exe - Deleted
    C:\WINDOWS\system32\urdvxc.exe - Deleted



    ADS Check:

    C:\WINDOWS\system32
    No streams found.


    Final Check:

    Remaining Services:
    ------------------



    Remaining Files:
    ---------------

    Backups Folder: - C:\DOCUME~1\alex\Bureau\SDFix\SDFix\backups\backups.zip


    Checking For Files with Hidden Attributes :

    C:\WINDOWS\system32\ssqqnmm.dll
    C:\WINDOWS\system32\hgggdbx.dll
    C:\WINDOWS\system32\tuvsttt.dll
    C:\WINDOWS\instdrv.exe
    C:\WINDOWS\system32\fwryjvf.exe
    C:\WINDOWS\system32\xlnllyln.exe
    C:\WINDOWS\system32\bjsjoc.exe
    C:\WINDOWS\system32\ttfmoymp.exe
    C:\WINDOWS\system32\ucsa.exe
    C:\WINDOWS\system32\nownh.exe
    C:\WINDOWS\system32\tqfzand.exe
    C:\WINDOWS\system32\nqstv.tmp

    Add/Remove Programs List:

    ATI - Utilitaire de d‚sinstallation du logiciel
    ATI Display Driver
    Audio Record Wizard v3.8
    AVG Anti-Spyware 7.5
    BSPlayer
    CCleaner (remove only)
    Celtx (0.9.8)
    eMule
    HijackThis 1.99.1
    Pro Evolution Soccer 5
    K!TV
    Kaspersky Anti-Virus Personal
    Mozilla Firefox (1.5.0.9)
    Satsuki Decoder Pack
    Adobe Flash Player 9 ActiveX
    Skype 2.5
    SuperCopier
    Winamp (Remove Only)
    Lecteur Windows Mediaÿ10
    Archiveur WinRAR
    Yahoo! Toolbar avec bloqueur de fenˆtres pop-up
    Yahoo! Toolbar
    Yahoo! Install Manager
    Adobe Premiere Pro
    ATI Control Panel
    Java(TM) SE Runtime Environment 6
    QuickTime
    VSAdd-in for Internet Explorer
    Pro Evolution Soccer 5
    Microsoft Office Professional Edition 2003
    Adobe Reader 7.0.9 - Fran‡ais
    jetAudio

    Finished


    Je sent déjà mieux mon pc, mais il y a tj une présence suspecte....
    Contenus similaires
    25 Février 2007 02:57:20

    Il y a un programme qui me semble suspect. Tu sais à quoi sert VSAdd-in for Internet Explorer. En faisant une recherche sur Google à ce qui parait c'est un programme malicieux. En passant il existe une version plus récente de Firefox et de Adobe Reader.

    Firefox 2.0.0.2.

    http://www.infos-du-net.com/telecharger/2-0-Firefox-Moz...

    Adobe Reader 8.0.

    http://www.infos-du-net.com/telecharger/Adobe-Reader,03...

    Édit : Aussi j'ai vu que tu n'avais pas de pare-feu. Dans les gratuits prend Kerio ou ZoneAlarm. Personnellement je préfère Kerio comparé à ZoneAlarm.

    http://www.infos-du-net.com/telecharger/Firewall-Kerio-...

    http://www.infos-du-net.com/telecharger/ZoneAlarm,0301-...

    Dans les payants je dirais celui de Kaspersky Internet Security 6.

    http://www.kaspersky.com/fr/homeusers?chapter=184033894

    N'installe pas plus que un pare-feu pour éviter les conflits.

    Si je me trompe pas tu as la version 5 de Kaspersky antivirus. Il serais temps de passer à la version 6 dont Kaspersky Internet Security 6.

    Aussi comme logiciel de suppression de spyware prend Spybot et Ad-aware. Les deux sont complémentaire.

    http://www.infos-du-net.com/telecharger/Destroy-Search-...

    http://www.infos-du-net.com/telecharger/Ad-aware-Person...
    25 Février 2007 06:25:39

    Re ...

    Télécharge SmitFraudFix (de S!Ri) et dézippe la totalité de l'archive SmitFraudFix.zip sur ton bureau ...

    Un tutoriel est disponible sur ce lien.

    Note importante : process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

    Utilisation de SmitFraudFix > Option 1 = Recherche :

  • Double-clique sur smitfraudfix.cmd
  • Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.

    Poste le rapport ici.

    Repasse aussi Vundofix et poste le rapport ...
    26 Février 2007 11:04:06

    Dsl je n'ai pas pu répondre avant en tout cas merci encore pour le coup de main
    Voila le rapport SmitFraudFix
    SmitFraudFix v2.144

    Rapport fait à 10:59:22,18, 26/02/2007
    Executé à partir de C:\Documents and Settings\alex\Bureau\SmitfraudFix\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est FAT32
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» hosts


    »»»»»»»»»»»»»»»»»»»»»»»» C:\


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\alex


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\alex\Application Data


    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\alex\Favoris


    »»»»»»»»»»»»»»»»»»»»»»»» Bureau


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll


    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""


    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""


    »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    26 Février 2007 15:43:09

    Repasse Vundofix, mais la dernière version s'il te plaît ...
    26 Février 2007 16:36:05

    Excuse, j'avais oublié. En effet cette version m'a trouvé des trucs contrairement à l'ancienne. Dis moi si c'est bien la dernière version.
    C:\WINDOWS\System32\ddayw.dll
    C:\WINDOWS\system32\iygrfcfu.dll
    C:\WINDOWS\system32\ufcfrgyi.ini
    C:\WINDOWS\System32\wyadd.ini

    Beginning removal...

    Attempting to delete C:\WINDOWS\System32\ddayw.dll
    C:\WINDOWS\System32\ddayw.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\iygrfcfu.dll
    C:\WINDOWS\system32\iygrfcfu.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\ufcfrgyi.ini
    C:\WINDOWS\system32\ufcfrgyi.ini Has been deleted!

    Attempting to delete C:\WINDOWS\System32\wyadd.ini
    C:\WINDOWS\System32\wyadd.ini Has been deleted!

    Performing Repairs to the registry.
    Done!
    26 Février 2007 19:49:46

    J'ai installé kerio et je fais un scan avec spybot et ad-aware
    26 Février 2007 19:57:08

    Reposte aussi un nouveau log hijackthis ...
    26 Février 2007 20:47:56

    Logfile of HijackThis v1.99.1
    Scan saved at 20:47:15, on 26/02/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Winamp\Winampa.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Java\jre1.6.0\bin\jusched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\SuperCopier\SuperCopier.exe
    C:\WINDOWS\installdmr.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\alex\Bureau\Scanner.exe.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
    O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
    O4 - HKCU\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll (file missing)
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll (file missing)
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8....
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
    O20 - Winlogon Notify: wsmsag - wsmsag.dll (file missing)
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: JPEG Image Optimisation Installation Driver (RegEditor) - Unknown owner - C:\WINDOWS\installdmr.exe

    26 Février 2007 20:51:28

    Re ...

    On est proche du but ...

    Re ...

    Avertissement

    Tu n'auras pas accès à Internet pendant une partie de la procédure. Enregistre cette page pour pouvoir la consulter hors-connexion : Fichier > Enregistrer sous ...
    Dans "Type", choisis "Page Web, complète" et donne-lui un nom.

    Télécharge AVG antispyware 7.5 (version d'évaluation)

  • Lance AVG et clique sur "Mise à jour" dans la barre d'outils.
  • Sous "Mise à jour manuelle" clique sur "Commencer la mise à jour".
  • Une fois la mise à jour terminée, ferme AVG. Ne le lance pas tout de suite.

    Télécharge et installe CCleaner Basic.

  • Tutoriel par Jesses.

    Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur.
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option pour exécuter Windows en mode sans échec, puis appuie sur "[Entrée]".
  • Choisis ton compte.
  • Une autre manière en images.

    Lance CCleaner et fais le nettoyage comme sur le tutoriel ...

    Relance AVG Antispyware 7.5

  • Clique sur "Analyse" dans la barre d'outils puis sur "Paramètres".
  • Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine".
  • Reclique sur "Analyse" puis sur "Analyse complète du système". Le scan peut durer, sois patient.
  • AVG affichera une liste des fichiers détectés, sur la gauche.
  • Si un fichier infecté est détecté en fin d'analyse, clique sur le bouton "Appliquer toutes les actions".
  • AVG affichera "Toutes les actions ont été appliquées", à droite.
  • Clique sur "Enregistrer le rapport", puis "Enregistrer le rapport sous". Ceci génère un rapport en fichier texte.
  • Sauvegarde ce rapport dans un endroit sûr (sur ton Bureau, par exemple).

    Redémarre en mode normal.

    Poste une réponse dans le même sujet.

    Dans cette réponse, j'aimerais le rapport AVG Antispyware.

    27 Février 2007 00:43:58

    Re...
    Ok j'ai fait ce que tu m'as dit.
    Il y a encore des bêbêtes mais bon je commence à être habitué.
    Voila le rapport AVG Antispyware:
    ---------------------------------------------------------
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 00:20:17 27/02/2007

    + Résultat de l'analyse:



    C:\WINDOWS\system32\hgggdbx.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\ssqqnmm.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\tuvsttt.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    D:\System Volume Information\_restore{93D7E906-2502-46B0-A3E4-78C2CBD79395}\RP388\A0171133.EXE -> Downloader.Delf.br : Nettoyé et sauvegardé (mise en quarantaine).
    D:\RECYCLER\NPROTECT\00000284.ZIP/Panda Titanium Antivirus 2004 v3.00.00_crack/Panda.AntiVirus.Titanium.2004.v3.0_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Nettoyé et sauvegardé (mise en quarantaine).
    D:\System Volume Information\_restore{93D7E906-2502-46B0-A3E4-78C2CBD79395}\RP365\A0166524.EXE -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Nettoyé et sauvegardé (mise en quarantaine).
    D:\System Volume Information\_restore{93D7E906-2502-46B0-A3E4-78C2CBD79395}\RP365\A0166529.EXE -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Nettoyé et sauvegardé (mise en quarantaine).
    D:\System Volume Information\_restore{93D7E906-2502-46B0-A3E4-78C2CBD79395}\RP388\A0170766.EXE -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Nettoyé et sauvegardé (mise en quarantaine).
    D:\System Volume Information\_restore{93D7E906-2502-46B0-A3E4-78C2CBD79395}\RP388\A0170771.EXE -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Nettoyé et sauvegardé (mise en quarantaine).
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts -> Proxy.Small : Nettoyé et sauvegardé (mise en quarantaine).
    D:\System Volume Information\_restore{93D7E906-2502-46B0-A3E4-78C2CBD79395}\RP388\A0172648.EXE -> Trojan.Small.edz : Nettoyé et sauvegardé (mise en quarantaine).
    D:\System Volume Information\_restore{A8B3F92D-149C-4335-925A-89F0ED436A4A}\RP2\A0002082.EXE -> Trojan.Small.edz : Nettoyé et sauvegardé (mise en quarantaine).
    D:\Utilitaires\Windows_XP_MEDIA_CENTER_EDITION-HOME-PRO-CORP_FR_SP1_4en1_par_YooY_[found_via_www.FileDonkey.com]\DATA\DOWNLOAD\XPKEY.EXE -> Trojan.Small.edz : Nettoyé et sauvegardé (mise en quarantaine).
    E:\RECYCLER\S-1-5-21-682003330-1715567821-725345543-1003\De2\DOWNLOAD\XPKEY.EXE -> Trojan.Small.edz : Nettoyé et sauvegardé (mise en quarantaine).
    E:\System Volume Information\_restore{93D7E906-2502-46B0-A3E4-78C2CBD79395}\RP388\A0174815.EXE -> Trojan.Small.edz : Nettoyé et sauvegardé (mise en quarantaine).
    E:\System Volume Information\_restore{A8B3F92D-149C-4335-925A-89F0ED436A4A}\RP2\A0003176.EXE -> Trojan.Small.edz : Nettoyé et sauvegardé (mise en quarantaine).


    Fin du rapport




    Je te met le log hijackthis au cas ou:
    Logfile of HijackThis v1.99.1
    Scan saved at 00:39:59, on 27/02/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\installdmr.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Winamp\Winampa.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Java\jre1.6.0\bin\jusched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\SuperCopier\SuperCopier.exe
    C:\Program Files\Fichiers communs\{00CC3043-0A26-1036-0820-030309180021}\Update.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Documents and Settings\alex\Bureau\Scanner.exe.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: (no name) - {1492E46E-D5D8-4BA6-BF1C-78967C67AF22} - C:\WINDOWS\System32\iiffccc.dll
    O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - C:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{30CC3~1\Bar888.dll
    O2 - BHO: (no name) - {D0495DCC-E4FD-4D7F-B224-B331B9D92D44} - C:\WINDOWS\System32\vtutu.dll (file missing)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
    O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{30CC3~1\Bar888.dll
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8....
    O20 - Winlogon Notify: iiffccc - C:\WINDOWS\SYSTEM32\iiffccc.dll
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)
    O20 - Winlogon Notify: wsmsag - wsmsag.dll (file missing)
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Client IP-IPX - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000297 (file missing)
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: JPEG Image Optimisation Installation Driver (RegEditor) - Unknown owner - C:\WINDOWS\installdmr.exe

    Et celui de vundofix qui a encore fait des trouvailles :
    C:\WINDOWS\System32\ddayw.dll
    C:\WINDOWS\system32\iygrfcfu.dll
    C:\WINDOWS\system32\ufcfrgyi.ini
    C:\WINDOWS\System32\wyadd.ini

    Beginning removal...

    Attempting to delete C:\WINDOWS\System32\ddayw.dll
    C:\WINDOWS\System32\ddayw.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\iygrfcfu.dll
    C:\WINDOWS\system32\iygrfcfu.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\ufcfrgyi.ini
    C:\WINDOWS\system32\ufcfrgyi.ini Has been deleted!

    Attempting to delete C:\WINDOWS\System32\wyadd.ini
    C:\WINDOWS\System32\wyadd.ini Has been deleted!

    Performing Repairs to the registry.
    Done!

    VundoFix V6.3.9

    Checking Java version...

    Scan started at 00:29:36 27/02/2007

    Listing files found while scanning....

    C:\Documents and settings\alex\Application Data\SearchToolbarCorp\Toolbar Vision\PageHistory.txt
    C:\Documents and settings\alex\Application Data\SearchToolbarCorp\Toolbar Vision\WebHistory.txt
    C:\WINDOWS\system32\eiwclaht.exe
    C:\WINDOWS\System32\ututv.bak1
    C:\WINDOWS\System32\ututv.ini
    C:\WINDOWS\System32\vtutu.dll

    Beginning removal...

    Attempting to delete C:\Documents and settings\alex\Application Data\SearchToolbarCorp\Toolbar Vision\PageHistory.txt
    C:\Documents and settings\alex\Application Data\SearchToolbarCorp\Toolbar Vision\PageHistory.txt Has been deleted!

    Attempting to delete C:\Documents and settings\alex\Application Data\SearchToolbarCorp\Toolbar Vision\WebHistory.txt
    C:\Documents and settings\alex\Application Data\SearchToolbarCorp\Toolbar Vision\WebHistory.txt Has been deleted!

    Attempting to delete C:\WINDOWS\system32\eiwclaht.exe
    C:\WINDOWS\system32\eiwclaht.exe Has been deleted!

    Attempting to delete C:\WINDOWS\System32\ututv.bak1
    C:\WINDOWS\System32\ututv.bak1 Has been deleted!

    Attempting to delete C:\WINDOWS\System32\ututv.ini
    C:\WINDOWS\System32\ututv.ini Has been deleted!

    Attempting to delete C:\WINDOWS\System32\vtutu.dll
    C:\WINDOWS\System32\vtutu.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete C:\WINDOWS\System32\vtutu.dll
    C:\WINDOWS\System32\vtutu.dll Has been deleted!

    Performing Repairs to the registry.
    Done!

    27 Février 2007 20:33:15

    Repasse encore une fois Vundofix et reposte un log HJT ...

    Il reste une trace de Vundo ...

    J'espère que ce sera la dernière ...

    Ensuite on continue ...
    27 Février 2007 21:16:22

    PAtience et longueur de temps...
    En tout cas merci pour ton temps.

    voila le rapport vundofix, j'ai du le faire deux fois car l'ordi a bugger a la fin du 1er scan, malheuresement j'ai que le rapport du 2eme scan:
    VundoFix V6.3.9

    Checking Java version...

    Scan started at 21:07:28 27/02/2007

    Listing files found while scanning....

    C:\Program Files\VSAdd-in\VSAdd-in.dll

    Beginning removal...

    Performing Repairs to the registry.
    Done!


    et voila un log hijackthis pour la route:
    Logfile of HijackThis v1.99.1
    Scan saved at 21:14:06, on 27/02/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\System32\svchosts.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\installdmr.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\wdfmgr.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Winamp\Winampa.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Java\jre1.6.0\bin\jusched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\SuperCopier\SuperCopier.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\alex\Bureau\Scanner.exe.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: (no name) - {1492E46E-D5D8-4BA6-BF1C-78967C67AF22} - C:\WINDOWS\System32\iiffccc.dll
    O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - C:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{30CC3~1\Bar888.dll
    O2 - BHO: (no name) - {DB37BADC-4F86-40B7-BFA2-EAAB45DA6005} - C:\WINDOWS\System32\vtutu.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
    O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{30CC3~1\Bar888.dll
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
    O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\qenktmcb.dll",setvm
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8....
    O20 - Winlogon Notify: iiffccc - C:\WINDOWS\SYSTEM32\iiffccc.dll
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)
    O20 - Winlogon Notify: vtutu - C:\WINDOWS\System32\vtutu.dll
    O20 - Winlogon Notify: wsmsag - wsmsag.dll (file missing)
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Client IP-IPX - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000297 (file missing)
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: JPEG Image Optimisation Installation Driver (RegEditor) - Unknown owner - C:\WINDOWS\installdmr.exe

    27 Février 2007 23:19:40

    Re ...

    Avertissement

    Tu n'auras pas accès à Internet pendant une partie de la procédure. Enregistre cette page pour pouvoir la consulter hors-connexion : Fichier > Enregistrer sous ...
    Dans "Type", choisis "Page Web, complète" et donne-lui un nom.

    Redémarre ton ordinateur en mode sans échec.

    Ouvre HijackThis et clique sur "Do a system scan only" et coche les lignes suivantes (si présentes) :

    R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: (no name) - {1492E46E-D5D8-4BA6-BF1C-78967C67AF22} - C:\WINDOWS\System32\iiffccc.dll
    O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - C:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
    O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{30CC3~1\Bar888.dll
    O2 - BHO: (no name) - {DB37BADC-4F86-40B7-BFA2-EAAB45DA6005} - C:\WINDOWS\System32\vtutu.dll
    O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
    O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{30CC3~1\Bar888.dll
    O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\qenktmcb.dll",setvm
    O20 - Winlogon Notify: iiffccc - C:\WINDOWS\SYSTEM32\iiffccc.dll
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)
    O20 - Winlogon Notify: vtutu - C:\WINDOWS\System32\vtutu.dll
    O20 - Winlogon Notify: wsmsag - wsmsag.dll (file missing)
    O23 - Service: Client IP-IPX - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000297 (file missing)


    Ferme toutes les fenêtres et quitte toutes les applications en cours puis clique sur "Fix checked"

    Affiche tous les fichiers :

  • Ouvre le Poste de travail > Outils > Options des dossiers > Affichage.
  • Coche la case "Afficher les fichiers et dossiers cachés".
  • Décoche la case "Masquer les extensions des fichiers dont le type est connu".

    Supprime les fichiers/dossiers suivants (en gras) par l'Explorateur Windows (si présents) :

    C:\WINDOWS\System32\iiffccc.dll <- le fichier
    C:\WINDOWS\System32\vtutu.dll <- le fichier
    C:\Program Files\Fichiers communs\{30CC3~1 <- le dossier commençant par 30CC3
    C:\WINDOWS\System32\svchosts.exe <- le fichier (avec un S à la fin, pas un autre)

    Redémarre en mode normal.

    Poste une réponse dans le même sujet.

    Dans cette réponse, j'aimerais un nouveau log Hijackthis.

    28 Février 2007 11:52:33

    Voila c'est fait.
    Je n'ai pas trouvé les fichiers
    C:\WINDOWS\System32\iiffccc.dll
    C:\WINDOWS\System32\vtutu.dll
    Ni avec l'explorateur, ni manuellement.

    Avec Hijackthis, certaines lignes refusent de disparaitres, les...
    Voilà le rapport.
    Logfile of HijackThis v1.99.1
    Scan saved at 11:48:39, on 28/02/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\installdmr.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Winamp\Winampa.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Java\jre1.6.0\bin\jusched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\SuperCopier\SuperCopier.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Documents and Settings\alex\Bureau\Scanner.exe.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: (no name) - {1492E46E-D5D8-4BA6-BF1C-78967C67AF22} - C:\WINDOWS\system32\iiffccc.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {BFC8B369-7F17-4922-9ABE-539403017DA4} - C:\WINDOWS\System32\vtutu.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8....
    O20 - Winlogon Notify: iiffccc - C:\WINDOWS\SYSTEM32\iiffccc.dll
    O20 - Winlogon Notify: vtutu - C:\WINDOWS\System32\vtutu.dll
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: JPEG Image Optimisation Installation Driver (RegEditor) - Unknown owner - C:\WINDOWS\installdmr.exe

    A plus
    28 Février 2007 12:31:33

    Télécharge VirtumondoBegone sur le bureau.

  • Double-clique sur VirtumundoBeGone.exe > Continue > Start > Oui ...
  • A la fin du scan, si Vundo est présent, le PC redémarre ...
  • Si tu as un écran bleu et un message : Erreur fatale ... C'est normal.
  • Poste le rapport VBG.txt qui est sur le bureau et un nouveau hijackthis.
    28 Février 2007 14:04:07

    Voila, le pc a rebooté effectivement avec ecran bleu
    rapport virtumondobegone:
    [02/28/2007, 13:56:30] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\alex\Bureau\VirtumundoBeGone.exe" )
    [02/28/2007, 13:56:30] - Detected System Information:
    [02/28/2007, 13:56:30] - Windows Version: 5.1.2600, Service Pack 1
    [02/28/2007, 13:56:30] - Current Username: alex (Admin)
    [02/28/2007, 13:56:30] - Windows is in NORMAL mode.
    [02/28/2007, 13:56:30] - Searching for Browser Helper Objects:
    [02/28/2007, 13:56:30] - BHO 1: {1492E46E-D5D8-4BA6-BF1C-78967C67AF22} ()
    [02/28/2007, 13:56:30] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [02/28/2007, 13:56:30] - Checking for HKLM\...\Winlogon\Notify\iiffccc
    [02/28/2007, 13:56:30] - Found: HKLM\...\Winlogon\Notify\iiffccc - This is probably Virtumundo.
    [02/28/2007, 13:56:30] - Assigning {1492E46E-D5D8-4BA6-BF1C-78967C67AF22} MSEvents Object
    [02/28/2007, 13:56:30] - BHO list has been changed! Starting over...
    [02/28/2007, 13:56:30] - BHO 1: {1492E46E-D5D8-4BA6-BF1C-78967C67AF22} (MSEvents Object)
    [02/28/2007, 13:56:30] - ALERT: Found MSEvents Object!
    [02/28/2007, 13:56:31] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
    [02/28/2007, 13:56:31] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [02/28/2007, 13:56:31] - Checking for HKLM\...\Winlogon\Notify\SDHelper
    [02/28/2007, 13:56:31] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
    [02/28/2007, 13:56:31] - BHO 3: {BFC8B369-7F17-4922-9ABE-539403017DA4} ()
    [02/28/2007, 13:56:31] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [02/28/2007, 13:56:31] - Checking for HKLM\...\Winlogon\Notify\vtutu
    [02/28/2007, 13:56:31] - Found: HKLM\...\Winlogon\Notify\vtutu - This is probably Virtumundo.
    [02/28/2007, 13:56:31] - Assigning {BFC8B369-7F17-4922-9ABE-539403017DA4} MSEvents Object
    [02/28/2007, 13:56:31] - BHO list has been changed! Starting over...
    [02/28/2007, 13:56:31] - BHO 1: {1492E46E-D5D8-4BA6-BF1C-78967C67AF22} (MSEvents Object)
    [02/28/2007, 13:56:31] - ALERT: Found MSEvents Object!
    [02/28/2007, 13:56:31] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
    [02/28/2007, 13:56:31] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [02/28/2007, 13:56:31] - Checking for HKLM\...\Winlogon\Notify\SDHelper
    [02/28/2007, 13:56:31] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
    [02/28/2007, 13:56:31] - BHO 3: {BFC8B369-7F17-4922-9ABE-539403017DA4} (MSEvents Object)
    [02/28/2007, 13:56:31] - ALERT: Found MSEvents Object!
    [02/28/2007, 13:56:31] - Finished Searching Browser Helper Objects
    [02/28/2007, 13:56:31] - *** Detected MSEvents Object
    [02/28/2007, 13:56:31] - Trying to remove MSEvents Object...
    [02/28/2007, 13:56:32] - Terminating Process: IEXPLORE.EXE
    [02/28/2007, 13:56:32] - Terminating Process: RUNDLL32.EXE
    [02/28/2007, 13:56:32] - Disabling Automatic Shell Restart
    [02/28/2007, 13:56:32] - Terminating Process: EXPLORER.EXE
    [02/28/2007, 13:56:32] - Suspending the NT Session Manager System Service
    [02/28/2007, 13:56:32] - Terminating Windows NT Logon/Logoff Manager
    [02/28/2007, 13:56:33] - Re-enabling Automatic Shell Restart
    [02/28/2007, 13:56:33] - File to disable: C:\WINDOWS\system32\iiffccc.dll
    [02/28/2007, 13:56:33] - Renaming C:\WINDOWS\system32\iiffccc.dll -> C:\WINDOWS\system32\iiffccc.dll.vir
    [02/28/2007, 13:56:33] - File successfully renamed!
    [02/28/2007, 13:56:33] - Removing HKLM\...\Browser Helper Objects\{1492E46E-D5D8-4BA6-BF1C-78967C67AF22}
    [02/28/2007, 13:56:33] - Removing HKCR\CLSID\{1492E46E-D5D8-4BA6-BF1C-78967C67AF22}
    [02/28/2007, 13:56:33] - Adding Kill Bit for ActiveX for GUID: {1492E46E-D5D8-4BA6-BF1C-78967C67AF22}
    [02/28/2007, 13:56:33] - Deleting ATLEvents/MSEvents Registry entries
    [02/28/2007, 13:56:33] - Removing HKLM\...\Winlogon\Notify\iiffccc
    [02/28/2007, 13:56:33] - Searching for Browser Helper Objects:
    [02/28/2007, 13:56:33] - BHO 1: {53707962-6F74-2D53-2644-206D7942484F} ()
    [02/28/2007, 13:56:33] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [02/28/2007, 13:56:33] - Checking for HKLM\...\Winlogon\Notify\SDHelper
    [02/28/2007, 13:56:33] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
    [02/28/2007, 13:56:33] - BHO 2: {BFC8B369-7F17-4922-9ABE-539403017DA4} (MSEvents Object)
    [02/28/2007, 13:56:33] - ALERT: Found MSEvents Object!
    [02/28/2007, 13:56:33] - Finished Searching Browser Helper Objects
    [02/28/2007, 13:56:33] - *** Detected MSEvents Object
    [02/28/2007, 13:56:33] - Trying to remove MSEvents Object...
    [02/28/2007, 13:56:34] - Terminating Process: IEXPLORE.EXE
    [02/28/2007, 13:56:34] - Terminating Process: RUNDLL32.EXE
    [02/28/2007, 13:56:34] - Disabling Automatic Shell Restart
    [02/28/2007, 13:56:34] - Terminating Process: EXPLORER.EXE
    [02/28/2007, 13:56:34] - Suspending the NT Session Manager System Service
    [02/28/2007, 13:56:35] - Terminating Windows NT Logon/Logoff Manager
    [02/28/2007, 13:56:35] - Re-enabling Automatic Shell Restart
    [02/28/2007, 13:56:35] - File to disable: C:\WINDOWS\System32\vtutu.dll
    [02/28/2007, 13:56:35] - Renaming C:\WINDOWS\System32\vtutu.dll -> C:\WINDOWS\System32\vtutu.dll.vir
    [02/28/2007, 13:56:35] - File successfully renamed!
    [02/28/2007, 13:56:35] - Removing HKLM\...\Browser Helper Objects\{BFC8B369-7F17-4922-9ABE-539403017DA4}
    [02/28/2007, 13:56:35] - Removing HKCR\CLSID\{BFC8B369-7F17-4922-9ABE-539403017DA4}
    [02/28/2007, 13:56:35] - Adding Kill Bit for ActiveX for GUID: {BFC8B369-7F17-4922-9ABE-539403017DA4}
    [02/28/2007, 13:56:35] - Deleting ATLEvents/MSEvents Registry entries
    [02/28/2007, 13:56:35] - Removing HKLM\...\Winlogon\Notify\vtutu
    [02/28/2007, 13:56:35] - Searching for Browser Helper Objects:
    [02/28/2007, 13:56:35] - BHO 1: {53707962-6F74-2D53-2644-206D7942484F} ()
    [02/28/2007, 13:56:35] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [02/28/2007, 13:56:35] - Checking for HKLM\...\Winlogon\Notify\SDHelper
    [02/28/2007, 13:56:35] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
    [02/28/2007, 13:56:35] - Finished Searching Browser Helper Objects
    [02/28/2007, 13:56:35] - Finishing up...
    [02/28/2007, 13:56:35] - A restart is needed.
    [02/28/2007, 13:56:50] - Attempting to Restart via STOP error (Blue Screen!)



    ... et hijakthis:
    Logfile of HijackThis v1.99.1
    Scan saved at 14:00:03, on 28/02/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\installdmr.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Winamp\Winampa.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Java\jre1.6.0\bin\jusched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\SuperCopier\SuperCopier.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Documents and Settings\alex\Bureau\Scanner.exe.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8....
    O20 - Winlogon Notify: khfffec - C:\WINDOWS\SYSTEM32\khfffec.dll
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: JPEG Image Optimisation Installation Driver (RegEditor) - Unknown owner - C:\WINDOWS\installdmr.exe

    1 Mars 2007 10:52:07

    Re ...

    Avertissement

    Tu n'auras pas accès à Internet pendant une partie de la procédure. Enregistre cette page pour pouvoir la consulter hors-connexion : Fichier > Enregistrer sous ...
    Dans "Type", choisis "Page Web, complète" et donne-lui un nom.

    Redémarre ton ordinateur en mode sans échec.

    Affiche tous les fichiers :

  • Ouvre le Poste de travail > Outils > Options des dossiers > Affichage.
  • Coche la case "Afficher les fichiers et dossiers cachés".
  • Décoche la case "Masquer les extensions des fichiers dont le type est connu".

    Supprime le fichier suivant (en gras) par l'Explorateur Windows :

    C:\WINDOWS\SYSTEM32\khfffec.dll <- le fichier

    Redémarre en mode normal.

    Repasse Vundofix ...

    Fais un scan en ligne avec Kaspersky ...

  • Doit être fait avec Internet Explorer.
  • Tutoriel animé sur le site sous "Démonstration en ligne".]

    Poste une réponse dans le même sujet.

    Dans cette réponse, j'aimerais :

  • le rapport Vundofix.
  • le rapport Kaspersky.
  • un nouveau log Hijackthis.

    J'espère qu'après ça ce sera bon ...

    On pourra penser à mettre ton système à jour ...
    1 Mars 2007 12:18:24

    Salut,
    J'ai cherché le fichier C:\WINDOWS\SYSTEM32\khfffec.dll, manuellement il n'y avait rien et par démarrer,rechercher, fichiers ou dossiers, tout les fichiers. ça n'a rien donné non plus.
    Le fichier khfffec.dll n'existe pas.
    Que faire?????

    J'ai bien suivi les consignes : mode sans échec, afficher tous les dossiers même cachés et ne pas masquer les extensions.

    Je n'ai pas suivi les autres étapes (kapersky et vundofix) vu que celle-ci a été infructueuse.

    Voila, voila... Que du bonheur quoi.
    1 Mars 2007 12:55:12

    Tu peux quand même faire le scan en ligne s'il te plaît ...
    1 Mars 2007 17:18:44

    Le rapport du scan KAV online est trop gros pour que je puisse te l'envoyer. Beaucoup d'objets était verrouillé, il marque "ignoré".
    Voila les lignes ou il précise infecté:
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4F1TQNXT\p[1].exe Infecté : Backdoor.Win32.SdBot.bek ignoré
    C:\Documents and Settings\alex\Bureau\SDFix\SDFix\backups\backups.zip/backups/algose32.exe Infecté : Backdoor.Win32.SdBot.bek ignoré

    C:\Documents and Settings\alex\Bureau\SDFix\SDFix\backups\backups.zip ZIP: infecté - 1 ignoré

    C:\System Volume Information\_restore{A8B3F92D-149C-4335-925A-89F0ED436A4A}\RP1\A0000388.EXE Infecté : Backdoor.Win32.SdBot.bek ignoré

    C:\System Volume Information\_restore{A8B3F92D-149C-4335-925A-89F0ED436A4A}\RP2\A0003576.dll Infecté : Trojan-Proxy.Win32.Dlena.cb ignoré

    J'espère ne pas en avoir oublié le rapport est tellement long (environ 4Mo).

    Sinon le rapport Vundofix:

    VundoFix V6.3.9

    Checking Java version...

    Scan started at 16:36:08 01/03/2007

    Listing files found while scanning....

    C:\Program Files\VSAdd-in\VSAdd-in.dll

    Beginning removal...

    Performing Repairs to the registry.
    Done!


    Et le rapport Hijackthis:
    Logfile of HijackThis v1.99.1
    Scan saved at 16:42:45, on 01/03/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\System32\svchosts.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\installdmr.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Winamp\Winampa.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Java\jre1.6.0\bin\jusched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\SuperCopier\SuperCopier.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Documents and Settings\alex\Bureau\Scanner.exe.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: (no name) - {1492E46E-D5D8-4BA6-BF1C-78967C67AF22} - C:\WINDOWS\System32\khfffec.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{30CC3~1\Bar888.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{30CC3~1\Bar888.dll
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8....
    O20 - Winlogon Notify: khfffec - C:\WINDOWS\SYSTEM32\khfffec.dll
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Client IP-IPX - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e (file missing)
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: JPEG Image Optimisation Installation Driver (RegEditor) - Unknown owner - C:\WINDOWS\installdmr.exe

    2 Mars 2007 10:45:14

    Re ...

    Tu n'auras pas accès à Internet pendant une partie de la procédure. Enregistre cette page pour pouvoir la consulter hors-connexion : Fichier > Enregistrer sous ...
    Dans "Type", choisis "Page Web, complète" et donne-lui un nom.

    Copie/colle les lignes en gras ci-dessous dans le bloc-notes.

    registry keys to delete:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\khfffec

    Files to Delete:
    C:\WINDOWS\SYSTEM32\khfffec.dll


    Enregistre le fichier sous le nom remove.txt sur ton bureau où à un emplacement facile à retrouver.

    Télécharge The Avenger

  • Dézippe le contenu de l'archive sur ton bureau et double-clique sur avenger.exe > OK.
  • Sélectionne "Load Script from File" et clique sur l'icône en forme de dossier.
  • Sélectionne le fichier remove.txt à l'endroit où tu l'as enregistré.
  • Clique sur le feu vert pour lancer le script > Oui.
  • Accepte le redémarrage du PC.

    Redémarre ensuite en mode sans échec.

  • Démarrer > Exécuter > Tape services.msc > OK
  • Double-clique sur le service nommé Client IP-IPX (si présent).
  • Arrête-le et désactive-le.

    Ouvre HijackThis et clique sur "Do a system scan only" et coche les lignes suivantes (si présentes) :

    O2 - BHO: (no name) - {1492E46E-D5D8-4BA6-BF1C-78967C67AF22} - C:\WINDOWS\System32\khfffec.dll
    O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{30CC3~1\Bar888.dll
    O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{30CC3~1\Bar888.dll
    O20 - Winlogon Notify: khfffec - C:\WINDOWS\SYSTEM32\khfffec.dll O23 - Service: Client IP-IPX - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e (file missing)


    Ferme toutes les fenêtres et quitte toutes les applications en cours puis clique sur "Fix checked"

    Affiche tous les fichiers :

  • Ouvre le Poste de travail > Outils > Options des dossiers > Affichage.
  • Coche la case "Afficher les fichiers et dossiers cachés".
  • Décoche la case "Masquer les extensions des fichiers dont le type est connu".

    Supprime les fichiers/dossiers suivants (en gras) par l'Explorateur Windows (si présents) :

    C:\WINDOWS\System32\svchosts.exe <- le fichier avec S
    C:\Program Files\Fichiers communs\{30CC3~1 <- tout le dossier commençant par {30CC3

    Redémarre en mode normal.

    Poste une réponse dans le même sujet.

    Dans cette réponse, j'aimerais le rapport C:\Avenger.txt et un nouveau log Hijackthis.



    2 Mars 2007 11:14:36

    Re,
    Tout à été ok, sauf la ligne O20 - Winlogon Notify: khfffec - C:\WINDOWS\SYSTEM32\khfffec.dll O23 - Service: Client IP-IPX - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e (file missing) qui n'était pas présente dans hijackthis.

    Voila le rapport avenger:
    Logfile of The Avenger version 1, by Swandog46
    Running from registry key:
    \Registry\Machine\System\CurrentControlSet\Services\pdlrdynp

    *******************

    Script file located at: \??\C:\Documents and Settings\mxlsnkot.txt
    Script file opened successfully.

    Script file read successfully

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    File C:\WINDOWS\SYSTEM32\khfffec.dll deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\khfffec deleted successfully.

    Completed script processing.

    *******************

    Finished! Terminate.



    et le log hijackthis:
    Logfile of HijackThis v1.99.1
    Scan saved at 11:12:07, on 02/03/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\installdmr.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Winamp\Winampa.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Java\jre1.6.0\bin\jusched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\SuperCopier\SuperCopier.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Documents and Settings\alex\Bureau\Scanner.exe.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8....
    O20 - Winlogon Notify: awtqnlj - C:\WINDOWS\SYSTEM32\awtqnlj.dll
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: JPEG Image Optimisation Installation Driver (RegEditor) - Unknown owner - C:\WINDOWS\installdmr.exe

    2 Mars 2007 11:30:17

    j'ai aussi un dossier remove_fichiers qui s'est créé sur mon bureau, c'est normal ?
    2 Mars 2007 12:14:05

    Que contient-il ?
    2 Mars 2007 13:18:45

    Plein de logo de info du net en .gif, sinon des .js et des .htm que je ne peux pas ouvrir.
    ???????????????????????????????????????
    3 Mars 2007 20:56:23

    Où es-tu Mykerinos ?
    Sans toi je ne peux rien contre le pouvoir du Vundo!!!!
    3 Mars 2007 21:04:20

    Supprime ce dossier ...

    Recommence la manip avec Avenger en copiant ce qui suit (en gras) :

    registry keys to delete:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awtqnlj

    Files to Delete:
    C:\WINDOWS\SYSTEM32\rpcc.dll
    C:\WINDOWS\SYSTEM32\awtqnlj.dll


    Reposte le rapport avenger et un nouveau log HJT ...
    3 Mars 2007 22:07:11

    Ok,voilalerapport Avenger:
    Logfile of The Avenger version 1, by Swandog46
    Running from registry key:
    \Registry\Machine\System\CurrentControlSet\Services\nfmjklhk

    *******************

    Script file located at: \??\C:\ooxdxgul.txt
    Script file opened successfully.

    Script file read successfully

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:



    File C:\WINDOWS\SYSTEM32\rpcc.dll not found!
    Deletion of file C:\WINDOWS\SYSTEM32\rpcc.dll failed!

    Could not process line:
    C:\WINDOWS\SYSTEM32\rpcc.dll
    Status: 0xc0000034



    File C:\WINDOWS\SYSTEM32\awtqnlj.dll not found!
    Deletion of file C:\WINDOWS\SYSTEM32\awtqnlj.dll failed!

    Could not process line:
    C:\WINDOWS\SYSTEM32\awtqnlj.dll
    Status: 0xc0000034


    Completed script processing.

    *******************

    Finished! Terminate.


    et le log HJT:
    Logfile of HijackThis v1.99.1
    Scan saved at 22:06:19, on 03/03/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Winamp\Winampa.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Java\jre1.6.0\bin\jusched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\SuperCopier\SuperCopier.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\installdmr.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\alex\Bureau\Scanner.exe.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{30CC3~1\Bar888.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{30CC3~1\Bar888.dll
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8....
    O20 - Winlogon Notify: awtqnlj - awtqnlj.dll (file missing)
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)
    O20 - Winlogon Notify: yayyabx - yayyabx.dll (file missing)
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: JPEG Image Optimisation Installation Driver (RegEditor) - Unknown owner - C:\WINDOWS\installdmr.exe

    5 Mars 2007 10:32:59

    Re ...

    Avertissement

    Tu n'auras pas accès à Internet pendant une partie de la procédure. Enregistre cette page pour pouvoir la consulter hors-connexion : Fichier > Enregistrer sous ...
    Dans "Type", choisis "Page Web, complète" et donne-lui un nom.

    Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur.
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option pour exécuter Windows en mode sans échec, puis appuie sur "[Entrée]".
  • Choisis ton compte.
  • Une autre manière en images.

    Ouvre HijackThis et clique sur "Do a system scan only" et coche les lignes suivantes (si présentes) :

    O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} -C:\PROGRA~1\FICHIE~1\{30CC3~1\Bar888.dll
    O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{30CC3~1\Bar888.dll
    O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
    O20 - Winlogon Notify: awtqnlj - awtqnlj.dll (file missing)
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)
    O20 - Winlogon Notify: yayyabx - yayyabx.dll (file missing)


    Ferme toutes les fenêtres et quitte toutes les applications en cours puis clique sur "Fix checked"

    Affiche tous les fichiers :

  • Ouvre le Poste de travail > Outils > Options des dossiers > Affichage.
  • Coche la case "Afficher les fichiers et dossiers cachés".
  • Décoche la case "Masquer les extensions des fichiers dont le type est connu".

    Supprime les fichiers/dossiers suivants (en gras) par l'Explorateur Windows (si présents) :

    C:\Program Files\Fichiers communs\{30CC3~1 <- tout le dossier commençant par {30cc3
    C:\WINDOWS\System32\tcpipmon.exe <- le fichier

    Redémarre en mode normal.

    Reposte un nouveau log Hijackthis.

    5 Mars 2007 10:58:59

    Salut,
    J'ai suivi toute l'opération mais je n'ai pas trouvé le fichier C:\WINDOWS\System32\tcpipmon.exe du moins pas dans ce repertoire là.
    J'ai fait une recherche, dans C:\WINDOWS\System32 il existe 3 fichiers avec un nom proche de celui -ci:
    tcpmon.dll
    tcpmon.ini
    tcpmonui.dll

    Sinon il y a un fichier TCPIPMON.EXE-3AE55677.pf dans c:\windows\prefetch

    Voilà le rapport HJT (certaines lignes reviennent quand je redémarre en mode normal, pourtant elles avaient bien été supprimées en mode sans échec):
    Logfile of HijackThis v1.99.1
    Scan saved at 10:53:42, on 05/03/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\installdmr.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Winamp\Winampa.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Java\jre1.6.0\bin\jusched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Fichiers communs\{00CC3043-0A26-1036-0820-030309180021}\Update.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\SuperCopier\SuperCopier.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Documents and Settings\alex\Bureau\Scanner.exe.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{30CC3~1\Bar888.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{30CC3~1\Bar888.dll
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8....
    O20 - Winlogon Notify: pmnonlm - pmnonlm.dll (file missing)
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Client IP-IPX - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000297 (file missing)
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: JPEG Image Optimisation Installation Driver (RegEditor) - Unknown owner - C:\WINDOWS\installdmr.exe


    6 Mars 2007 12:59:59

    Est-il possible de virer ce satané virus en formatant mon c:\ et en réinstallant Windows ?
    C'est incroyable comme mon pc est lent et j'ai des tentatives d'intrusions constamment, je ne sais pas si kerio stop tout.
    7 Mars 2007 01:20:30

    Je ne t'abandonne pas ...

    Formater est une solution ultime ...

    Télécharge Blacklight (de F-Secure).

  • Clique sur "I accept" au bas de la page. Sauvegarde le sur ton Bureau.
  • Double-clique sur blbeta.exe et accepte la licence.
  • Clique "Scan" puis "Next".
  • Tu verras une liste de fichiers détectés apparaître ainsi qu'un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
  • Copie/colle le contenu de ce rapport dans ta prochaine réponse.

    Attention : Ne pas choisir l'option "Rename" tout de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe ...

    7 Mars 2007 11:18:05

    Salut.
    Merci pour ton soutien...

    Voilà le rapport de Blacklight :
    03/07/07 11:15:23 [Info]: BlackLight Engine 1.0.55 initialized
    03/07/07 11:15:23 [Info]: OS: 5.1 build 2600 (Service Pack 1)
    03/07/07 11:15:23 [Note]: 7019 4
    03/07/07 11:15:23 [Note]: 7005 0
    03/07/07 11:15:33 [Note]: 7006 0
    03/07/07 11:15:33 [Note]: 7011 2012
    03/07/07 11:15:33 [Error]: 6031 0
    03/07/07 11:15:33 [Note]: 7027 3
    03/07/07 11:15:33 [Note]: 7027 0
    03/07/07 11:15:34 [Note]: 7026 0
    03/07/07 11:15:34 [Note]: 7026 0
    03/07/07 11:15:34 [Note]: 7015 656
    03/07/07 11:15:34 [Note]: 7015 5
    03/07/07 11:15:34 [Note]: 7015 1908
    03/07/07 11:15:34 [Note]: 7015 5
    03/07/07 11:15:48 [Note]: FSRAW library version 1.7.1021
    03/07/07 11:16:16 [Error]: 6023 5
    03/07/07 11:16:41 [Note]: 7007 0
    7 Mars 2007 15:34:02

    Mouais ...

    Il faut trouver pourquoi l'infection revient sans cesse ...

    Télécharge GMER ...
    Déconnecte-toi d'internet et ferme tous les programmes.
    Décompresse le fichier zip sur le Bureau et double-clique sur gmer.exe

    Clique sur l'onglet "rootkit" et puis sur "Scan"
    Lorsque le scan est terminé, clique sur "copy"

    Ouvre le bloc-notes et clique sur le Menu "Edition" > "Coller"
    Le rapport doit alors apparaître.
    Enregistre le fichier sur ton bureau et copie/colle son contenu ici.

    Télécharge et lance aussi DiagHelp depuis ce tuto ...

    Ne lance que l'option 1 et poste le rapport s'il te plaît ...
    8 Mars 2007 13:03:01

    Salut Mykerinos,
    J'ai un petit problème...
    L'ordi a bugger deux fois faisant foirer en plein cours deux scan de GMER.
    Obligé de rebooter.
    Maintenant quand je lance GMER avant même que je clic sur scan, il m'écris :
    "WARNING!!!
    GMER has found system modification, which might have been caused by ROOTKIT activity."
    Il y a aussi des programmes qui ne fonctionnent plus sur mon ordi comme firefox et peut être d'autres je ne sais pas encore.
    J'ai relancer un scan mais quand je fais copy, il est impossible de le coller ni dans bloc note, ni dans word. Pourtant quand je clic sur copy il m'écris que je peux le coller en faisant controle V.
    Que faire????????????
    8 Mars 2007 17:29:14

    Fait Ctrl+Alt+delete et ensuite fait un sreenshot pour qu'on vois les processus qui sont ouvert.
    8 Mars 2007 20:44:31

    comment joindre un screenshot sur cette discussion.
    Scrrenshot c'est la touche "impr écran" de mon clavier?
    8 Mars 2007 20:51:35

    Oui et ensuite ctrl+v dans paint et tu enregistre l'image en JPEG. Une fois que c'est fait tu l'héberge avec Hiboox et tu nous donne le lien de l'image.

    http://www.hiboox.com/
    9 Mars 2007 00:33:40

    Re ...

    C'est bien ce qui me semblait ...

    Peux-tu poster le rapport DiagHelp ... Laisse tomber Gmer pour le moment ...
    9 Mars 2007 01:31:41

    Voila le rapport diaghelp:
    C:\WINDOWS\System32/drivers\fwdrv.err -->09/03/2007 01:18:02
    C:\WINDOWS\System32/drivers\gmer.sys -->07/03/2007 20:37:10
    C:\WINDOWS\System32/drivers\klick.sys -->21/02/2007 20:51:12
    C:\WINDOWS\System32/drivers\klin.sys -->21/02/2007 20:07:54
    C:\WINDOWS\System32/drivers\khips.sys -->20/02/2007 13:34:08
    C:\WINDOWS\System32/drivers\fwdrv.sys -->20/02/2007 13:34:02
    C:\WINDOWS\System32/drivers\AvgAsCln.sys -->05/09/2006 17:03:16

    C:\WINDOWS\0.log -->08/03/2007 21:43:36
    C:\WINDOWS\wiadebug.log -->08/03/2007 21:43:32
    C:\WINDOWS\bootstat.dat -->08/03/2007 21:43:16
    C:\WINDOWS\SchedLgU.Txt -->08/03/2007 21:42:30
    C:\WINDOWS\wiaservc.log -->08/03/2007 21:42:30
    C:\WINDOWS\csrss.exe -->08/03/2007 20:36:46
    C:\WINDOWS\QTFont.qfn -->08/03/2007 13:51:02
    C:\WINDOWS\gmer.ini -->08/03/2007 12:48:44
    C:\WINDOWS\gmer_uninstall.cmd -->07/03/2007 20:37:10
    C:\WINDOWS\gmer.dll -->07/03/2007 20:37:10
    C:\WINDOWS\dladmin.exe -->07/03/2007 00:16:54
    C:\WINDOWS\setupact.log -->05/03/2007 16:27:58
    C:\WINDOWS\setuperr.log -->05/03/2007 13:51:18
    C:\WINDOWS\ntbtlog.txt -->05/03/2007 10:50:20
    C:\WINDOWS\wmsetup.log -->05/03/2007 00:01:18

    C:\WINDOWS\twunk_16.exe |28/08/2001 14:00:00
    C:\WINDOWS\twunk_32.exe |28/08/2001 14:00:00
    C:\WINDOWS\bdoscandel.exe |25/05/2006 01:22:06
    C:\WINDOWS\installdmr.exe |26/02/2007 19:15:08
    C:\WINDOWS\dladmin.exe |07/03/2007 00:16:56
    C:\WINDOWS\gmer.exe |07/03/2007 20:37:08
    C:\WINDOWS\csrss.exe |08/03/2007 20:36:51
    C:\WINDOWS\twain.dll |28/08/2001 14:00:00
    C:\WINDOWS\twain_32.dll |28/08/2001 14:00:00
    C:\WINDOWS\gmer.dll |07/03/2007 20:37:08
    C:\WINDOWS\system32\append.exe |28/08/2001 14:00:00
    C:\WINDOWS\system32\debug.exe |28/08/2001 14:00:00
    C:\WINDOWS\system32\dosx.exe |28/08/2001 14:00:00
    C:\WINDOWS\system32\dvdplay.exe |23/08/2001 17:47:34
    C:\WINDOWS\system32\edlin.exe |28/08/2001 14:00:00
    C:\WINDOWS\system32\exe2bin.exe |28/08/2001 14:00:00
    C:\WINDOWS\system32\fastopen.exe |28/08/2001 14:00:00
    C:\WINDOWS\system32\mem.exe |28/08/2001 14:00:00
    C:\WINDOWS\system32\mscdexnt.exe |28/08/2001 14:00:00
    C:\WINDOWS\system32\nlsfunc.exe |28/08/2001 14:00:00
    C:\WINDOWS\system32\nw16.exe |28/08/2001 14:00:00
    C:\WINDOWS\system32\setver.exe |28/08/2001 14:00:00
    C:\WINDOWS\system32\share.exe |28/08/2001 14:00:00
    C:\WINDOWS\system32\vwipxspx.exe |28/08/2001 14:00:00
    C:\WINDOWS\system32\usrmlnka.exe |23/08/2001 17:47:48
    C:\WINDOWS\system32\usrprbda.exe |23/08/2001 17:47:48
    C:\WINDOWS\system32\usrshuta.exe |23/08/2001 17:47:48
    C:\WINDOWS\system32\java.exe |22/02/2007 15:55:05
    C:\WINDOWS\system32\redir.exe |28/08/2002 21:24:18
    C:\WINDOWS\system32\Ati2mdxx.exe |21/04/2004 22:58:58
    C:\WINDOWS\system32\ati2evxx.exe |21/04/2004 22:56:04
    C:\WINDOWS\system32\javaw.exe |22/02/2007 15:55:05
    C:\WINDOWS\system32\javaws.exe |22/02/2007 15:55:05
    C:\WINDOWS\system32\ati2sgag.exe |13/11/2006 18:13:37
    C:\WINDOWS\system32\fwryjvf.exe |23/02/2007 17:33:15
    C:\WINDOWS\system32\swreg.exe |25/02/2007 09:58:14
    C:\WINDOWS\system32\xlnllyln.exe |21/02/2007 17:27:12
    C:\WINDOWS\system32\swsc.exe |25/02/2007 09:58:14
    C:\WINDOWS\system32\bjsjoc.exe |21/02/2007 23:26:02
    C:\WINDOWS\system32\ttfmoymp.exe |21/02/2007 17:28:13
    C:\WINDOWS\system32\dumphive.exe |25/02/2007 09:58:14
    C:\WINDOWS\system32\ucsa.exe |22/02/2007 19:05:16
    C:\WINDOWS\system32\nownh.exe |21/02/2007 17:31:59
    C:\WINDOWS\system32\swxcacls.exe |25/02/2007 09:58:14
    C:\WINDOWS\system32\tqfzand.exe |21/02/2007 17:38:40
    C:\WINDOWS\system32\Process.exe |25/02/2007 09:58:14
    C:\WINDOWS\system32\winnets32.exe |22/02/2007 16:09:06
    C:\WINDOWS\system32\SrchSTS.exe |25/02/2007 09:58:14
    C:\WINDOWS\system32\unsvchosts.exe |27/02/2007 00:38:42
    C:\WINDOWS\system32\svchosts.exe |03/03/2007 20:49:56
    C:\WINDOWS\system32\a3d.dll |13/11/2006 18:13:50
    C:\WINDOWS\system32\atmfd.dll |28/08/2001 14:00:00
    C:\WINDOWS\system32\atmlib.dll |28/08/2001 14:00:00
    C:\WINDOWS\system32\ati2dvag.dll |21/04/2004 23:11:38
    C:\WINDOWS\system32\ati2cqag.dll |21/04/2004 21:25:08
    C:\WINDOWS\system32\ati3d1ag.dll |21/04/2004 22:03:44
    C:\WINDOWS\system32\ati3d2ag.dll |21/04/2004 22:20:54
    C:\WINDOWS\system32\psisdecd.dll |09/01/2007 01:38:12
    C:\WINDOWS\system32\iccvid.dll |28/08/2001 14:00:00
    C:\WINDOWS\system32\ir32_32.dll |28/08/2001 14:00:00
    C:\WINDOWS\system32\jgaw400.dll |28/08/2001 14:00:00
    C:\WINDOWS\system32\jgdw400.dll |28/08/2001 14:00:00
    C:\WINDOWS\system32\jgmd400.dll |28/08/2001 14:00:00
    C:\WINDOWS\system32\jgpl400.dll |28/08/2001 14:00:00
    C:\WINDOWS\system32\jgsd400.dll |28/08/2001 14:00:00
    C:\WINDOWS\system32\jgsh400.dll |28/08/2001 14:00:00
    C:\WINDOWS\system32\mdwmdmsp.dll |23/08/2001 17:47:06
    C:\WINDOWS\system32\msencode.dll |28/08/2001 14:00:00
    C:\WINDOWS\system32\scriptpw.dll |28/08/2001 14:00:00
    C:\WINDOWS\system32\slbcsp.dll |28/08/2001 14:00:00
    C:\WINDOWS\system32\slbiop.dll |28/08/2001 14:00:00
    C:\WINDOWS\system32\slbrccsp.dll |28/08/2001 14:00:00
    C:\WINDOWS\system32\spnike.dll |23/08/2001 17:47:18
    C:\WINDOWS\system32\sprio600.dll |23/08/2001 17:47:18
    C:\WINDOWS\system32\sprio800.dll |23/08/2001 17:47:18
    C:\WINDOWS\system32\tsd32.dll |28/08/2001 14:00:00
    C:\WINDOWS\system32\win87em.dll |28/08/2001 14:00:00
    C:\WINDOWS\system32\pncrt.dll |22/01/2007 20:40:38
    C:\WINDOWS\system32\ati3duag.dll |21/04/2004 22:40:26
    C:\WINDOWS\system32\paqsp.dll |23/08/2001 17:47:16
    C:\WINDOWS\system32\usrcntra.dll |23/08/2001 17:47:20
    C:\WINDOWS\system32\usrcoina.dll |23/08/2001 17:47:20
    C:\WINDOWS\system32\usrdpa.dll |23/08/2001 17:47:20
    C:\WINDOWS\system32\usrdtea.dll |23/08/2001 17:47:20
    C:\WINDOWS\system32\usrfaxa.dll |23/08/2001 17:47:20
    C:\WINDOWS\system32\usrlbva.dll |23/08/2001 17:47:20
    C:\WINDOWS\system32\usrrtosa.dll |23/08/2001 17:47:20
    C:\WINDOWS\system32\usrsdpia.dll |23/08/2001 17:47:20
    C:\WINDOWS\system32\usrsvpia.dll |23/08/2001 17:47:20
    C:\WINDOWS\system32\usrv42a.dll |23/08/2001 17:47:20
    C:\WINDOWS\system32\usrv80a.dll |23/08/2001 17:47:20
    C:\WINDOWS\system32\usrvoica.dll |23/08/2001 17:47:20
    C:\WINDOWS\system32\usrvpa.dll |23/08/2001 17:47:20
    C:\WINDOWS\system32\IR41_QC.dll |13/12/2003 22:33:18
    C:\WINDOWS\system32\ativvaxx.dll |21/04/2004 21:55:20
    C:\WINDOWS\system32\compatUI.dll |29/08/2002 11:44:50
    C:\WINDOWS\system32\ATIDDC.DLL |21/04/2004 22:55:16
    C:\WINDOWS\system32\atitvo32.dll |21/04/2004 21:37:48
    C:\WINDOWS\system32\sbe.dll |29/08/2002 11:44:56
    C:\WINDOWS\system32\IR41_QCX.dll |13/12/2003 22:33:18
    C:\WINDOWS\system32\ativcoxx.dll |09/11/2001 11:01:04
    C:\WINDOWS\system32\EqnClass.Dll |13/11/2006 17:59:18
    C:\WINDOWS\system32\spxcoins.dll |13/11/2006 17:59:19
    C:\WINDOWS\system32\dgsetup.dll |13/11/2006 17:59:19
    C:\WINDOWS\system32\dgrpsetu.dll |13/11/2006 17:59:19
    C:\WINDOWS\system32\hticons.dll |13/11/2006 18:03:13
    C:\WINDOWS\system32\hypertrm.dll |13/11/2006 18:03:13
    C:\WINDOWS\system32\ati2evxx.dll |21/04/2004 22:58:26
    C:\WINDOWS\system32\amstream.dll |13/11/2006 18:05:54
    C:\WINDOWS\system32\mciqtz32.dll |13/11/2006 18:05:54
    C:\WINDOWS\system32\msdmo.dll |13/11/2006 18:05:55
    C:\WINDOWS\system32\qedwipes.dll |13/11/2006 18:05:55
    C:\WINDOWS\system32\EL2K_CPP.dll |13/11/2006 18:15:31
    C:\WINDOWS\system32\atipdlxx.dll |21/04/2004 22:59:32
    C:\WINDOWS\system32\ati2edxx.dll |21/04/2004 22:58:48
    C:\WINDOWS\system32\atioglxx.dll |22/04/2004 00:05:56
    C:\WINDOWS\system32\atiiiexx.dll |22/04/2004 02:38:20
    C:\WINDOWS\system32\o100vc.dll |13/11/2006 18:17:46
    C:\WINDOWS\system32\o100ext.dll |13/11/2006 18:17:46
    C:\WINDOWS\system32\hcwutl32.dll |13/11/2006 18:17:46
    C:\WINDOWS\system32\BTGPIO32.dll |13/11/2006 18:17:46
    C:\WINDOWS\system32\hcwps32.dll |13/11/2006 18:17:47
    C:\WINDOWS\system32\hcwpnp32.dll |13/11/2006 18:17:47
    C:\WINDOWS\system32\hcwi2c32.dll |13/11/2006 18:17:47
    C:\WINDOWS\system32\hcwtuner.dll |13/11/2006 18:17:47
    C:\WINDOWS\system32\isrdbg32.dll |13/11/2006 18:04:13
    C:\WINDOWS\system32\Oemdspif.dll |21/04/2004 22:59:10
    C:\WINDOWS\system32\HCWsnbd9.dll |13/11/2006 18:17:46
    C:\WINDOWS\system32\hcwTVWnd.dll |13/11/2006 18:17:46
    C:\WINDOWS\system32\hcwTVDlg.dll |13/11/2006 18:17:46
    C:\WINDOWS\system32\hcwChan.dll |13/11/2006 18:17:46
    C:\WINDOWS\system32\Bt848_32.dll |13/11/2006 18:17:46
    C:\WINDOWS\system32\hcwAud32.dll |13/11/2006 18:17:46
    C:\WINDOWS\system32\hcwAV.dll |13/11/2006 18:17:47
    C:\WINDOWS\system32\hcwHook.dll |13/11/2006 18:17:47
    C:\WINDOWS\system32\BT848Wst.dll |13/11/2006 18:17:47
    C:\WINDOWS\system32\AudioExCtl.dll |13/11/2006 23:26:47
    C:\WINDOWS\system32\ff_vfw.dll |02/10/2006 13:44:00
    C:\WINDOWS\system32\msssc.dll |21/02/2007 22:49:35
    C:\WINDOWS\system32\ddcyaaw.dll |26/02/2007 19:15:15
    C:\WINDOWS\system32\nnnkkkl.dll |27/02/2007 00:36:44
    C:\WINDOWS\system32\hggghge.dll |03/03/2007 21:42:21
    C:\WINDOWS\system32\ddaba.dll |27/02/2007 00:44:12
    C:\WINDOWS\system32\awtqpmj.dll |27/02/2007 21:04:07
    C:\WINDOWS\system32\sstqo.dll |27/02/2007 00:45:01
    C:\WINDOWS\system32\ddcyy.dll |27/02/2007 18:43:49
    C:\WINDOWS\system32\ssqpq.dll |27/02/2007 11:48:53
    C:\WINDOWS\system32\pmnnnlj.dll |28/02/2007 14:15:11
    C:\WINDOWS\system32\geebx.dll |27/02/2007 12:48:54
    C:\WINDOWS\system32\awtsp.dll |27/02/2007 12:48:55
    C:\WINDOWS\system32\mllmj.dll |27/02/2007 13:48:55
    C:\WINDOWS\system32\awtsq.dll |27/02/2007 13:48:55
    C:\WINDOWS\system32\vtstr.dll |27/02/2007 14:48:56
    C:\WINDOWS\system32\ddaby.dll |27/02/2007 14:48:56
    C:\WINDOWS\system32\pmnll.dll |27/02/2007 15:48:57
    C:\WINDOWS\system32\awvvv.dll |27/02/2007 15:48:57
    C:\WINDOWS\system32\ddccc.dll |27/02/2007 16:48:58
    C:\WINDOWS\system32\mljjk.dll |27/02/2007 16:48:58
    C:\WINDOWS\system32\awtst.dll |27/02/2007 17:48:59
    C:\WINDOWS\system32\ssqro.dll |27/02/2007 17:49:00
    C:\WINDOWS\system32\ddcyx.dll |27/02/2007 18:44:04
    C:\WINDOWS\system32\mllmn.dll |27/02/2007 19:43:51
    C:\WINDOWS\system32\gebyy.dll |27/02/2007 19:44:05
    C:\WINDOWS\system32\ssqrs.dll |27/02/2007 20:46:57
    C:\WINDOWS\system32\jkkjj.dll |27/02/2007 20:47:26
    C:\WINDOWS\system32\jkkjg.dll |27/02/2007 21:09:29
    C:\WINDOWS\system32\vtursqp.dll |27/02/2007 21:12:13
    C:\WINDOWS\system32\fccddee.dll |01/03/2007 16:34:15
    C:\WINDOWS\system32\jkhff.dll |28/02/2007 14:20:04
    C:\WINDOWS\system32\rpcc.dll |05/03/2007 21:56:21
    C:\WINDOWS\system32\pmnkiij.dll |28/02/2007 11:07:04
    C:\WINDOWS\system32\mllmk.dll |28/02/2007 14:20:12
    C:\WINDOWS\system32\ddabb.dll |28/02/2007 15:20:04
    C:\WINDOWS\system32\jkkll.dll |28/02/2007 15:20:13
    C:\WINDOWS\system32\ssttq.dll |28/02/2007 16:20:05
    C:\WINDOWS\system32\mlljk.dll |28/02/2007 16:20:14
    C:\WINDOWS\system32\gebca.dll |28/02/2007 17:20:07
    C:\WINDOWS\system32\awvvs.dll |28/02/2007 17:20:15
    C:\WINDOWS\system32\vtsqo.dll |28/02/2007 18:20:07
    C:\WINDOWS\system32\pmkhe.dll |28/02/2007 18:20:17
    C:\WINDOWS\system32\vtsqp.dll |28/02/2007 19:20:09
    C:\WINDOWS\system32\awtqp.dll |28/02/2007 19:20:19
    C:\WINDOWS\system32\sstqq.dll |28/02/2007 20:20:10
    C:\WINDOWS\system32\mljji.dll |28/02/2007 20:20:19
    C:\WINDOWS\system32\awtqn.dll |28/02/2007 22:20:12
    C:\WINDOWS\system32\awvtu.dll |28/02/2007 22:20:22
    C:\WINDOWS\system32\cbxxyww.dll |28/02/2007 23:03:19
    C:\WINDOWS\system32\mljjh.dll |28/02/2007 23:08:18
    C:\WINDOWS\system32\awtqq.dll |28/02/2007 23:08:31
    C:\WINDOWS\system32\geedc.dll |01/03/2007 00:08:20
    C:\WINDOWS\system32\vturo.dll |01/03/2007 02:00:02
    C:\WINDOWS\system32\geeba.dll |01/03/2007 03:00:04
    C:\WINDOWS\system32\ddcca.dll |01/03/2007 04:00:04
    C:\WINDOWS\system32\awtss.dll |01/03/2007 05:00:05
    C:\WINDOWS\system32\pmnlm.dll |01/03/2007 06:00:06
    C:\WINDOWS\system32\ddaya.dll |01/03/2007 07:00:06
    C:\WINDOWS\system32\pmkjk.dll |01/03/2007 07:00:07
    C:\WINDOWS\system32\ddabx.dll |01/03/2007 08:00:07
    C:\WINDOWS\system32\ssqpn.dll |01/03/2007 08:00:09
    C:\WINDOWS\system32\jkhfe.dll |01/03/2007 09:00:09
    C:\WINDOWS\system32\vtsts.dll |01/03/2007 09:00:09
    C:\WINDOWS\system32\ssqpp.dll |01/03/2007 10:00:10
    C:\WINDOWS\system32\vtstt.dll |01/03/2007 11:00:10
    C:\WINDOWS\system32\gebya.dll |01/03/2007 12:00:11
    C:\WINDOWS\system32\nnnlklm.dll |01/03/2007 12:04:56
    C:\WINDOWS\system32\yaywxxx.dll |01/03/2007 12:13:05
    C:\WINDOWS\system32\sstts.dll |01/03/2007 12:17:40
    C:\WINDOWS\system32\ssqpo.dll |01/03/2007 12:18:00
    C:\WINDOWS\system32\awtqr.dll |01/03/2007 16:39:16
    C:\WINDOWS\system32\pmkhh.dll |01/03/2007 13:17:41
    C:\WINDOWS\system32\awvtt.dll |01/03/2007 13:18:01
    C:\WINDOWS\system32\ssttu.dll |01/03/2007 14:17:42
    C:\WINDOWS\system32\awvvw.dll |01/03/2007 14:18:02
    C:\WINDOWS\system32\gebcy.dll |01/03/2007 15:17:43
    C:\WINDOWS\system32\jkklm.dll |01/03/2007 15:18:03
    C:\WINDOWS\system32\pmnlj.dll |01/03/2007 16:17:44
    C:\WINDOWS\system32\ssqrp.dll |01/03/2007 16:18:04
    C:\WINDOWS\system32\opnkljg.dll |01/03/2007 16:25:39
    C:\WINDOWS\system32\vtsqr.dll |01/03/2007 16:30:40
    C:\WINDOWS\system32\khffcdc.dll |01/03/2007 16:41:46
    C:\WINDOWS\system32\ddabc.dll |01/03/2007 16:46:46
    C:\WINDOWS\system32\vtstq.dll |01/03/2007 16:47:47
    C:\WINDOWS\system32\urqpnmk.dll |01/03/2007 16:58:59
    C:\WINDOWS\system32\jkkji.dll |01/03/2007 19:03:59
    C:\WINDOWS\system32\sstqp.dll |01/03/2007 19:04:04
    C:\WINDOWS\system32\wvursqp.dll |05/03/2007 14:26:19
    C:\WINDOWS\system32\pmkjh.dll |01/03/2007 19:44:34
    C:\WINDOWS\system32\ssttt.dll |01/03/2007 20:44:42
    C:\WINDOWS\system32\mljgd.dll |01/03/2007 21:38:54
    C:\WINDOWS\system32\ssqrr.dll |01/03/2007 21:44:42
    C:\WINDOWS\system32\geeda.dll |01/03/2007 22:38:55
    C:\WINDOWS\system32\jkkli.dll |01/03/2007 22:44:44
    C:\WINDOWS\system32\jkklj.dll |01/03/2007 23:38:50
    C:\WINDOWS\system32\geedb.dll |01/03/2007 23:44:44
    C:\WINDOWS\system32\vtutr.dll |02/03/2007 10:52:32
    C:\WINDOWS\system32\jkhfc.dll |02/03/2007 10:55:21
    C:\WINDOWS\system32\nnnomnl.dll |05/03/2007 20:33:34
    C:\WINDOWS\system32\pmnno.dll |05/03/2007 21:38:51
    C:\WINDOWS\system32\jkkjk.dll |05/03/2007 20:38:36
    C:\WINDOWS\system32\geede.dll |05/03/2007 20:38:50
    C:\WINDOWS\system32\efccaay.dll |05/03/2007 21:56:17
    C:\WINDOWS\system32\gebyv.dll |06/03/2007 19:48:54
    C:\WINDOWS\system32\awtqo.dll |05/03/2007 22:01:31
    C:\WINDOWS\system32\jkhfd.dll |05/03/2007 22:06:21
    C:\WINDOWS\system32\ssqrq.dll |05/03/2007 23:01:33
    C:\WINDOWS\system32\mljjg.dll |06/03/2007 14:20:12
    C:\WINDOWS\system32\vtutq.dll |06/03/2007 14:20:12
    C:\WINDOWS\system32\mllji.dll |06/03/2007 19:48:56
    C:\WINDOWS\system32\pmnnk.dll |06/03/2007 20:48:54
    C:\WINDOWS\system32\pmkjj.dll |06/03/2007 20:48:56
    C:\WINDOWS\system32\pmkji.dll |06/03/2007 21:48:55
    C:\WINDOWS\system32\vtutu.dll |06/03/2007 21:48:58
    C:\WINDOWS\system32\ddayy.dll |06/03/2007 22:48:56
    C:\WINDOWS\system32\ddcyv.dll |06/03/2007 22:48:59
    C:\WINDOWS\system32\ddayx.dll |07/03/2007 11:20:21
    C:\WINDOWS\system32\pmkhi.dll |07/03/2007 11:11:36
    C:\WINDOWS\system32\gebyx.dll |07/03/2007 12:10:41
    C:\WINDOWS\system32\awtsr.dll |07/03/2007 12:15:21
    C:\WINDOWS\system32\vtsqq.dll |07/03/2007 13:10:42
    C:\WINDOWS\system32\geedd.dll |07/03/2007 13:15:22
    C:\WINDOWS\system32\ddccd.dll |07/03/2007 14:10:43
    C:\WINDOWS\system32\jkhhi.dll |07/03/2007 14:15:23
    C:\WINDOWS\system32\awvtq.dll |07/03/2007 15:10:45
    C:\WINDOWS\system32\sstqn.dll |07/03/2007 15:15:24
    C:\WINDOWS\system32\ddayw.dll |07/03/2007 16:13:22
    C:\WINDOWS\system32\ddccy.dll |07/03/2007 16:18:27
    C:\WINDOWS\system32\geebc.dll |07/03/2007 17:47:27
    C:\WINDOWS\system32\vtutt.dll |07/03/2007 17:47:32
    C:\WINDOWS\system32\jkhhe.dll |07/03/2007 18:47:28
    C:\WINDOWS\system32\gebcd.dll |07/03/2007 18:47:32
    C:\WINDOWS\system32\pmkhf.dll |07/03/2007 19:47:29
    C:\WINDOWS\system32\pmnli.dll |07/03/2007 19:47:33
    C:\WINDOWS\system32\ssttr.dll |07/03/2007 22:33:26
    C:\WINDOWS\system32\pmkjg.dll |07/03/2007 22:38:30
    C:\WINDOWS\system32\pmnnm.dll |07/03/2007 23:33:26
    C:\WINDOWS\system32\pmnnn.dll |08/03/2007 00:33:28
    C:\WINDOWS\system32\jkhhf.dll |08/03/2007 00:38:31
    C:\WINDOWS\system32\vturs.dll |08/03/2007 01:33:30
    C:\WINDOWS\system32\mlljj.dll |08/03/2007 10:02:33
    C:\WINDOWS\system32\mllmm.dll |08/03/2007 10:02:34
    C:\WINDOWS\system32\geeby.dll |08/03/2007 13:02:36
    C:\WINDOWS\system32\mljjj.dll |08/03/2007 14:02:39
    C:\WINDOWS\system32\vtstu.dll |08/03/2007 15:02:40
    C:\WINDOWS\system32\vtsqn.dll |08/03/2007 16:02:40
    C:\WINDOWS\system32\vturp.dll |08/03/2007 17:02:42
    C:\WINDOWS\system32\jkhhh.dll |08/03/2007 20:41:42
    C:\WINDOWS\system32\mljgh.dll |08/03/2007 21:41:43
    C:\WINDOWS\system32\gebcb.dll |08/03/2007 21:48:31
    C:\WINDOWS\system32\ddcya.dll |08/03/2007 22:48:23
    C:\WINDOWS\system32\mlljg.dll |08/03/2007 23:48:24
    C:\WINDOWS\system32\awvvt.dll |09/03/2007 00:48:24

    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 00CC-3043

    Répertoire de C:\WINDOWS\system32

    28/08/2001 14:00 4 096 csrss.exe
    1 fichier(s) 4 096 octets
    0 Rép(s) 9 156 894 720 octets libres

    Contenu de Downloaded Program Files
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 00CC-3043

    Répertoire de C:\WINDOWS\Downloaded Program Files

    13/11/2006 18:05 <REP> .
    13/11/2006 18:05 <REP> ..
    13/11/2006 18:05 65 desktop.ini
    20/01/2000 15:25 1 162 Microsoft XML Parser for Java.osd
    14/10/1997 18:52 697 DirectAnimation Java Classes.osd
    18/11/1999 13:49 992 msaudio.inf
    09/11/2006 14:36 5 019 swflash.inf
    31/05/2006 04:15 10 oscan81.ocx_x
    18/02/2005 16:22 126 live.ini
    09/03/2005 15:43 6 828 scanoptions.tsi
    09/03/2005 15:42 6 742 lang.ini
    01/03/2005 14:08 53 248 ipsupd.dll
    01/03/2005 14:08 118 784 bdupd.dll
    07/12/2004 16:07 32 libfn.dll
    07/12/2004 16:07 32 bdcore.dll
    01/06/2006 02:54 471 040 oscan8.ocx
    01/06/2006 02:57 1 331 oscan8.inf
    08/08/2006 11:45 576 kavwebscan.inf
    16 fichier(s) 666 684 octets

    Total des fichiers listés :
    16 fichier(s) 666 684 octets
    2 Rép(s) 9 156 894 720 octets libres

    Recherche de rootkit! (Merci S!Ri)

    Recherche d'infections connues




    Liste des programmes installes

    Ad-Aware SE Personal
    Adobe Flash Player 9 ActiveX
    Adobe Premiere Pro
    Adobe Reader 7.0.9 - Français
    Archiveur WinRAR
    ATI - Utilitaire de désinstallation du logiciel
    ATI Control Panel
    ATI Display Driver
    Audio Record Wizard v3.8
    AVG Anti-Spyware 7.5
    BSPlayer
    CCleaner (remove only)
    Celtx (0.9.8)
    eMule
    HijackThis 1.99.1
    Java(TM) SE Runtime Environment 6
    jetAudio
    K!TV
    Kaspersky Anti-Virus Personal
    Kaspersky Online Scanner
    Lecteur Windows Media 10
    Microsoft Office Professional Edition 2003
    Mozilla Firefox (1.5.0.10)
    Pro Evolution Soccer 5
    Pro Evolution Soccer 5
    QuickTime
    Satsuki Decoder Pack
    Skype 2.5
    Spybot - Search & Destroy 1.4
    Sunbelt Kerio Personal Firewall
    SuperCopier
    VSAdd-in for Internet Explorer
    WebDP 2.07
    WebFldrs XP
    Winamp (Remove Only)
    Windows Media Format Runtime
    Yahoo! Install Manager
    Yahoo! Toolbar
    Yahoo! Toolbar avec bloqueur de fenêtres pop-up



    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 00CC-3043

    Répertoire de C:\Program Files

    13/11/2006 17:59 <REP> .
    13/11/2006 17:59 <REP> ..
    24/11/2006 17:37 <REP> Adobe
    22/02/2007 16:21 <REP> Alwil Software
    13/01/2007 00:17 <REP> ARWizard3
    13/11/2006 18:13 <REP> ATI Technologies
    26/02/2007 20:55 <REP> CCleaner
    24/11/2006 15:39 <REP> Celtx
    13/11/2006 18:03 <REP> ComPlus Applications
    31/01/2007 21:56 <REP> eMule
    13/11/2006 17:59 <REP> Fichiers communs
    23/02/2007 11:28 <REP> Grisoft
    27/02/2007 00:41 <REP> InetGet2
    13/11/2006 18:03 <REP> Internet Explorer
    27/02/2007 00:41 <REP> Ipwindows
    01/02/2007 22:37 <REP> Java
    13/12/2006 21:48 <REP> JetAudio
    24/02/2007 16:00 <REP> K!TV
    22/02/2007 18:59 <REP> Kaspersky Lab
    12/12/2006 19:30 <REP> KONAMI
    26/02/2007 19:47 <REP> Lavasoft
    13/11/2006 18:03 <REP> Messenger
    13/11/2006 18:06 <REP> microsoft frontpage
    13/11/2006 18:45 <REP> Microsoft Office
    06/02/2007 18:36 <REP> Microsoft Works
    13/11/2006 18:46 <REP> Microsoft.NET
    13/11/2006 23:26 <REP> Mjuice Media Player
    13/11/2006 18:04 <REP> Movie Maker
    13/11/2006 22:00 <REP> Mozilla Firefox
    13/11/2006 18:02 <REP> MSN
    13/11/2006 18:03 <REP> MSN Gaming Zone
    13/11/2006 18:03 <REP> NetMeeting
    13/11/2006 18:03 <REP> Outlook Express
    05/12/2006 00:14 <REP> QuickTime
    13/11/2006 23:28 <REP> Satsuki Decoder Pack
    13/11/2006 18:03 <REP> Services en ligne
    21/11/2006 21:42 <REP> Skype
    26/02/2007 19:21 <REP> Spybot - Search & Destroy
    26/02/2007 11:04 <REP> Sunbelt Software
    13/12/2006 21:24 <REP> SuperCopier
    21/02/2007 17:51 <REP> VSAdd-in
    14/12/2006 00:03 <REP> Webteh
    13/11/2006 23:26 <REP> Winamp
    13/11/2006 18:03 <REP> Windows Media Player
    13/11/2006 18:02 <REP> Windows NT
    13/11/2006 18:25 <REP> WinRAR
    13/11/2006 18:06 <REP> xerox
    23/02/2007 11:23 <REP> Yahoo!
    0 fichier(s) 0 octets
    48 Rép(s) 9 157 500 928 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 00CC-3043

    Répertoire de C:\Program Files\fichiers communs

    13/11/2006 17:59 <REP> .
    13/11/2006 17:59 <REP> ..
    13/11/2006 17:59 <REP> Microsoft Shared
    13/11/2006 17:59 <REP> SpeechEngines
    13/11/2006 17:59 <REP> ODBC
    13/11/2006 18:03 <REP> System
    13/11/2006 18:04 <REP> MSSoap
    13/11/2006 18:04 <REP> Services
    13/11/2006 18:13 <REP> InstallShield
    13/11/2006 18:45 <REP> DESIGNER
    24/11/2006 17:38 <REP> Adobe
    22/01/2007 20:40 <REP> Real
    01/02/2007 22:37 <REP> Java
    05/03/2007 10:51 <REP> {30CC3043-0A26-1036-0820-030309180021}
    05/03/2007 21:56 <REP> {00CC3043-0A26-1036-0820-030309180021}
    0 fichier(s) 0 octets
    15 Rép(s) 9 157 500 928 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 00CC-3043

    Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

    13/11/2006 18:10 <REP> .
    13/11/2006 18:10 <REP> ..
    07/03/2001 09:00 127 033 MSOWS40c.DLL
    03/06/1999 14:09 122 937 MSOWS409.DLL
    13/11/2006 18:45 <REP> 1036
    15/07/2003 06:52 35 896 MSOSV.DLL
    13/11/2006 18:45 <REP> 1033
    11/07/2003 10:15 1 292 872 MSONSEXT.DLL
    11/07/2003 02:25 80 448 PKMWS.DLL
    5 fichier(s) 1 659 186 octets
    4 Rép(s) 9 157 500 928 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 00CC-3043

    Répertoire de C:\

    07/03/2007 16:08 0 gwtmxcuk.exe
    07/03/2007 22:29 0 aihe.exe
    08/03/2007 21:43 391 loadads.exe
    11/11/2001 00:00 68 096 diff.exe
    27/08/2006 14:10 103 424 grep.exe
    5 fichier(s) 171 911 octets
    0 Rép(s) 9 157 500 928 octets libres
    c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OJ56GB01\herbs[1].exe
    c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\EXNX21VK\13brew[1].exe
    c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\EXNX21VK\rass32[1].exe
    c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\EXNX21VK\t[1].exe
    c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\DXY7G8W7\appsetup[1].exe
    c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\DXY7G8W7\rass[1].exe
    c:\Documents and Settings\alex\Bureau\avgas-setup-7.5.0.50.exe
    c:\Documents and Settings\alex\Bureau\blbeta.exe
    c:\Documents and Settings\alex\Bureau\ccsetup137_basic.exe
    c:\Documents and Settings\alex\Bureau\celtx_celtx_0.9.8_version_windows_francais_19603.exe
    c:\Documents and Settings\alex\Bureau\iTunesSetup.exe
    c:\Documents and Settings\alex\Bureau\jre-6-windows-i586.exe
    c:\Documents and Settings\alex\Bureau\Scanner.exe.exe
    c:\Documents and Settings\alex\Bureau\setupfre(2).exe
    c:\Documents and Settings\alex\Bureau\setupfre.exe
    c:\Documents and Settings\alex\Bureau\VirtumundoBeGone.exe
    c:\Documents and Settings\alex\Bureau\VundoFix.exe
    c:\Documents and Settings\alex\Bureau\SmitfraudFix\SmitfraudFix\dumphive.exe
    c:\Documents and Settings\alex\Bureau\SmitfraudFix\SmitfraudFix\GenericRenosFix.exe
    c:\Documents and Settings\alex\Bureau\SmitfraudFix\SmitfraudFix\Process.exe
    c:\Documents and Settings\alex\Bureau\SmitfraudFix\SmitfraudFix\Reboot.exe
    c:\Documents and Settings\alex\Bureau\SmitfraudFix\SmitfraudFix\restart.exe
    c:\Documents and Settings\alex\Bureau\SmitfraudFix\SmitfraudFix\SmiUpdate.exe
    c:\Documents and Settings\alex\Bureau\SmitfraudFix\SmitfraudFix\SrchSTS.exe
    c:\Documents and Settings\alex\Bureau\SmitfraudFix\SmitfraudFix\swreg.exe
    c:\Documents and Settings\alex\Bureau\SmitfraudFix\SmitfraudFix\swsc.exe
    c:\Documents and Settings\alex\Bureau\SmitfraudFix\SmitfraudFix\swxcacls.exe
    c:\Documents and Settings\alex\Bureau\SmitfraudFix\SmitfraudFix\unzip.exe
    c:\Documents and Settings\alex\Bureau\bfu\BFU.exe
    c:\Documents and Settings\alex\Bureau\avenger\avenger.exe
    c:\Documents and Settings\alex\Bureau\SDFix\SDFix\apps\cliptext.exe
    c:\Documents and Settings\alex\Bureau\SDFix\SDFix\apps\download.exe
    c:\Documents and Settings\alex\Bureau\SDFix\SDFix\apps\LS.exe
    c:\Documents and Settings\alex\Bureau\SDFix\SDFix\apps\Process.exe
    c:\Documents and Settings\alex\Bureau\SDFix\SDFix\apps\RegDACL.exe
    c:\Documents and Settings\alex\Bureau\SDFix\SDFix\apps\RestartIt!.exe
    c:\Documents and Settings\alex\Bureau\SDFix\SDFix\apps\sc.exe
    c:\Documents and Settings\alex\Bureau\SDFix\SDFix\apps\SF.exe
    c:\Documents and Settings\alex\Bureau\SDFix\SDFix\apps\sha160.exe
    c:\Documents and Settings\alex\Bureau\SDFix\SDFix\apps\swreg.exe
    c:\Documents and Settings\alex\Bureau\SDFix\SDFix\apps\swsc.exe
    c:\Documents and Settings\alex\Bureau\SDFix\SDFix\apps\unzip.exe
    c:\Documents and Settings\alex\Bureau\SDFix\SDFix\apps\zip.exe
    c:\Documents and Settings\alex\Bureau\SDFix\SDFix\apps\Replace\W2K.exe
    c:\Documents and Settings\alex\Bureau\SDFix\SDFix\apps\Replace\XP.exe
    c:\Documents and Settings\alex\Bureau\gmer\gmer.exe
    c:\Documents and Settings\alex\Bureau\DiagHelp\DiagHelp\diff.exe
    c:\Documents and Settings\alex\Bureau\DiagHelp\DiagHelp\dumphive.exe
    c:\Documents and Settings\alex\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe
    c:\Documents and Settings\alex\Bureau\DiagHelp\DiagHelp\Fport.exe
    c:\Documents and Settings\alex\Bureau\DiagHelp\DiagHelp\grep.exe
    c:\Documents and Settings\alex\Bureau\DiagHelp\DiagHelp\LFiles.exe
    c:\Documents and Settings\alex\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe
    c:\Documents and Settings\alex\Bureau\DiagHelp\DiagHelp\pslist.exe
    c:\Documents and Settings\alex\Bureau\DiagHelp\DiagHelp\streams.exe
    c:\Documents and Settings\alex\Bureau\DiagHelp\DiagHelp\swreg.exe
    c:\Documents and Settings\alex\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr709_fr_FR.exe
    c:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\Bases\avcmhk4.dll

    Liste des drivers...

    < Service Pack 1 3 9 2007 01:21:49.375
    < Pilote charg' \WINDOWS\system32\ntoskrnl.exe
    < Pilote charg' \WINDOWS\system32\hal.dll
    < Pilote charg' \WINDOWS\system32\KDCOM.DLL
    < Pilote charg' \WINDOWS\system32\BOOTVID.dll
    < Pilote charg' ACPI.sys
    < Pilote charg' \WINDOWS\System32\DRIVERS\WMILIB.SYS
    < Pilote charg' pci.sys
    < Pilote charg' isapnp.sys
    < Pilote charg' ohci1394.sys
    < Pilote charg' \WINDOWS\System32\DRIVERS\1394BUS.SYS
    < Pilote charg' pciide.sys
    < Pilote charg' \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
    < Pilote charg' MountMgr.sys
    < Pilote charg' ftdisk.sys
    < Pilote charg' dmload.sys
    < Pilote charg' dmio.sys
    < Pilote charg' PartMgr.sys
    < Pilote charg' VolSnap.sys
    < Pilote charg' atapi.sys
    < Pilote charg' viaraid.sys
    < Pilote charg' \WINDOWS\System32\DRIVERS\SCSIPORT.SYS
    < Pilote charg' disk.sys
    < Pilote charg' \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
    < Pilote charg' sr.sys
    < Pilote charg' Fastfat.sys
    < Pilote charg' KSecDD.sys
    < Pilote charg' NDIS.sys
    < Pilote charg' Mup.sys
    < Pilote charg' klin.sys
    < Pilote charg' \WINDOWS\System32\drivers\TDI.SYS
    < Pilote charg' klick.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\nic1394.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\processr.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\ati2mtag.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\usbuhci.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\usbehci.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\EL2K_XP.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\hcw848nt.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\i8042prt.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\kbdclass.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\serial.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\serenum.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\fdc.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\parport.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\imapi.sys
    < Pilote charg' \SystemRoot\system32\drivers\pfc.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\cdrom.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\redbook.sys
    < Pilote charg' \SystemRoot\system32\drivers\smwdm.sys
    < Pilote charg' \SystemRoot\system32\drivers\aeaudio.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\audstub.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\rasl2tp.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\ndistapi.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\ndiswan.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\raspppoe.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\raspptp.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\msgpc.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\psched.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\ptilink.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\raspti.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\rdpdr.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\termdd.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\mouclass.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\swenum.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\update.sys
    < Pilote charg' \SystemRoot\System32\Drivers\NDProxy.SYS
    < Le pilote n'a pas 't' charg' \SystemRoot\System32\Drivers\NDProxy.SYS
    < Pilote charg' \SystemRoot\System32\DRIVERS\usbhub.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\flpydisk.sys
    < Le pilote n'a pas 't' charg' \SystemRoot\System32\Drivers\lbrtfdc.SYS
    < Le pilote n'a pas 't' charg' \SystemRoot\System32\Drivers\Sfloppy.SYS
    < Le pilote n'a pas 't' charg' \SystemRoot\System32\Drivers\i2omgmt.SYS
    < Le pilote n'a pas 't' charg' \SystemRoot\System32\Drivers\Changer.SYS
    < Le pilote n'a pas 't' charg' \SystemRoot\System32\Drivers\Cdaudio.SYS
    < Pilote charg' \SystemRoot\System32\Drivers\Fs_Rec.SYS
    < Pilote charg' \SystemRoot\System32\Drivers\Null.SYS
    < Pilote charg' \SystemRoot\System32\Drivers\Beep.SYS
    < Pilote charg' \SystemRoot\System32\DRIVERS\AvgAsCln.sys
    < Pilote charg' \SystemRoot\System32\drivers\vga.sys
    < Pilote charg' \SystemRoot\System32\Drivers\mnmdd.SYS
    < Pilote charg' \SystemRoot\System32\DRIVERS\RDPCDD.sys
    < Pilote charg' \SystemRoot\system32\drivers\fwdrv.sys
    < Pilote charg' \SystemRoot\System32\Drivers\Msfs.SYS
    < Pilote charg' \SystemRoot\System32\Drivers\Npfs.SYS
    < Pilote charg' \SystemRoot\System32\DRIVERS\rasacd.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\ipsec.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\tcpip.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\netbt.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\wanarp.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\netbios.sys
    < Le pilote n'a pas 't' charg' \SystemRoot\System32\Drivers\PCIDump.SYS
    < Pilote charg' \SystemRoot\System32\DRIVERS\rdbss.sys
    < Le pilote n'a pas 't' charg' \??\C:\WINDOWS\System32\mswsag.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\mrxsmb.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\arp1394.sys
    < Pilote charg' \SystemRoot\System32\drivers\klmc.sys
    < Pilote charg' \SystemRoot\System32\drivers\klif.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\hidusb.sys
    < Pilote charg' \SystemRoot\system32\drivers\khips.sys
    < Pilote charg' \SystemRoot\System32\Drivers\Fips.SYS
    < Pilote charg' \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\mouhid.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\usbprint.sys
    < Pilote charg' \SystemRoot\System32\Drivers\Ntfs.SYS
    < Pilote charg' \SystemRoot\System32\Drivers\Cdfs.SYS
    < Pilote charg' \SystemRoot\System32\drivers\afd.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\ndisuio.sys
    < Le pilote n'a pas 't' charg' \SystemRoot\System32\drivers\afd.sys
    < Le pilote n'a pas 't' charg' \SystemRoot\System32\DRIVERS\rdbss.sys
    < Le pilote n'a pas 't' charg' \SystemRoot\System32\DRIVERS\mrxsmb.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\mrxdav.sys
    < Pilote charg' \SystemRoot\System32\Drivers\ParVdm.SYS
    < Pilote charg' \SystemRoot\system32\drivers\sysaudio.sys
    < Pilote charg' \SystemRoot\system32\drivers\wdmaud.sys
    < Pilote charg' \SystemRoot\system32\drivers\splitter.sys
    < Pilote charg' \SystemRoot\system32\drivers\aec.sys
    < Pilote charg' \SystemRoot\system32\drivers\swmidi.sys
    < Pilote charg' \SystemRoot\system32\drivers\DMusic.sys
    < Pilote charg' \SystemRoot\system32\drivers\kmixer.sys
    < Pilote charg' \SystemRoot\system32\drivers\drmkaud.sys
    < Pilote charg' \SystemRoot\System32\DRIVERS\srv.sys
    9 Mars 2007 08:46:06

    Wouaw ...

    Télécharge Combofix sur ton Bureau ...

    Lance l'outil et suis les instructions ...

    Une fois qu'il a terminé, un rapport apparaîtra, copie/colle son contenu ici ...
    9 Mars 2007 11:02:02

    Et voila le rapport de combofix, bonne lecture :
    "alex" - 07-03-09 10:56:43 Service Pack 1
    ComboFix 07-03-09.2 - Running from: "C:\Documents and Settings\alex\Bureau"

    (((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


    C:\DOCUME~1\alex\APPLIC~1.\SearchToolbarCorp


    ((((((((((((((((((((((((((((((( Files Created from 2007-02-09 to 2007-03-09 ))))))))))))))))))))))))))))))))))


    2007-03-09 10:53 <REP> d--hs---- C:\FOUND.016
    2007-03-09 10:38 282,212 ---hs---- C:\WINDOWS\system32\geebb.dll
    2007-03-09 09:43 588 --a------ C:\WINDOWS\system32\pmnnl.dll
    2007-03-09 08:42 282,212 ---hs---- C:\WINDOWS\system32\ddcyw.dll
    2007-03-09 07:42 282,212 ---hs---- C:\WINDOWS\system32\ssqpm.dll
    2007-03-09 06:42 282,212 ---hs---- C:\WINDOWS\system32\mljgg.dll
    2007-03-09 05:42 282,212 ---hs---- C:\WINDOWS\system32\vtuts.dll
    2007-03-09 04:42 282,212 ---hs---- C:\WINDOWS\system32\sstqr.dll
    2007-03-09 03:42 282,212 ---hs---- C:\WINDOWS\system32\mljge.dll
    2007-03-09 02:42 282,212 ---hs---- C:\WINDOWS\system32\ddayv.dll
    2007-03-09 01:27 282,212 ---hs---- C:\WINDOWS\system32\awvvu.dll
    2007-03-09 01:20 853 --a------ C:\reboot.cmd
    2007-03-09 01:20 68,096 --a------ C:\diff.exe
    2007-03-09 01:20 103,424 --a------ C:\grep.exe
    2007-03-09 00:48 282,212 ---hs---- C:\WINDOWS\system32\awvvt.dll
    2007-03-08 23:48 282,212 ---hs---- C:\WINDOWS\system32\mlljg.dll
    2007-03-08 22:48 282,212 ---hs---- C:\WINDOWS\system32\ddcya.dll
    2007-03-08 21:48 282,212 ---hs---- C:\WINDOWS\system32\gebcb.dll
    2007-03-08 21:41 282,212 ---hs---- C:\WINDOWS\system32\mljgh.dll
    2007-03-08 20:41 282,212 ---hs---- C:\WINDOWS\system32\jkhhh.dll
    2007-03-08 20:37 391 --a------ C:\loadads.exe
    2007-03-08 17:02 282,212 ---hs---- C:\WINDOWS\system32\vturp.dll
    2007-03-08 16:02 282,212 ---hs---- C:\WINDOWS\system32\vtsqn.dll
    2007-03-08 15:02 282,212 ---hs---- C:\WINDOWS\system32\vtstu.dll
    2007-03-08 10:02 282,212 ---hs---- C:\WINDOWS\system32\mlljj.dll
    2007-03-08 09:57 <REP> d--hs---- C:\FOUND.015
    2007-03-08 00:38 282,212 ---hs---- C:\WINDOWS\system32\jkhhf.dll
    2007-03-08 00:33 282,212 ---hs---- C:\WINDOWS\system32\pmnnn.dll
    2007-03-07 23:33 282,212 ---hs---- C:\WINDOWS\system32\pmnnm.dll
    2007-03-07 22:33 282,212 ---hs---- C:\WINDOWS\system32\ssttr.dll
    2007-03-07 22:29 0 --a------ C:\aihe.exe
    2007-03-07 22:27 <REP> d--hs---- C:\FOUND.014
    2007-03-07 19:47 282,212 ---hs---- C:\WINDOWS\system32\pmkhf.dll
    2007-03-07 18:47 282,212 ---hs---- C:\WINDOWS\system32\gebcd.dll
    2007-03-07 17:47 282,212 ---hs---- C:\WINDOWS\system32\geebc.dll
    2007-03-07 16:18 282,212 ---hs---- C:\WINDOWS\system32\ddccy.dll
    2007-03-07 16:13 282,212 ---hs---- C:\WINDOWS\system32\ddayw.dll
    2007-03-07 16:08 0 --a------ C:\gwtmxcuk.exe
    2007-03-07 15:15 282,212 ---hs---- C:\WINDOWS\system32\sstqn.dll
    2007-03-07 13:15 282,212 ---hs---- C:\WINDOWS\system32\geedd.dll
    2007-03-07 13:10 282,212 ---hs---- C:\WINDOWS\system32\vtsqq.dll
    2007-03-07 12:15 282,212 ---hs---- C:\WINDOWS\system32\awtsr.dll
    2007-03-07 12:10 282,212 ---hs---- C:\WINDOWS\system32\gebyx.dll
    2007-03-07 11:20 282,212 ---hs---- C:\WINDOWS\system32\ddayx.dll
    2007-03-07 11:11 282,212 ---hs---- C:\WINDOWS\system32\pmkhi.dll
    2007-03-07 00:16 84,992 -r-hs---- C:\WINDOWS\dladmin.exe
    2007-03-06 22:48 282,212 ---hs---- C:\WINDOWS\system32\ddcyv.dll
    2007-03-06 21:48 282,212 ---hs---- C:\WINDOWS\system32\vtutu.dll
    2007-03-06 21:48 282,212 ---hs---- C:\WINDOWS\system32\pmkji.dll
    2007-03-06 20:48 282,212 ---hs---- C:\WINDOWS\system32\pmnnk.dll
    2007-03-06 20:48 282,212 ---hs---- C:\WINDOWS\system32\pmkjj.dll
    2007-03-06 19:48 282,212 ---hs---- C:\WINDOWS\system32\gebyv.dll
    2007-03-05 22:06 282,212 ---hs---- C:\WINDOWS\system32\jkhfd.dll
    2007-03-05 21:56 26,637 ---hs---- C:\WINDOWS\system32\efccaay.dll
    2007-03-05 21:38 282,212 ---hs---- C:\WINDOWS\system32\pmnno.dll
    2007-03-05 20:38 282,212 ---hs---- C:\WINDOWS\system32\jkkjk.dll
    2007-03-05 20:38 282,212 ---hs---- C:\WINDOWS\system32\geede.dll
    2007-03-05 20:33 26,637 ---hs---- C:\WINDOWS\system32\nnnomnl.dll
    2007-03-05 14:26 26,637 --------- C:\WINDOWS\system32\wvursqp.dll
    2007-03-03 21:42 26,637 ---hs---- C:\WINDOWS\system32\hggghge.dll
    2007-03-03 21:42 <REP> d-------- C:\avenger
    2007-03-02 10:52 282,164 ---hs---- C:\WINDOWS\system32\vtutr.dll
    2007-03-01 23:38 282,164 ---hs---- C:\WINDOWS\system32\jkklj.dll
    2007-03-01 22:44 282,164 ---hs---- C:\WINDOWS\system32\jkkli.dll
    2007-03-01 21:38 282,164 ---hs---- C:\WINDOWS\system32\mljgd.dll
    2007-03-01 16:58 26,637 ---hs---- C:\WINDOWS\system32\urqpnmk.dll
    2007-03-01 16:46 282,164 ---hs---- C:\WINDOWS\system32\ddabc.dll
    2007-03-01 16:41 26,637 ---hs---- C:\WINDOWS\system32\khffcdc.dll
    2007-03-01 16:39 282,164 ---hs---- C:\WINDOWS\system32\awtqr.dll
    2007-03-01 16:34 26,637 ---hs---- C:\WINDOWS\system32\fccddee.dll
    2007-03-01 16:30 282,164 ---hs---- C:\WINDOWS\system32\vtsqr.dll
    2007-03-01 16:25 26,637 ---hs---- C:\WINDOWS\system32\opnkljg.dll
    2007-03-01 16:18 282,164 ---hs---- C:\WINDOWS\system32\ssqrp.dll
    2007-03-01 14:18 282,164 ---hs---- C:\WINDOWS\system32\awvvw.dll
    2007-03-01 13:18 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
    2007-03-01 13:17 282,164 ---hs---- C:\WINDOWS\system32\pmkhh.dll
    2007-03-01 12:17 282,164 ---hs---- C:\WINDOWS\system32\sstts.dll
    2007-03-01 12:13 26,637 ---hs---- C:\WINDOWS\system32\yaywxxx.dll
    2007-03-01 12:04 26,637 ---hs---- C:\WINDOWS\system32\nnnlklm.dll
    2007-03-01 11:00 282,164 ---hs---- C:\WINDOWS\system32\vtstt.dll
    2007-03-01 10:00 282,164 ---hs---- C:\WINDOWS\system32\ssqpp.dll
    2007-03-01 08:00 282,164 ---hs---- C:\WINDOWS\system32\ssqpn.dll
    2007-03-01 08:00 282,164 ---hs---- C:\WINDOWS\system32\ddabx.dll
    2007-03-01 07:00 282,164 ---hs---- C:\WINDOWS\system32\ddaya.dll
    2007-03-01 06:00 282,164 ---hs---- C:\WINDOWS\system32\pmnlm.dll
    2007-03-01 04:00 282,164 ---hs---- C:\WINDOWS\system32\ddcca.dll
    2007-03-01 03:00 282,164 ---hs---- C:\WINDOWS\system32\geeba.dll
    2007-03-01 02:00 282,164 ---hs---- C:\WINDOWS\system32\vturo.dll
    2007-03-01 00:08 282,164 ---hs---- C:\WINDOWS\system32\geedc.dll
    2007-02-28 23:08 282,164 ---hs---- C:\WINDOWS\system32\mljjh.dll
    2007-02-28 23:08 282,164 ---hs---- C:\WINDOWS\system32\awtqq.dll
    2007-02-28 23:03 26,637 ---hs---- C:\WINDOWS\system32\cbxxyww.dll
    2007-02-28 22:20 282,164 ---hs---- C:\WINDOWS\system32\awvtu.dll
    2007-02-28 22:20 282,164 ---hs---- C:\WINDOWS\system32\awtqn.dll
    2007-02-28 20:20 282,164 ---hs---- C:\WINDOWS\system32\sstqq.dll
    2007-02-28 20:20 282,164 ---hs---- C:\WINDOWS\system32\mljji.dll
    2007-02-28 19:20 282,164 ---hs---- C:\WINDOWS\system32\vtsqp.dll
    2007-02-28 19:20 282,164 ---hs---- C:\WINDOWS\system32\awtqp.dll
    2007-02-28 18:20 282,164 ---hs---- C:\WINDOWS\system32\vtsqo.dll
    2007-02-28 17:20 282,164 ---hs---- C:\WINDOWS\system32\gebca.dll
    2007-02-28 16:20 282,164 ---hs---- C:\WINDOWS\system32\mlljk.dll
    2007-02-28 14:20 281,652 ---hs---- C:\WINDOWS\system32\jkhff.dll
    2007-02-28 14:15 26,637 ---hs---- C:\WINDOWS\system32\pmnnnlj.dll
    2007-02-28 11:07 26,637 ---hs---- C:\WINDOWS\system32\pmnkiij.dll
    2007-02-27 21:13 482,545 ---hs---- C:\WINDOWS\system32\ututv.bak1
    2007-02-27 21:12 26,637 ---hs---- C:\WINDOWS\system32\vtursqp.dll
    2007-02-27 21:08 281,652 --ahs---- C:\WINDOWS\system32\vtutu.dll.vir
    2007-02-27 21:04 26,637 ---hs---- C:\WINDOWS\system32\awtqpmj.dll
    2007-02-27 18:43 282,164 ---hs---- C:\WINDOWS\system32\ddcyy.dll
    2007-02-27 17:49 281,652 ---hs---- C:\WINDOWS\system32\ssqro.dll
    2007-02-27 16:48 281,652 ---hs---- C:\WINDOWS\system32\mljjk.dll
    2007-02-27 16:48 281,652 ---hs---- C:\WINDOWS\system32\ddccc.dll
    2007-02-27 14:48 281,652 ---hs---- C:\WINDOWS\system32\vtstr.dll
    2007-02-27 13:48 281,652 ---hs---- C:\WINDOWS\system32\mllmj.dll
    2007-02-27 13:48 281,652 ---hs---- C:\WINDOWS\system32\awtsq.dll
    2007-02-27 11:48 <REP> d--h----- C:\WINDOWS\system32\vidmon
    2007-02-27 11:48 <REP> d--h----- C:\WINDOWS\system32\nfomon
    2007-02-27 11:48 <REP> d--h----- C:\Program Files\Fichiers communs\Uninstall Information
    2007-02-27 11:48 <REP> d--h----- C:\DOCUME~1\ALLUSE~1\APPLIC~1\vidmon
    2007-02-27 11:48 <REP> d--h----- C:\DOCUME~1\ALLUSE~1\APPLIC~1\nfo
    2007-02-27 00:39 <REP> dr------- C:\DOCUME~1\LOCALS~1\Favoris
    2007-02-27 00:25 26,637 --ahs---- C:\WINDOWS\system32\iiffccc.dll.vir
    2007-02-26 20:55 <REP> d-------- C:\Program Files\CCleaner
    2007-02-26 19:48 <REP> d-------- C:\DOCUME~1\alex\APPLIC~1\Lavasoft
    2007-02-26 19:47 <REP> d-------- C:\Program Files\Lavasoft
    2007-02-26 19:21 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
    2007-02-26 19:15 84,992 -r-hs---- C:\WINDOWS\installdmr.exe
    2007-02-26 19:15 26,637 ---hs---- C:\WINDOWS\system32\ddcyaaw.dll
    2007-02-26 11:04 <REP> d-------- C:\Program Files\Sunbelt Software
    2007-02-25 09:58 79,360 --a------ C:\WINDOWS\system32\swxcacls.exe
    2007-02-25 09:58 53,248 --a------ C:\WINDOWS\system32\Process.exe
    2007-02-25 09:58 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
    2007-02-25 09:58 40,960 --a------ C:\WINDOWS\system32\swsc.exe
    2007-02-25 09:58 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
    2007-02-25 09:58 2,158 --a------ C:\WINDOWS\system32\tmp.reg
    2007-02-25 09:58 135,168 --a------ C:\WINDOWS\system32\swreg.exe
    2007-02-24 18:18 <REP> d--hs---- C:\FOUND.013
    2007-02-24 16:00 <REP> d-------- C:\Program Files\K!TV
    2007-02-24 11:52 <REP> d-------- C:\VundoFix Backups
    2007-02-23 22:19 <REP> d--hs---- C:\FOUND.012
    2007-02-23 20:21 320 --a------ C:\WINDOWS\system32\nmk4.dat
    2007-02-23 20:21 0 --a------ C:\WINDOWS\system32\kgctini.dat
    2007-02-23 17:33 16,648 --ah----- C:\WINDOWS\system32\fwryjvf.exe
    2007-02-23 17:31 <REP> d--hs---- C:\FOUND.011
    2007-02-23 13:57 <REP> d-------- C:\WINDOWS\BDOSCAN8
    2007-02-23 13:56 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Yahoo! Companion
    2007-02-23 11:28 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2007-02-23 11:23 <REP> d-------- C:\Program Files\Yahoo!
    2007-02-23 11:15 <REP> d--hs---- C:\FOUND.010
    2007-02-22 19:16 <REP> d--hs---- C:\FOUND.009
    2007-02-22 19:05 270,336 --ah----- C:\WINDOWS\system32\ucsa.exe
    2007-02-22 18:59 <REP> d-------- C:\Program Files\Kaspersky Lab
    2007-02-22 18:59 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kaspersky Anti-Virus Personal
    2007-02-22 17:44 0 --a------ C:\WINDOWS\system32\goid.com
    2007-02-22 16:21 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
    2007-02-22 16:21 <REP> d-------- C:\Program Files\Alwil Software
    2007-02-22 16:12 <REP> d--hs---- C:\FOUND.008
    2007-02-22 16:09 2,048 --a------ C:\WINDOWS\system32\winnets32.exe
    2007-02-22 14:19 <REP> d-------- C:\WINDOWS\system32\bfubackups
    2007-02-22 14:13 <REP> d-------- C:\WINDOWS\CSC
    2007-02-22 13:39 595 ---hs---- C:\WINDOWS\system32\nqstv.ini2
    2007-02-22 13:38 <REP> d--hs---- C:\FOUND.007
    2007-02-22 00:00 <REP> d--hs---- C:\FOUND.006
    2007-02-21 23:44 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
    2007-02-21 23:26 270,336 --ah----- C:\WINDOWS\system32\bjsjoc.exe
    2007-02-21 23:18 <REP> d--hs---- C:\FOUND.005
    2007-02-21 22:49 44 --a------ C:\WINDOWS\system32\msssc.dll
    2007-02-21 21:15 482,678 ---hs---- C:\WINDOWS\system32\nqstv.bak2
    2007-02-21 20:57 <REP> d--hs---- C:\FOUND.004
    2007-02-21 19:30 <REP> d-------- C:\WINDOWS\system32\appmgmt
    2007-02-21 18:21 <REP> d--hs---- C:\FOUND.003
    2007-02-21 18:18 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
    2007-02-21 18:00 <REP> d--hs---- C:\FOUND.002
    2007-02-21 17:50 482,891 ---hs---- C:\WINDOWS\system32\nqstv.bak1
    2007-02-21 17:38 51,712 --ah----- C:\WINDOWS\system32\tqfzand.exe
    2007-02-21 17:32 127 --a------ C:\WINDOWS\system32\qfgbs.bat
    2007-02-21 17:31 26,944 --ah----- C:\WINDOWS\system32\nownh.exe
    2007-02-21 17:28 6,656 --ah----- C:\WINDOWS\system32\ttfmoymp.exe
    2007-02-21 17:27 27,060 --ah----- C:\WINDOWS\system32\xlnllyln.exe
    2007-02-20 13:34 71,088 --a------ C:\WINDOWS\system32\drivers\khips.sys
    2007-02-20 13:34 302,000 --a------ C:\WINDOWS\system32\drivers\fwdrv.sys


    (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


    2007-02-24 21:58 48616 --a------ C:\WINDOWS\system32\perfc00c.dat
    2007-02-24 21:58 367658 --a------ C:\WINDOWS\system32\perfh00c.dat
    2007-02-21 17:30 388096 --a------ C:\WINDOWS\system32\cmd.exe
    2007-02-21 17:29 1008128 --a------ C:\WINDOWS\explorer.exe
    2007-02-06 18:36 -------- d-------- C:\Program Files\microsoft works
    2007-02-01 22:38 3596 --a------ C:\WINDOWS\mozver.dat
    2007-02-01 22:37 -------- d-------- C:\Program Files\java


    (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
    "Skype"="\"C:\\Program Files\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
    "SuperCopier.exe"="C:\\Program Files\\SuperCopier\\SuperCopier.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
    "ATIPTA"="\"C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
    "WinampAgent"="\"C:\\Program Files\\Winamp\\Winampa.exe\""
    "QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
    "SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0\\bin\\jusched.exe\""
    "KAVPersonal50"="\"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus Personal\\kav.exe\" /minimize"
    "!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
    "tcpipmon"="tcpipmon.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
    "Installed"="1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
    "Installed"="1"
    "NoChange"="1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
    "Installed"="1"


    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{8E5A2506-A3B7-4219-8ED2-BCEB8FCA968E}"=""
    "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"
    "{1492E46E-D5D8-4BA6-BF1C-78967C67AF22}"=""

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
    "Offices Monitorse"="C:\\WINDOWS\\System32\\algose32.exe"
    "IpWins"="C:\\Program Files\\Ipwindows\\ipwins.exe"

    [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
    "Offices Monitorse"="C:\\WINDOWS\\System32\\algose32.exe"
    "IpWins"="C:\\Program Files\\Ipwindows\\ipwins.exe"

    HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnonlm
    HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvursqp

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
    "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\mswsag.sys

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
    LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
    NetworkService REG_MULTI_SZ DnsCache\0\0
    rpcss REG_MULTI_SZ RpcSs\0\0
    imgsvc REG_MULTI_SZ StiSvc\0\0
    termsvcs REG_MULTI_SZ TermService\0\0



    ********************************************************************

    catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
    http://www.gmer.net

    scanning hidden processes ...

    scanning hidden services ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    ********************************************************************

    Completion time: 07-03-09 10:59:26
    9 Mars 2007 16:39:10

    Il se peut que le processus services.exe sois un processus malveillant.

    http://www.processlibrary.com/directory?files=services&...

    Il existe 5 processus nommé services.exe dont 3 sont malveillant d'après ce que j'ai pu comprendre. C'est à vérifier.

    Il y a aussi 4 processus winlogon.exe dont 3 sont malveillant.

    http://www.processlibrary.com/directory?files=WINLOGON

    Tu as 2 processus CSRSS.exe dont 1 est surement malveillant.

    http://www.processlibrary.com/directory?files=CSRSS

    À part de ça je n'ai pas vu d'autres processus malveillants. J'espère bien que ça pourras aider à résoudre le problème.
    9 Mars 2007 20:52:21

    Mon pc tourne déjà mieux depuis quelques temps et KAV n'ouvre plus constamment des fenêtres pour me dire que mon ordi est virussé.
    Mais firefox déconne tj, quand je le lance il bloque et je suis obliger de le forcer à fermer. Mais bon internet explorer marche. Il faut peut être que je désinstalle firefox et que je le réinstalle, non ?
    9 Mars 2007 23:15:29

    Tu peux toujours désinstaller et le réinstaller Firefox.
    10 Mars 2007 00:05:43

    Re ...

    Allenko, ton PC est encore très infecté ...

    L'infection revenant sans arrêt, pour une raison qui ne saute pas aux yeux dans les rapports demandés ...

    Il vaut mieux, dans ce cas, éviter d'installer ou désinstaller quoi que ce soit ...

    Je vais te demander de repasser Vundofix et de poster le rapport ici ...

    Ensuite repasse Combofix et reposte aussi un rapport ...

    Selon ce qui reste, nous aviserons ...
        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS