Virus!?! wdokbye.dll

Salut,

(si ce n’ est déjà fait) Télécharge CCleaner :
http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite) et laisse-toi guider.
A un moment, il te sera demandé de cocher :
"Ajouter la barre d' outils Yahoo". Refuse et …
Laisse-le s’ installer tel que …

Redémarre le PC en mode sans echec :
http://www.pcastuces.com/pratique/windows/mode_sans_echec/page2.htm …
(méthode F8 de préférence)

--------------------------------------------
Tu n' auras pas accès à Internet pendant le "mode sans échec".
Aussi, copie/colle la procédure dans un fichier texte (word) et mets-la
sur le "bureau" pour l' avoir à ta disposition.
--------------------------------------------

Double-clique sur SmitfraudFix.exe
Dans le menu, fais le choix 2 et appuie sur "Entrée".
Puis, aux deux questions qui te seront posées, réponds O (oui) et appuie
sur "Entrée" ....
Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
Le rapport se trouve à la racine du disque système C:\rapport.txt

Sauvegarde-le pour le poster en fin de procédure ...

Si tu as redémarré en mode normal, rebascule en mode sans échec ...

Relance HijackThis et clique sur > Do a system scan only puis, coche
les cases devant les lignes qui suivent (et uniquement ces lignes), si tjrs présentes :

O2 - BHO: AzEntretien Class - {0d2def3a-f4f1-42ec-ac4f-132e7ba6e292} - %SystemRoot%\azentretien.dll (file missing)
O2 - BHO: (no name) - {40A8587C-3B3D-49E3-A066-5E9BA2B7450E} - C:\Program Files\Windows Media Player\mevoqufiw.dll (file missing)
O2 - BHO: winapi32.MyBHO - {B52CCF85-726D-471C-B72C-CA9F104C5B98} - C:\WINDOWS\System32\winapi32.dll (file missing)
O2 - BHO: Windows Genuine Tool - {c815ace8-3dbf-4ffd-8231-ab1d21e8b7ee} - %SystemRoot%\system32\ir41_qcxv.dll (file missing)
O4 - HKLM\..\Run: [termcaps] C:\WINDOWS\System32\termcaps.exe
O4 - HKLM\..\Run: [ZPoint] C:\WINDOWS\System32\winmuse.exe
O4 - HKLM\..\RunServices: [termcaps] C:\WINDOWS\System32\termcaps.exe
O4 - HKCU\..\Run: [e350b09b.exe] C:\Documents and Settings\Marie-Eve\Application Data\e350b09b.exe
O4 - HKCU\..\Run: [termcaps] C:\WINDOWS\System32\termcaps.exe
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe (file missing)

Ensuite, clique sur > Fix checked et valide par "Yes". Referme HijackThis.

Affiche les fichiers et dossiers cachés …
Pour ce faire, tu vas dans un dossier, par ex. "Mes Images".
Ensuite, clique sur > Outils > Options des dossiers ...
clique sur l' onglet « Affichage » et ...
coche --> Afficher les fichiers et dossiers cachés
décoche > Masquer les extensions des fichiers dont le type est connu
décoche > Masquer les fichiers protégés du système d' exploitation (recommandé).
« Appliquer » et « OK ».

Ensuite, va dans > Démarrer > Poste de travail > C:\

et supprime le(s) fichier(s) en gras, ci-dessous, si tu le(s) trouves.

C:\WINDOWS\System32\termcaps.exe <--
C:\WINDOWS\System32\winmuse.exe <--
C:\Documents and Settings\Marie-Eve\Application Data\e350b09b.exe <--
C:\WINDOWS\System32\rpcc.dll <--

Vide la Corbeille.

Remet les fichiers et dossiers cachés comme tu les as trouvés !

Lance CCleaner ...
Clique sur > Analyser > Nettoyer, puis sur OK dans la fenêtre qui s' affiche.
(re)Lance le nettoyage et (re)confirme par OK.

Redémarre le PC en mode normal ...

------
Télécharge Genproc : http://www.genproc.com/GenProc.exe ;
double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre.

Poste aussi le rapport SmitFraudFix.

Merci beaucoup!!!

J'ai fait les étapes dans l'ordre et...

Je ne suis pas capable de supprimer rpc.dll, ça me dit que le ficher est en cours d'utilisation, même si j'étais en mode sans échec.

Voici les rapports:

Rapport GenProc 2.600 [1] - 2009-07-05 à 20:41:21
@ Windows XP Service Pack 1 - Mode normal
@ Internet Explorer (6.0.2800.1106) [Navigateur par défaut]

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures" ; par la suite, laisse-le avec ses réglages par défaut. C'est tout.

# Etape 1/ Télécharge :


- rustbfix http://uploads.ejvindh.andymanchesta.com/RustbFix.exe ( (ejvindh) et sauvegarde-le sur ton Bureau.
- Double clique sur rustbfix.exe afin de lancer l'outil.
- Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi.
- Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.

- Suite au(x) redémarrage(s), deux rapports s'ouvriront : (C:\avenger.txt & C:\rustbfix\pelog.txt).
- Poste le contenu de ces deux rapports, ainsi qu'un rapport HijackThis http://tinyurl.com/GenProc-HijackThis


~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.600 2009-07-05 à 20:41:50
Rustock: le 2009-07-05 à 20:41:51 "pe386" present

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 20:41:52 ~~


SmitFraudFix v2.423

Rapport fait à 20:10:11,33, 2009-07-05
Executé à partir de C:\Documents and Settings\Marie-Eve\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost


127.0.0.1 desktop.kazaa.com
127.0.0.1 www.altnetp2p.com
127.0.0.1 alpha.kazaa.com
127.0.0.1 shop.kazaa.com
127.0.0.1 www.bonzi.com
127.0.0.1 www.brilliantdigital.com
127.0.0.1 www.b3d.com
127.0.0.1 media.altnet.com
...

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\blue-bg.gif supprimé
C:\WINDOWS\remove-spyware-btn.gif supprimé
C:\WINDOWS\win-sec-center-logo.gif supprimé
C:\WINDOWS\system32\RegistryCleanerSetup.exe supprimé
C:\WINDOWS\system32\winbrume.dll supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

ah oui...

et lors du dernier redémarage (en mode normal), le message d'erreur s'est inscrit comme à l'habitude...

Alors voilà, j'ai fait comme dans le rapport de GenProc. Voici les 3 résultats des rapports :

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\kfjppdlh

*******************

Script file located at: \??\C:\qqhphdyk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver PE386 unloaded successfully.
Program E:\Rustbfix\2run.bat successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.


Rustock.b-ADS attached to the System32-folder:
Attempting to remove ADS...

Looking for Rustock.b-files in the System32-folder:
Commande ECHO d‚sactiv‚e.


******************* Post-run Status of system *******************

Rustock.b-driver on the system:
YOU NEED TO CONSULT MORE ADVANCED TOOLS!!
The Gmer-rootkitscanner may be a good place to start.
Gmer rootkit-scanner may be found here: http://www.gmer.net

Rustock.b-ADS attached to the System32-folder:
Commande ECHO d‚sactiv‚e.
You should either run the tool again or consult more advanced tools
The Gmer-rootkitscanner may be a good place to start.
Gmer rootkit-scanner may be found here: http://www.gmer.net

Looking for Rustock.b-files in the System32-folder:
Commande ECHO d‚sactiv‚e.
You should either run the tool again or consult more advanced tools
Swandog46's Avenger or Gmer's-rootkitscanner may be a good place to start.
Swandog46's Avenger may be found here: http://swandog46.geekstogo.com/avengernotes.htm
Gmer rootkit-scanner may be found here: http://www.gmer.net


******************************* End of Logfile ********************************

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:59:15, on 2009-07-05
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\MSNMSGR.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [win32hp] C:\WINDOWS\System32\winalt32.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [wdokbye.dll] C:\WINDOWS\System32\rundll32.exe "C:\Documents and Settings\Simon\Local Settings\Application Data\wdokbye.dll",bpzgoi
O4 - HKCU\..\Run: [SysOps] C:\WINDOWS\System32\termcaps.exe
O4 - HKCU\..\Run: [SWClient] C:\WINDOWS\System32\termcaps.exe
O4 - HKCU\..\Run: [slipaccel.exe] "C:\Program Files\Netscape Online Accélérateur\slipaccel.exe"
O4 - HKCU\..\Run: [NetscapeCC] "C:\Program Files\Netscape Online\ICC\NetscapeCC.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MSNMSGR.EXE" /background
O4 - HKCU\..\Run: [hkgaqge] C:\WINDOWS\System32\termcaps.exe
O4 - HKCU\..\Run: [ES Current Services] C:\WINDOWS\System32\termcaps.exe
O4 - HKCU\..\Run: [Configuration Loader] C:\WINDOWS\System32\termcaps.exe
O4 - HKCU\..\Run: [AdRoarUpdate] C:\WINDOWS\System32\termcaps.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Printing Migration] rundll32.exe C:\WINDOWS\System32\spool\migrate.dll,ProcessWin9xNetworkPrinters (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Printing Migration] rundll32.exe C:\WINDOWS\System32\spool\migrate.dll,ProcessWin9xNetworkPrinters (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe (file missing)

Salut,

OK

Télécharge, installe et mets à jour Malwarebytes Anti-Malwares …
http://forum.telecharger.01net.com/...
puis, lance un scan COMPLET et poste le rapport.

PS : si MalwareByte's a détecté des infections, clique sur Afficher les résultats,
puis sur Supprimer la sélection.

---
De retour fin d' AM/début de soirée ...

Ok je vais essayer ça en finissant de travailler.

Pour le mettre à jour, je n'aurai pas le choix de connecter mon ordi au réseau pour avoir accès à Internet. Pour les autres logiciels je les mettais sur ma clé USB et je les téléchargeait sur un et je les installait sur l'autre. Est-ce que c'est risqué pour l'autre ordi en réseau? Je ne veux pas aggraver mon problème non plus...

...

Je ne trouve pas trace de ta réponse ou du rapport de scan Malwarebytes !

edit : autant pour moi.

---
Télécharge Navilog1 (par IL-MAFIOSO) sur ton bureau :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Puis, double-clique sur l’ icône Navilog1 pour lancer l'installation (Exécuter).
Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le bureau.

Laisse-toi guider. Appuie sur une touche quand on te le demande.
Au menu principal, choisis 1 et valide.

< Ne fais pas le choix 2 >

Patiente le temps du scan.
Il te sera peut-être demandé de redémarrer ton PC.
Laisse l'outil agir automatiquement ; sinon, redémarre le PC si demandé.

Patiente jusqu'au message "Scan terminé le ..."
Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.

Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes.

PS : le rapport est, aussi, sauvegardé à la racine du disque dur C:\cleannavi.txt

Ça me dit

!!Path incorrects - Fix interrompu!!

Je n'ai pas encore fait le scan avec Malwarebytes.
Je veux juste savoir avant s'il y a une façon sécuritaire de le faire pour l'autre ordi en réseau. Est-ce que je peux bloquer le transfert entre les 2 ordi?

J'ai enfin fait le scan avec Malwarebytes

Voici le résultat. J'ai rééessayé après Navilog 1 et ça me donne le même résultat que tantôt.

au redémarage, j'ai eu un msg d'erreur comme quoi tous les malware n'avait pas pu être enlevés.

Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2384
Windows 5.1.2600 Service Pack 1

2009-07-06 22:03:31
mbam-log-2009-07-06 (22-03-31).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|)
Eléments examinés: 126403
Temps écoulé: 30 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\CLSID\{bc97b254-b2b9-4d40-971d-78e0978f5f26} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\CLSID\{12f02779-6d88-4958-8ad3-83c12d86adc7} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc (Trojan.Spammer) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts (Trojan.Downloader) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Configuration Loader (Backdoor.Bot) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\SYSTEM32\rpcc.dll (Trojan.Spammer) -> Delete on reboot.
c:\WINDOWS\SYSTEM32\game0.exe.exe (Worm.Zhelatin) -> Quarantined and deleted successfully.
c:\WINDOWS\casino.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\windev-peers.ini (Trojan.Tibs) -> Quarantined and deleted successfully.

Au rédémarage, j'avais encore le message d'erreur wdokbye.dll...

Bonsoir, bonjour

1/ Ouvre CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer
uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

2/ Crée un nouveau document texte :
Clic droit de souris sur le bureau, "Nouveau"> "Document Texte".
Ouvre-le et copie-colle dedans ce qui est en gras, ci-dessous
(copie tout d'un trait) :

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wdokbye.dll"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"e350b09b.exe"=-

Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

L'icône de fix.reg doit ressembler à cela ...

http://images0.hiboox.com/images/4905/avnoztv.jpg

*** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec
(choisis ta session habituelle, pas le compte "Administrateur" ou autre)***

--------------------------------------------
Tu n' auras pas accès à Internet pendant le "mode sans échec".
Aussi, copie/colle la procédure dans un fichier texte (word) et mets-la
sur le "bureau" pour l' avoir à ta disposition.
--------------------------------------------

3/ Assures-toi d'avoir accès aux dossiers/fichiers cachés :
Ouvrir un dossier ; n'importe lequel. Aller dans :
Outils > Options des dossiers > Affichage et,
- cocher "Afficher les dossiers et fichiers cachés" ;
- décocher "Masquer les extensions des fichiers dont le type est connu" ;
- décocher "Masquer les fichiers protégés du système d'exploitation (recommandé)"
"Appliquer" et "Ok"

4/ Recherche et supprime ces dossiers ou fichiers en gras, si tu les trouves :

C:\Documents and Settings\Simon\Local Settings\Application Data\wdokbye.dll <--
C:\Documents and Settings\Marie-Eve\Application Data\e350b09b.exe <--

5/ Sur le bureau, double-clique sur fix.reg => tu dois obligatoirement avoir un message
"Voulez-vous vraiment ajouter les infos contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "Oui".

6/ Lance Ccleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

7/ Redémarre normalement et poste …
un nouveau rapport HijackThis, toutes fenêtres et applications fermées.

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...)
ainsi que l'évolution de la situation.

Allo!

Le seul problème que j'ai eu c'est que les 2 fichiers n'étaient pas là.

Par contre, pour tout le reste tout était ok.
Au redémarage, je n'ai plus le message d'erreur (yééé!!).
Mon ordi est par contre, beaucoup plus lent qu'hier, avast trouve un paquet de trojan dans ses scans (je n'en ai pas fait de nouveau aujourd'hui) et redémarre tout le temps. Spybot ne fonctionne plus du tout depuis sa mise à jour, il ne veux plus ouvrir. Je vais essayer de le désinstaller et le réinstaller!

Merci!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:17:49, on 2009-07-07
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [win32hp] C:\WINDOWS\System32\winalt32.exe
O4 - HKLM\..\Run: [wdokbye.dll] C:\WINDOWS\System32\rundll32.exe "C:\Documents and Settings\Simon\Local Settings\Application Data\wdokbye.dll",bpzgoi
O4 - HKCU\..\Run: [SysOps] C:\WINDOWS\System32\termcaps.exe
O4 - HKCU\..\Run: [SWClient] C:\WINDOWS\System32\termcaps.exe
O4 - HKCU\..\Run: [slipaccel.exe] "C:\Program Files\Netscape Online Accélérateur\slipaccel.exe"
O4 - HKCU\..\Run: [NetscapeCC] "C:\Program Files\Netscape Online\ICC\NetscapeCC.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MSNMSGR.EXE" /background
O4 - HKCU\..\Run: [hkgaqge] C:\WINDOWS\System32\termcaps.exe
O4 - HKCU\..\Run: [ES Current Services] C:\WINDOWS\System32\termcaps.exe
O4 - HKCU\..\Run: [AdRoarUpdate] C:\WINDOWS\System32\termcaps.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Printing Migration] rundll32.exe C:\WINDOWS\System32\spool\migrate.dll,ProcessWin9xNetworkPrinters (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Printing Migration] rundll32.exe C:\WINDOWS\System32\spool\migrate.dll,ProcessWin9xNetworkPrinters (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe (file missing)

bonjour

pour suivre

Salut,

Il va peut-être falloir songer à installer le XP Service Pack 3, ainsi qu' IE 8 !

De plus, il faudrait délaisser Avast au profit d' Antivir ...

Dans l' immédiat, fais ce qui suit ...

Fais un clic-droit sur le lien ci-dessous :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe (par AndyManchesta)

Choisis "Enregistrer sous" (dans IE c'est "Enregistrer la cible/le lien sous..")
et sauvegarde-le (Enregistrer dans) sur le Bureau.

Important : dans "Nom du fichier" enregistre (renomme) "sdfix" ou "SdFix.exe" en sd-fix.exe

Redémarre en mode sans échec ...
http://www.pcastuces.com/pratique/windows/mode_sans_echec/page2.htm
(de préférence par F8 au démarrage).

--------------------------------------------
Tu n' auras pas accès à Internet pendant le "mode sans échec".
Aussi, copie/colle la procédure dans un fichier texte (word) et mets-la
sur le "bureau" pour l' avoir à ta disposition.
--------------------------------------------

Sur le bureau, double-clique sur sd-fix.exe et choisis Install pour l'extraire sur le Bureau.
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur
RunThis.cmd (ou RunThis.bat) pour lancer le script.

Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre des trojans trouvés puis te
demandera d'appuyer sur une touche pour redémarrer. Fais-le.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va
continuer à s'exécuter et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera "Finished".
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera
aussi dans le dossier SDFix sous le nom Report.txt.

Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse.

c'est moi qui ait mis +1 parce que je trouve les canned de bonne qualité ^^

...

"C'est moi qui ait mis +1 parce que je trouve les canned de bonne qualité"

Edit : ce qui explique, peut-être, la couleur verte sur tout le message ?!

Merci de ton soutien, gen-hackman. N' hésite pas à m' épauler en cas de défaillance ...

oui

Allo!

Le message d'erreur est revenu au redémarage mais je n'ai pas redémaré depuis le scan.

J'ai installé Antivir, merci du conseil.


[b]SDFix: Version 1.240 /b
Run by Marie-Eve on 2009-07-09 at 18:32

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services /b:

AUTOEXEC.NT Restored from backups

Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files /b:

Trojan Files Found:

C:\WINDOWS\SYSTEM32\AZESEA~1.XML - Deleted
C:\109478~1 - Deleted
C:\WINDOWS\system32\82872.exe - Deleted
C:\WINDOWS\system32\via.exe - Deleted
C:\WINDOWS\SYSTEM32\lzx32.sys - Deleted
C:\WINDOWS\system32\lzx32.sys - Deleted





Removing Temp Files

[b]ADS Check /b:



[b]Final Check /b:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-09 23:58:55
Windows 5.1.2600 Service Pack 1 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services /b:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[b]Remaining Files /b:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes /b:

Sat 21 Feb 2004 302 ..SH. --- "C:\AUTOEXEC.BAK"
Tue 25 Apr 2006 0 A.SH. --- "C:\WINDOWS\SYSTEM32\wupdmgr.tmp"
Mon 7 Jun 2004 56,832 A.SH. --- "C:\Program Files\Outlook Express\MSIMN.EXE"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\SDHelper (Spybot - Search & Destroy)\SDHelper.dll"
Thu 5 Mar 2009 2,260,480 A.SHR --- "C:\Program Files\TeaTimer (Spybot - Search & Destroy)\TeaTimer.exe"
Wed 22 Oct 2008 962,896 A.SHR --- "C:\Program Files\Misc. Support Library (Spybot - Search & Destroy)\Tools.dll"
Wed 22 Oct 2008 949,072 A.SHR --- "C:\Program Files\File Scanner Library (Spybot - Search & Destroy)\advcheck.dll"
Sat 1 May 2004 35,328 ...H. --- "C:\Documents and Settings\Marie-Eve\Mes documents\Travaux scolaires\diash\~WRL3014.tmp"
Sun 2 May 2004 52,224 ...H. --- "C:\Documents and Settings\Marie-Eve\Mes documents\Travaux scolaires\diash\~WRL3763.tmp"
Sun 2 May 2004 35,840 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL0004.tmp"
Sun 2 May 2004 35,840 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL3781.tmp"
Sun 2 May 2004 37,376 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL1201.tmp"
Sun 2 May 2004 39,424 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL0208.tmp"
Sun 2 May 2004 37,888 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL3329.tmp"
Sun 2 May 2004 38,400 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL1905.tmp"
Sun 2 May 2004 38,400 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL0769.tmp"
Sun 2 May 2004 38,912 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL1709.tmp"
Sun 2 May 2004 38,912 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL2933.tmp"
Sun 2 May 2004 42,496 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL2538.tmp"
Sun 2 May 2004 43,008 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL0899.tmp"
Sun 2 May 2004 44,544 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL2240.tmp"
Sun 2 May 2004 49,152 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL1199.tmp"
Sun 2 May 2004 49,664 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL3956.tmp"
Sun 2 May 2004 52,224 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL3375.tmp"
Sun 2 May 2004 53,760 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL1668.tmp"
Sun 2 May 2004 57,344 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL2473.tmp"
Sun 2 May 2004 58,880 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL2644.tmp"
Sun 2 May 2004 58,368 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL3391.tmp"
Sun 2 May 2004 60,416 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL3961.tmp"
Sun 3 Dec 2006 37,376 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL1203.tmp"
Sun 3 Dec 2006 38,400 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL0234.tmp"
Sun 3 Dec 2006 37,888 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL0017.tmp"
Sun 3 Dec 2006 39,424 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL0586.tmp"

[b]Finished!/b

Salut,

Clique droit sur UN de ces 3 liens pour installer ComboFix :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe
ou http://www.forospyware.com/sUBs/ComboFix.exe (par sUBs).

Choisis "Enregistrer sous" (dans IE c'est "Enregistrer la cible/le lien sous..")
et sauvegarde-le (Enregistrer dans) sur le Bureau.

Important : dans "Nom du fichier" enregistre (renomme) "combofix" en combo-fix.exe

Prends connaissance de ce tutoriel : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Ferme toutes les fenêtres et applications.
Déconnecte-toi du net et désactive tes protections résidentes :
http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm

Sur le bureau, double clique combo-fix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
ComboFix redémarrera ton PC.
Lorsque le scan sera complété, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse et nouveau rapport hijackthis.

PS : Le rapport se trouve également ici : C:\Combofix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l’analyse, cela pourrait provoquer le gel du programme!

Allo!!

Voici le log de combo

ComboFix 09-07-09.08 - Marie-Eve 2009-07-11 18:19.1.1 - FAT32x86
Lancé depuis: c:\documents and settings\Marie-Eve\Bureau\combo-fix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycled\NPROTECT
c:\windows\Installer\436ecb64.msi
c:\windows\Installer\d3fa4.msi
c:\windows\patch.exe
c:\windows\start.exe
c:\windows\system\msvbvm60.dll
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\imas3r
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\windows.scr
c:\windows\system32\WS2Fix.exe
c:\windows\Web\default.htt

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MSASVC
-------\Legacy_WINCOM32
-------\Service_MsaSvc


((((((((((((((((((((((((((((( Fichiers créés du 2009-06-11 au 2009-07-11 ))))))))))))))))))))))))))))))))))))
.

2018-04-02 23:15 . 2003-11-04 19:10 69632 ----a-w- c:\windows\system32\lfgif13n.dll
2018-04-02 23:15 . 2004-05-14 20:53 462848 ----a-w- c:\windows\system32\ltkrn13n.dll
2018-04-02 23:15 . 2004-05-14 20:53 450560 ----a-w- c:\windows\system32\ltimg13n.dll
2018-04-02 23:15 . 2004-05-14 20:53 299008 ----a-w- c:\windows\system32\ltdis13n.dll
2018-04-02 23:15 . 2004-05-14 20:53 163840 ----a-w- c:\windows\system32\ltfil13n.dll
2018-04-02 23:15 . 2004-05-14 20:53 57344 ----a-w- c:\windows\system32\lfbmp13n.dll
2018-04-02 23:15 . 2004-05-14 20:53 401408 ----a-w- c:\windows\system32\lfcmp13n.dll
2018-04-02 23:15 . 2004-01-12 06:09 206336 ----a-w- c:\windows\system32\ltefx13n.dll
2018-03-29 01:31 . 2002-08-29 05:27 4992 ----a-w- c:\windows\system32\drivers\MSTEE.sys
2018-03-29 01:30 . 2001-08-18 02:07 8064 ----a-w- c:\windows\system32\drivers\NdisIP.sys
2018-03-29 01:30 . 2001-08-18 02:07 14592 ----a-w- c:\windows\system32\drivers\StreamIP.sys
2018-03-29 01:30 . 2001-08-18 02:07 10752 ----a-w- c:\windows\system32\drivers\SLIP.sys
2018-03-29 01:30 . 2001-08-18 02:07 18560 ----a-w- c:\windows\system32\drivers\WSTCODEC.SYS
2018-03-29 01:30 . 2001-08-18 02:07 83712 ----a-w- c:\windows\system32\drivers\NABTSFEC.sys
2018-03-29 01:30 . 2002-08-29 05:33 16384 ----a-w- c:\windows\system32\drivers\CCDECODE.sys
2018-03-29 01:30 . 2001-08-23 21:47 45568 ----a-w- c:\windows\system\IYUV_32.DLL
2018-03-29 01:30 . 2002-08-29 15:45 286720 ----a-w- c:\windows\system\MSH263.DRV
2018-03-29 01:30 . 2002-08-29 15:45 50688 ----a-w- c:\windows\system32\vfwwdm32.dll
2018-03-29 01:29 . 2002-08-29 05:32 56832 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys
2018-02-09 03:13 . 2018-02-09 03:13 499712 ----a-w- c:\windows\system32\msvcp71.dll
2018-02-09 03:13 . 2018-02-09 03:13 348160 ----a-w- c:\windows\system32\msvcr71.dll
2018-02-08 23:19 . 2004-12-20 17:37 20016 ------w- c:\windows\system32\drivers\pxhelp20.sys
2018-02-01 20:44 . 2002-10-21 15:37 515803 ----a-w- c:\windows\system32\drivers\Ca533av.sys
2018-02-01 20:44 . 2002-07-25 15:19 10986 ----a-w- c:\windows\system32\drivers\Bulk533.sys
2018-02-01 20:44 . 2002-01-19 19:33 131072 ----a-w- c:\windows\system32\Sp5x_32.dll
2018-02-01 20:44 . 2002-01-19 19:33 131072 ----a-w- c:\windows\system\SP5X_32.DLL
2018-02-01 20:44 . 2018-02-01 20:44 -------- d-----w- c:\windows\Setup533
2018-02-01 20:43 . 2018-02-01 20:43 -------- d-----w- c:\windows\CameraInstall
2018-01-30 16:19 . 2018-01-30 16:19 333 ------w- c:\temp\msbb_gdf.dat
2018-01-30 16:15 . 2018-02-07 18:47 8457743 ----a-w- c:\temp\msbb_kyf.dat
2009-07-11 22:03 . 2009-07-11 22:03 -------- d-s---w- C:\ComboFix
2009-07-09 22:29 . 2009-07-09 22:29 -------- d-----w- c:\windows\ERUNT
2009-07-09 22:27 . 2008-11-06 06:03 -------- d-----w- C:\SDFix
2009-07-09 21:49 . 2009-03-30 14:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-07-09 21:49 . 2009-02-13 16:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-07-09 21:49 . 2009-02-13 16:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-07-09 21:48 . 2009-07-09 21:48 -------- d-----w- c:\program files\Avira
2009-07-09 21:48 . 2009-07-09 21:48 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-07-07 20:29 . 2003-03-18 19:20 1060864 ----a-w- c:\windows\system32\MFC71.dll
2009-07-07 20:29 . 2009-07-07 20:29 -------- d-----w- c:\program files\Alwil Software
2009-07-07 18:04 . 2009-07-07 18:04 -------- d-----w- c:\program files\TeaTimer (Spybot - Search & Destroy)
2009-07-07 18:04 . 2009-07-07 18:04 -------- d-----w- c:\program files\SDHelper (Spybot - Search & Destroy)
2009-07-07 18:04 . 2009-07-07 18:04 -------- d-----w- c:\program files\Misc. Support Library (Spybot - Search & Destroy)
2009-07-07 18:04 . 2009-07-07 18:04 -------- d-----w- c:\program files\File Scanner Library (Spybot - Search & Destroy)
2009-07-07 01:20 . 2009-07-07 01:20 -------- d-----w- c:\documents and settings\Marie-Eve\Application Data\Malwarebytes
2009-07-07 01:20 . 2009-07-07 01:20 -------- d-----w- c:\documents and settings\Marie-Eve\Application Data\Malwarebytes
2009-07-07 01:19 . 2009-06-17 15:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-07 01:19 . 2009-07-07 01:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-07-07 01:19 . 2009-06-17 15:27 18456 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-07 01:19 . 2009-07-07 01:19 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-07-06 23:47 . 2009-07-06 23:47 -------- d-----w- c:\program files\Navilog1
2009-07-06 00:41 . 2009-07-06 00:41 -------- d-----w- C:\GenProc
2009-07-06 00:22 . 2009-07-06 00:22 -------- d-----w- c:\program files\backups
2009-07-05 23:56 . 2009-07-05 23:56 -------- d-----w- c:\program files\CCleaner
2009-07-05 21:46 . 2009-07-05 21:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Avg7
2009-07-05 20:36 . 2009-07-05 20:36 -------- d-----w- C:\VundoFix Backups
2009-07-05 19:22 . 2009-07-05 19:22 396288 ----a-w- c:\program files\HijackThis.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2018-02-01 01:05 . 2004-03-09 21:38 12400 ----a-w- c:\windows\system32\drivers\secdrv.sys
2018-02-01 01:04 . 2002-11-21 17:33 1844 ----a-w- c:\windows\eReg.dat
2009-07-08 00:17 . 2009-07-05 19:24 4755 ----a-w- c:\program files\hijackthis.log
2009-07-07 01:13 . 2004-03-09 21:44 48616 ----a-w- c:\windows\system32\perfc00C.dat
2009-07-07 01:13 . 2004-03-09 21:44 367658 ----a-w- c:\windows\system32\perfh00C.dat
2002-11-14 01:15 . 2002-11-14 01:15 23506 ---h--w- c:\program files\folder.htt
2006-04-26 00:58 . 2006-04-26 00:58 0 --sha-w- c:\windows\SYSTEM32\wupdmgr.tmp
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\MSN Messenger\MSNMSGR.EXE" [2006-01-25 7094272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2005-12-21 278528]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-07 13312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Printing Migration"="c:\windows\System32\spool\migrate.dll" [2002-09-07 30720]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"msnmsgr"="c:\program files\MSN MESSENGER\MSNMSGR.EXE" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"3dfx Tools"=rundll32.exe 3dfxCmn.dll,CMNUpdateOnBoot
"WinampAgent"="c:\program files\WINAMP\WINAMPa.exe"
"AudioHQ"=c:\program files\Creative\SBLive\AudioHQ\AHQTB.EXE
"KAZAA"="c:\program files\KAZAA LITE K++\KPP.EXE" "c:\program files\KAZAA LITE K++\KAZAA.KPP" /SYSTRAY

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\setup\disabledrunkeys]
"LoadPowerProfile"=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
"SM56ACL"=sm56hlpr.exe
"LoadQM"=loadqm.exe
"NewsUpd"=c:\program files\Creative\News\NewsUpd.EXE /q
"Détecteur de disque"=c:\program files\Creative\ShareDLL\CtNotify.exe
"couponsandoffers"=wjview /cp:p "c:\program files\couponsandoffers\System\Code" Main lp: "c:\program files\couponsandoffers"
"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe"
"Advanced Tools Check"=c:\progra~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
"NPROTECT"=c:\progra~1\NORTON~1\ADVTOOLS\NPROTECT.EXE

R0 avgntmgr;avgntmgr;c:\windows\SYSTEM32\DRIVERS\avgntmgr.sys [2009-07-09 22360]
R1 avgntdd;avgntdd;c:\windows\SYSTEM32\DRIVERS\avgntdd.sys [2009-07-09 45416]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-07-09 108289]
R3 3dfxvs;3dfxvs;c:\windows\SYSTEM32\DRIVERS\3dfxvsm.sys [2001-10-03 148352]
S2 Ca533av;Polaroid Digital Cam Video;c:\windows\SYSTEM32\DRIVERS\Ca533av.sys [2018-02-01 515803]
S3 Ip6FwHlp;Pare-feu de connexion Internet IPv6;c:\windows\System32\svchost.exe -k netsvcs [2004-03-09 12800]
S3 NtApm;Pilote d'interface NT APM/hérité;c:\windows\SYSTEM32\DRIVERS\NtApm.sys [2004-03-09 9472]
S3 USBCamera;Icatch(IV) Still Camera Device;c:\windows\SYSTEM32\DRIVERS\Bulk533.sys [2018-02-01 10986]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
"c:\progra~1\OUTLOO~1\setup50.exe" /APP:OE /CALLER:WIN9X /user /install

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
"c:\progra~1\OUTLOO~1\setup50.exe" /APP:OE /CALLER:WIN9X /user /install
"c:\progra~1\OUTLOO~1\setup50.exe" /APP:OE /CALLER:IE50 /user /install

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
"c:\progra~1\OUTLOO~1\setup50.exe" /APP:WAB /CALLER:WIN9X /user /install

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
"c:\progra~1\OUTLOO~1\setup50.exe" /APP:WAB /CALLER:WIN9X /user /install
"c:\progra~1\OUTLOO~1\setup50.exe" /APP:WAB /CALLER:IE50 /user /install

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}]
c:\windows\SYSTEM32\updcrl.exe -e -u c:\windows\SYSTEM\verisignpub1.crl
.
Contenu du dossier 'Tâches planifiées'

2009-07-11 c:\windows\Tasks\Rappel d'expiration de la désinstallation.job
- c:\windows\System32\OOBE\oobebaln.exe [2004-03-09 04:00]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-SysOps - c:\windows\System32\termcaps.exe
HKCU-Run-SWClient - c:\windows\System32\termcaps.exe
HKCU-Run-slipaccel.exe - c:\program files\Netscape Online Accélérateur\slipaccel.exe
HKCU-Run-NetscapeCC - c:\program files\Netscape Online\ICC\NetscapeCC.exe
HKCU-Run-hkgaqge - c:\windows\System32\termcaps.exe
HKCU-Run-AdRoarUpdate - c:\windows\System32\termcaps.exe
HKLM-Run-win32hp - c:\windows\System32\winalt32.exe
HKLM-Run-wdokbye.dll - c:\documents and settings\Simon\Local Settings\Application Data\wdokbye.dll
HKLM-Run-avast! - c:\progra~1\ALWILS~1\Avast4\ashDisp.exe


.
------- Examen supplémentaire -------
.
Trusted Zone: microsoft.com\v4.windowsupdate
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-11 18:36
Windows 5.1.2600 Service Pack 1 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(508)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(564)
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(164)
c:\windows\System32\msi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\AVIRA\ANTIVIR DESKTOP\AVGUARD.EXE
c:\windows\SYSTEM32\WDFMGR.EXE
c:\program files\iPod\bin\iPodService.exe
c:\windows\System32\devldr32.exe
.
**************************************************************************
.
Heure de fin: 2009-07-11 18:44 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-07-11 22:44

Avant-CF: 109 641 728 octets libres
Après-CF: 220 168 192 octets libres

winxpsp1_fr_pro_bf.exe
[boot loader]
timeout = 30
default = multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS = "Microsoft Windows XP Professionnel" /fastdetect

215