[Adware] Buffer overrun + Pop-ups...Résolu/Fermé

Question

Bonjour!

Alors voila, ma copine a involontairement téléchargé un Adware/Trojan d'un de ses contact MSN. Cela a donc créé un petit icone de cheval et un autre fichier dans "Mes Documents"(Que j'ai tout deux supprimés).

Ad-Aware a détecté : Adware(BHO). 
AVG n'a rien détecté.

Meme apres avoir supprimé "Adware(BHO)", les pop-ups sur internet persistent et j'ai un message comme suit:

Microsoft Visual C++ Runtime Library
Buffer overrun detected!
Program: C:\WINDOWS\explorer.exe
A buffer overrun has been detected which has crrupted the program's internat state. The program cannot safely continue execution and must now be terminated.

Lorsque je fait OK, explorer.exe se redémarre et le message réapparait. (Note: la vitesse de mon ordi est affectée).

Merci d'avance!

bauby · Answer

Voici mon HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 11:07:20, on 2007-04-19
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Owner\Desktop\Anti-Bobos\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.meteomedia.com/ca/meteo/quebec/saint-lin-laurentides
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [diagent] "C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe" startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

bauby · Answer

~

green day · Answer

Salut

fais un clic droit sur hijackthis.exe < renommer et nomme le CCM.exe

ensuite, reposte un hijack stp

++

bauby · Answer

Logfile of HijackThis v1.99.1
Scan saved at 12:49:33, on 2007-04-19
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Owner\Desktop\Anti-Bobos\hijackthis_199\CCM.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.meteomedia.com/ca/meteo/quebec/saint-lin-laurentides
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1692A2E3-A8EE-4B30-99B6-A14089218F28} - (no file)
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {84493B37-C009-4577-974F-8402EEBD07BB} - C:\WINDOWS\System32\ddaya.dll
O2 - BHO: (no name) - {970D022E-A884-4D2A-BB4A-EBC22D2FEBD2} - C:\WINDOWS\System32\pmnonmk.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [diagent] "C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe" startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: ddaya - C:\WINDOWS\System32\ddaya.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: pmnonmk - C:\WINDOWS\SYSTEM32\pmnonmk.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

green day · Answer

ok,

Téléchargez VundoFix.exe (par Atribune) sur ton Bureau : 

 http://www.atribune.org/ccount/click.php?id=4

*Double-clique VundoFix.exe afin de le lancer.
* Cliquez sur le bouton Scan for Vundo.
* Lorsque le scan est complété, cliquez sur le bouton Remove Vundo.
* Une invite vous demandera  supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
 * le PC va s'éteindre ("shutdown") :  clique OK
 * Démarrez votre PC à nouveau
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. 

++

bauby · Answer

Vundo:


VundoFix V6.3.19

Checking Java version...

Java version is 1.5.0.3
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Java version is 1.5.0.11

Scan started at 14:15:23 2007-04-19

Listing files found while scanning....

C:\WINDOWS\System32\ayadd.ini
C:\WINDOWS\System32\ddaya.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\System32\ayadd.ini
C:\WINDOWS\System32\ayadd.ini Has been deleted!

 Attempting to delete C:\WINDOWS\System32\ddaya.dll
C:\WINDOWS\System32\ddaya.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete C:\WINDOWS\System32\ddaya.dll
C:\WINDOWS\System32\ddaya.dll Has been deleted!

Performing Repairs to the registry.
Done!



HiJackThis:

C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Owner\Desktop\Anti-Bobos\hijackthis_199\CCM.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.meteomedia.com/ca/meteo/quebec/saint-lin-laurentides
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1692A2E3-A8EE-4B30-99B6-A14089218F28} - (no file)
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {84493B37-C009-4577-974F-8402EEBD07BB} - C:\WINDOWS\System32\ddaya.dll (file missing)
O2 - BHO: (no name) - {970D022E-A884-4D2A-BB4A-EBC22D2FEBD2} - C:\WINDOWS\System32\pmnonmk.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [diagent] "C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe" startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: pmnonmk - C:\WINDOWS\SYSTEM32\pmnonmk.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

bauby · Answer

Avast vient de m'alerter:

C:\DOCUME~1\Owner\LOCALS~1\Temp\Spfxhowt.dll
Malware name : Win32:VB Stat-C[Trj]
Malware type : Trojan Horse

J'ai fait "Move to chest" comme recommendé...

Note: J'ai encore des pop-ups, mais depuis VundoFix, je n'ai plus l'alerte de "Buffer overrun".

green day · Answer

ok,

Prendre connaissance du contenu du lien suivant: 
http://www.f-secure.com/products/license-terms/eult_fra.pdf 
Tu as donc pris connaissance et accepté les conditions d'utilisations du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger. 
Maintenant fais un clic droit sur ce lien : 
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip 
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau. 
Fais un clic droit sur navilog1.zip et choisis "tout extraire" 
Ensuite double clique sur navilog1.bat 
Laisses-toi guider. Au menu principal, choisis 1 et valides. 
(ne fais pas le choix 2 sans notre avis/accord) 
Patientes jusqu'au message : 
*** Analyse Termine le ..... *** 
Appuies sur une touche comme demandé, le blocnote va s'ouvrir. 
Copies-colles l'intégralité dans une réponse. Refermes le blocnote. 
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt) 


++

bauby · Answer

Search Navipromo version 1.1.5 commencé le 2007-04-19 à 15:37:59,57
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\Owner\Desktop
Mise a jour le 13.04.2007 a 20h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Owner\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 04/19/07 at 15:38:04.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ...................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 04/19/07 at 15:41:09 (return code = 0).


*** Recherche fichiers *** 




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:

C:\WINDOWS\system32\wyadd.bak1 trouvé ! infection Vundo possible non traité par cet outil !

2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 
 
 
*** Analyse Terminé le 2007-04-19 à 15:41:53,21 ***

green day · Answer

ok,

Télécharge clean.zip 
http://www.malekal.com/download/clean.zip 
Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean. 
Ouvre le dossier Clean qui se trouve sur ton bureau. 
Double-clic sur clean.cmd. 
Une fenêtre noire va apparaître, choisis l'option 1 
Poste le rapport qui se trouve ici C:\rapport_clean.txt 


ensuite : 

# Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 

Double-clic sur clean.cmd. 
Une fenêtre noire va apparaître, choisis l'option 2
Poste le rapport qui se trouve ici C:\rapport_clean.txt 

++

bauby · Answer

Rapport:

 2007-04-19 a 16:45:46,04 
 
*** Recherche  C: 
 
*** Recherche  C:\WINDOWS\ 
 
*** Recherche  C:\WINDOWS\system32 
 
*** Recherche  C:\Program Files 
*** End of the report ! 
 
Il n'a rien détecté, dois-je tout de meme le faire en mode sans échec?

green day · Answer

non pas nécessaires ! 

ensuite, fais un scan avec avg antispy et un scan en ligne stp

++

bauby · Answer

---------------------------------------------------------
AVG Anti-Spyware - Scan Report
---------------------------------------------------------

 + Created at:	01:04:52 2007-04-20

 + Scan result:	



C:\Documents and Settings\Owner\Local Settings\Temporary Internet Files\Content.IE5\J2FPH97Q\WinAntiSpyware2006FreeInstall_fr[1].exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : No action taken.
C:\Documents and Settings\Owner\Cookies\owner@247realmedia[1].txt -> TrackingCookie.247realmedia : No action taken.
C:\Documents and Settings\Owner\Cookies\owner@buzznet.112.2o7[1].txt -> TrackingCookie.2o7 : No action taken.
C:\Documents and Settings\Owner\Cookies\owner@adtech[2].txt -> TrackingCookie.Adtech : No action taken.
C:\Documents and Settings\Owner\Cookies\owner@bluestreak[2].txt -> TrackingCookie.Bluestreak : No action taken.
C:\Documents and Settings\Owner\Cookies\owner@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : No action taken.
C:\Documents and Settings\Owner\Cookies\owner@mediaplex[1].txt -> TrackingCookie.Mediaplex : No action taken.
C:\Documents and Settings\Owner\Cookies\owner@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : No action taken.


::Report end


Euh.. Scan en ligne = ??

green day · Answer

Salut

 voir 3/ de ce lien ;-)

virus methode preliminaire de desinfection version fr

++

bauby · Answer

Dsl pour le retard.. je n'ai pas eu aucun temps à la maison!

Voici le rapport de BitDefender:

BitDefender Online Scanner
  
Scan report generated at: Sat, Apr 21, 2007 - 11:57:34

Scan path: A:\;C:\;D:\;E:\;F:\;
 
Statistics
 
Time
 00:59:38

Files
 220361
 
Folders
 3461
 
Boot Sectors
 3 
Archives
 1467
 
Packed Files
 10028

Results
 
Identified Viruses 
 10 
Infected Files 
 22 
Suspect Files 
 0
Warnings
 0
Disinfected
 0 
Deleted Files
 19
  
Engines Info
 
Virus Definitions
 487228
 
Engine build
 AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)
 
Scan plugins
 14
 
Archive plugins
 38
 
Unpack plugins
 6
 
E-mail plugins
 6
 
System plugins
 1
 
   
Scan Settings
 
First Action
 Disinfect
 
Second Action
 Delete
 
Heuristics
 Yes
 
Enable Warnings
 Yes
 
Scanned Extensions
 *;
 
Exclude Extensions
  
 
Scan Emails
 Yes
 
Scan Archives
 Yes
 
Scan Packed
 Yes
 
Scan Files
 Yes
 
Scan Boot
 Yes
 
  
  
 
  Scanned File
  Status
 
C:\Documents and Settings\Owner\Local Settings\Temporary Internet Files\Content.IE5\J2FPH97Q\WinAntiSpyware2006FreeInstall_fr[1].exe
 Infected with: Trojan.Downloader.Winfixer.O
 
C:\Documents and Settings\Owner\Local Settings\Temporary Internet Files\Content.IE5\J2FPH97Q\WinAntiSpyware2006FreeInstall_fr[1].exe
 Disinfection failed
 
C:\Documents and Settings\Owner\Local Settings\Temporary Internet Files\Content.IE5\J2FPH97Q\WinAntiSpyware2006FreeInstall_fr[1].exe
 Deleted
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP29\A0004444.exe=>(NSIS o)=>zlib_nsis0001
 Infected with: MemScan:Trojan.Vundo.AJ
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP29\A0004444.exe=>(NSIS o)=>zlib_nsis0001
 Disinfection failed
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP29\A0004444.exe=>(NSIS o)=>zlib_nsis0001
 Deleted
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP29\A0004444.exe=>(NSIS o)
 Update failed
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP29\A0004444.exe=>(NSIS o)=>zlib_nsis0002
 Infected with: Trojan.Downloader.Adload.NAH
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP29\A0004444.exe=>(NSIS o)=>zlib_nsis0002
 Disinfection failed
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP29\A0004444.exe=>(NSIS o)=>zlib_nsis0002
 Deleted
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP29\A0004444.exe=>(NSIS o)
 Update failed
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP29\A0004447.exe=>(NSIS o)=>zlib_nsis0001
 Infected with: MemScan:Trojan.Vundo.AJ
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP29\A0004447.exe=>(NSIS o)=>zlib_nsis0001
 Disinfection failed
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP29\A0004447.exe=>(NSIS o)=>zlib_nsis0001
 Deleted
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP29\A0004447.exe=>(NSIS o)
 Update failed
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP29\A0004447.exe=>(NSIS o)=>zlib_nsis0002
 Infected with: Trojan.Downloader.Adload.NAH
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP29\A0004447.exe=>(NSIS o)=>zlib_nsis0002
 Disinfection failed
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP29\A0004447.exe=>(NSIS o)=>zlib_nsis0002
 Deleted
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP29\A0004447.exe=>(NSIS o)
 Update failed
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP29\A0004495.exe=>(NSIS o)=>zlib_nsis0001
 Infected with: MemScan:Trojan.Vundo.AJ
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP29\A0004495.exe=>(NSIS o)=>zlib_nsis0001
 Disinfection failed
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP29\A0004495.exe=>(NSIS o)=>zlib_nsis0001
 Deleted
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP29\A0004495.exe=>(NSIS o)
 Update failed
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP30\A0004502.rbf
 Infected with: Backdoor.MSNMaker.AH
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP30\A0004502.rbf
 Disinfection failed
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP30\A0004502.rbf
 Deleted
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP33\A0005694.dll
 Infected with: Trojan.Vundo.AN
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP33\A0005694.dll
 Disinfection failed
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP33\A0005694.dll
 Deleted
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP33\A0005695.dll
 Infected with: MemScan:Trojan.Vundo.DLM
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP33\A0005695.dll
 Disinfection failed
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP33\A0005695.dll
 Deleted
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP33\A0005696.dll
 Infected with: MemScan:Trojan.Vundo.DLM
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP33\A0005696.dll
 Disinfection failed
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP33\A0005696.dll
 Deleted
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP33\A0005697.dll
 Infected with: MemScan:Trojan.Vundo.DLM
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP33\A0005697.dll
 Disinfection failed
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP33\A0005697.dll
 Deleted
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP33\A0005698.dll
 Infected with: Trojan.Vundo.AN
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP33\A0005698.dll
 Disinfection failed
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP33\A0005698.dll
 Deleted
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP33\A0005699.dll
 Infected with: Trojan.Vundo.AN
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP33\A0005699.dll
 Disinfection failed
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP33\A0005699.dll
 Deleted
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP34\A0005745.dll
 Infected with: MemScan:Trojan.Vundo.DLN
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP34\A0005745.dll
 Disinfection failed
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP34\A0005745.dll
 Deleted
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP34\A0005758.dll
 Infected with: MemScan:Trojan.Vundo.AP
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP34\A0005758.dll
 Disinfection failed
 
C:\System Volume Information\_restore{4DBF1A31-BA57-4334-9EFA-5D3FEC37F8AF}\RP34\A0005758.dll
 Deleted
 
C:\VundoFix Backups\ddaya.dll.bad
 Infected with: MemScan:Trojan.Vundo.DLN
 
C:\VundoFix Backups\ddaya.dll.bad
 Disinfection failed
 
C:\VundoFix Backups\ddaya.dll.bad
 Deleted
 
C:\WINDOWS\system32\auteabvk.dll
 Infected with: Trojan.Delf.ZJ
 
C:\WINDOWS\system32\auteabvk.dll
 Disinfection failed
 
C:\WINDOWS\system32\auteabvk.dll
 Deleted
 
C:\WINDOWS\system32\ddayw.dll
 Infected with: MemScan:Trojan.Vundo.AP
 
C:\WINDOWS\system32\ddayw.dll
 Disinfection failed
 
C:\WINDOWS\system32\ddayw.dll
 Delete failed
 
C:\WINDOWS\system32\hpjwraqa.dll
 Infected with: Trojan.Vundo.AO
 
C:\WINDOWS\system32\hpjwraqa.dll
 Disinfection failed
 
C:\WINDOWS\system32\hpjwraqa.dll
 Delete failed
 
C:\WINDOWS\system32\ipxwfmlc.dll
 Infected with: Trojan.Vundo.AN
 
C:\WINDOWS\system32\ipxwfmlc.dll
 Disinfection failed
 
C:\WINDOWS\system32\ipxwfmlc.dll
 Deleted
 
C:\WINDOWS\system32\lxgjncfj.dll
 Infected with: Trojan.Vundo.AN
 
C:\WINDOWS\system32\lxgjncfj.dll
 Disinfection failed
 
C:\WINDOWS\system32\lxgjncfj.dll
 Deleted
 
C:\WINDOWS\system32\pmnonmk.dll
 Infected with: MemScan:Trojan.Vundo.DLM
 
C:\WINDOWS\system32\pmnonmk.dll
 Disinfection failed
 
C:\WINDOWS\system32\pmnonmk.dll
 Delete failed

green day · Answer

Salut

reposte un hijack stp

++

bauby · Answer

Logfile of HijackThis v1.99.1
Scan saved at 11:10:53, on 2007-04-22
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Documents and Settings\Owner\Desktop\Anti-Bobos\hijackthis_199\CCM.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.meteomedia.com/ca/meteo/quebec/saint-lin-laurentides
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\System32\hpjwraqa.dll (file missing)
O2 - BHO: (no name) - {1692A2E3-A8EE-4B30-99B6-A14089218F28} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {84493B37-C009-4577-974F-8402EEBD07BB} - (no file)
O2 - BHO: (no name) - {970D022E-A884-4D2A-BB4A-EBC22D2FEBD2} - C:\WINDOWS\System32\pmnonmk.dll
O2 - BHO: (no name) - {9E22A4C3-4B2C-487D-934E-9D7985BECEA7} - C:\WINDOWS\System32\ddayw.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [diagent] "C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe" startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: ddayw - C:\WINDOWS\System32\ddayw.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: pmnonmk - C:\WINDOWS\SYSTEM32\pmnonmk.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

green day · Answer

ok,

# Désactiver la Restauration du système 

* Cliquez sur le bouton Démarrer. 
* Cliquez avec le bouton droit de la souris sur Poste de travail puis cliquez sur Propriétés. 
* Dans l'onglet Restauration du système, sélectionnez l'option Désactiver la Restauration du système ou Désactiver la Restauration du système sur tous les lecteurs 

( tu pourras la réactivé à la fin de la manip )


# Relance HijackThis : choisis " do a scan only" coche la case devant les lignes ci-dessous et clique en bas sur "fix checked" :

O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\System32\hpjwraqa.dll (file missing)
O2 - BHO: (no name) - {1692A2E3-A8EE-4B30-99B6-A14089218F28} - (no file) 
O2 - BHO: (no name) - {84493B37-C009-4577-974F-8402EEBD07BB} - (no file)
O2 - BHO: (no name) - {970D022E-A884-4D2A-BB4A-EBC22D2FEBD2} - C:\WINDOWS\System32\pmnonmk.dll
O2 - BHO: (no name) - {9E22A4C3-4B2C-487D-934E-9D7985BECEA7} - C:\WINDOWS\System32\ddayw.dll 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k 

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 

O20 - Winlogon Notify: ddayw - C:\WINDOWS\System32\ddayw.dll

O20 - Winlogon Notify: pmnonmk - C:\WINDOWS\SYSTEM32\pmnonmk.dll 

==> cherche et supprime les fichiers en gras :

C:\WINDOWS\System32\hpjwraqa.dll
C:\WINDOWS\System32\ddayw.dll
C:\WINDOWS\SYSTEM32\pmnonmk.dll 

==> repasse un coup de ccleaner 

 precise tes soucis s'il en reste !

@+

La sagesse, c'est d'avoir des rêves suffisamment grands pour ne pas les
perdre de vue lorsqu'on les poursuit. (Oscar Wilde)

bauby · Answer

Je ne suis pas capable de supprimer ces deux fichiers :

C:\WINDOWS\System32\ddayw.dll 
C:\WINDOWS\SYSTEM32\pmnonmk.dll

*Ils sont toujours présents dans HiJackThis

J'essaye en mode sans échec?

green day · Answer

oui, essaye en mode sans echec !

++

bauby · Answer

Ca marche pas.. :S

green day · Answer

Salut

ok,

Télécharge VirtumundoBegone sur le bureau: 
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe 

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions. 
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis. 
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu 


++

bauby · Answer

Re!
Grace au programme, j'ai pu supprimer pmnonmk.dll, mais pas ddayw.dll

Voici les deux logs demandés :


[04/23/2007, 16:17:41] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Owner\Desktop\VirtumundoBeGone.exe" )
[04/23/2007, 16:17:50] - Detected System Information:
[04/23/2007, 16:17:50] -  Windows Version: 5.1.2600, Service Pack 1
[04/23/2007, 16:17:50] -  Current Username: Owner (Admin)
[04/23/2007, 16:17:50] -  Windows is in NORMAL mode.
[04/23/2007, 16:17:50] - Searching for Browser Helper Objects:
[04/23/2007, 16:17:50] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[04/23/2007, 16:17:50] -  BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/23/2007, 16:17:50] -  BHO 3: {81B0185C-8432-47CA-8007-9BF16186EDCB} ()
[04/23/2007, 16:17:50] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/23/2007, 16:17:50] -  Checking for HKLM\...\Winlogon\Notify\ddayw
[04/23/2007, 16:17:50] -  Found: HKLM\...\Winlogon\Notify\ddayw - This is probably Virtumundo.
[04/23/2007, 16:17:50] -  Assigning {81B0185C-8432-47CA-8007-9BF16186EDCB} MSEvents Object
[04/23/2007, 16:17:50] - BHO list has been changed! Starting over...
[04/23/2007, 16:17:50] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[04/23/2007, 16:17:50] -  BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/23/2007, 16:17:51] -  BHO 3: {81B0185C-8432-47CA-8007-9BF16186EDCB} (MSEvents Object)
[04/23/2007, 16:17:51] - ALERT: Found MSEvents Object!
[04/23/2007, 16:17:51] -  BHO 4: {970D022E-A884-4D2A-BB4A-EBC22D2FEBD2} ()
[04/23/2007, 16:17:51] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/23/2007, 16:17:51] -  Checking for HKLM\...\Winlogon\Notify\pmnonmk
[04/23/2007, 16:17:51] -  Found: HKLM\...\Winlogon\Notify\pmnonmk - This is probably Virtumundo.
[04/23/2007, 16:17:51] -  Assigning {970D022E-A884-4D2A-BB4A-EBC22D2FEBD2} MSEvents Object
[04/23/2007, 16:17:51] - BHO list has been changed! Starting over...
[04/23/2007, 16:17:51] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[04/23/2007, 16:17:51] -  BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/23/2007, 16:17:51] -  BHO 3: {81B0185C-8432-47CA-8007-9BF16186EDCB} (MSEvents Object)
[04/23/2007, 16:17:51] - ALERT: Found MSEvents Object!
[04/23/2007, 16:17:51] -  BHO 4: {970D022E-A884-4D2A-BB4A-EBC22D2FEBD2} (MSEvents Object)
[04/23/2007, 16:17:51] - ALERT: Found MSEvents Object!
[04/23/2007, 16:17:51] - Finished Searching Browser Helper Objects
[04/23/2007, 16:17:51] - *** Detected MSEvents Object
[04/23/2007, 16:17:51] - Trying to remove MSEvents Object...
[04/23/2007, 16:17:52] -    Terminating Process: IEXPLORE.EXE
[04/23/2007, 16:17:52] -    Terminating Process: RUNDLL32.EXE
[04/23/2007, 16:17:52] -    Disabling Automatic Shell Restart
[04/23/2007, 16:17:52] -    Terminating Process: EXPLORER.EXE
[04/23/2007, 16:17:52] -    Suspending the NT Session Manager System Service
[04/23/2007, 16:17:53] -    Terminating Windows NT Logon/Logoff Manager
[04/23/2007, 16:23:21] -    Re-enabling Automatic Shell Restart
[04/23/2007, 16:23:21] -   File to disable: C:\WINDOWS\System32\ddayw.dll
[04/23/2007, 16:23:21] -  Renaming C:\WINDOWS\System32\ddayw.dll -> C:\WINDOWS\System32\ddayw.dll.vir
[04/23/2007, 16:23:21] - ! File rename was unsucessful.
[04/23/2007, 16:23:21] -  Attempting to Deny Access to C:\WINDOWS\System32\ddayw.dll
[04/23/2007, 16:23:21] - *** IMPORTANT: Delete/Rename/Move on reboot (like Killbox) MAY NOT work.
[04/23/2007, 16:23:21] -  processed file:  C:\WINDOWS\System32\ddayw.dll

[04/23/2007, 16:23:21] - *** IMPORTANT: The file is disabled and will need to be deleted by the user.
[04/23/2007, 16:23:21] -   Removing HKLM\...\Browser Helper Objects\{81B0185C-8432-47CA-8007-9BF16186EDCB}
[04/23/2007, 16:23:21] -   Removing HKCR\CLSID\{81B0185C-8432-47CA-8007-9BF16186EDCB}
[04/23/2007, 16:23:21] -   Adding Kill Bit for ActiveX for GUID: {81B0185C-8432-47CA-8007-9BF16186EDCB}
[04/23/2007, 16:23:21] -   Deleting ATLEvents/MSEvents Registry entries
[04/23/2007, 16:23:22] -   Removing HKLM\...\Winlogon\Notify\ddayw
[04/23/2007, 16:23:22] - Searching for Browser Helper Objects:
[04/23/2007, 16:23:22] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[04/23/2007, 16:23:22] -  BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/23/2007, 16:23:22] -  BHO 3: {970D022E-A884-4D2A-BB4A-EBC22D2FEBD2} (MSEvents Object)
[04/23/2007, 16:23:22] - ALERT: Found MSEvents Object!
[04/23/2007, 16:23:22] - Finished Searching Browser Helper Objects
[04/23/2007, 16:23:22] - *** Detected MSEvents Object
[04/23/2007, 16:23:22] - Trying to remove MSEvents Object...
[04/23/2007, 16:23:23] -    Terminating Process: IEXPLORE.EXE
[04/23/2007, 16:23:23] -    Terminating Process: RUNDLL32.EXE
[04/23/2007, 16:23:23] -    Disabling Automatic Shell Restart
[04/23/2007, 16:23:23] -    Terminating Process: EXPLORER.EXE
[04/23/2007, 16:23:23] -    Suspending the NT Session Manager System Service
[04/23/2007, 16:23:23] -    Terminating Windows NT Logon/Logoff Manager
[04/23/2007, 16:23:23] -    Re-enabling Automatic Shell Restart
[04/23/2007, 16:23:23] -   File to disable: C:\WINDOWS\system32\pmnonmk.dll
[04/23/2007, 16:23:23] -  Renaming C:\WINDOWS\system32\pmnonmk.dll -> C:\WINDOWS\system32\pmnonmk.dll.vir
[04/23/2007, 16:23:23] - ! File rename was unsucessful.
[04/23/2007, 16:23:23] -  Attempting to Deny Access to C:\WINDOWS\system32\pmnonmk.dll
[04/23/2007, 16:23:23] - *** IMPORTANT: Delete/Rename/Move on reboot (like Killbox) MAY NOT work.
[04/23/2007, 16:23:23] -  ERROR: The system cannot find the file specified.

[04/23/2007, 16:23:23] - *** IMPORTANT: The file is disabled and will need to be deleted by the user.
[04/23/2007, 16:23:23] -   Removing HKLM\...\Browser Helper Objects\{970D022E-A884-4D2A-BB4A-EBC22D2FEBD2}
[04/23/2007, 16:23:23] -   Removing HKCR\CLSID\{970D022E-A884-4D2A-BB4A-EBC22D2FEBD2}
[04/23/2007, 16:23:23] -   Adding Kill Bit for ActiveX for GUID: {970D022E-A884-4D2A-BB4A-EBC22D2FEBD2}
[04/23/2007, 16:23:23] -   Deleting ATLEvents/MSEvents Registry entries
[04/23/2007, 16:23:23] -   Removing HKLM\...\Winlogon\Notify\pmnonmk
[04/23/2007, 16:23:24] - Searching for Browser Helper Objects:
[04/23/2007, 16:23:24] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[04/23/2007, 16:23:24] -  BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/23/2007, 16:23:24] - Finished Searching Browser Helper Objects
[04/23/2007, 16:23:24] - Finishing up...
[04/23/2007, 16:23:24] - A restart is needed.
[04/23/2007, 16:23:24] - Automatic Reboot on STOP Error is not set. User will have to manually restart.
[04/23/2007, 16:33:29] - Attempting to Restart via STOP error (Blue Screen!)


HiJackThis :

Logfile of HijackThis v1.99.1
Scan saved at 16:36:38, on 2007-04-23
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Owner\Desktop\Anti-Bobos\hijackthis_199\CCM.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.meteomedia.com/ca/meteo/quebec/saint-lin-laurentides
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [diagent] "C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe" startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

bauby · Answer

Bonne nouvelle!

J'ai réussit à supprimer ddayw.dll avec Killbox!
Plus de pop-ups!

Merci :D

green day · Answer

ok ! :)

@+

yaya1605 · Answer

Bonjour,
J'ai mon ordinateur qui n'arrete pas d'Afficher des pop-ups et la ca devient trop de trop ,alors voila ce qu'on mon affiche :

Buffer overrun detected! 
Program: C:\WINDOWS\explorer.exe 
SVP aidez moi !!!

green day · Answer

Salut

Télécharge ceci sur ton bureau :

Lien :  hijackthis

Démo : http://pageperso.aol.fr/balltrap34/demohijack.htm 
 
Choisir l'option "do a scan and a logfile", et faire un copier/coller du rapport ainsi générer sur le forum.

++

ced · Answer

Bonjour,j'ai  exactement le meme souci. Aidez moi ca saoule.En plus des videos real player ne s'ouvrent plus.

Configuration: Windows XP
Internet Explorer 6.0
 

voici le rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:49:37, on 03/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\spnpinst.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\TOMTOM\TomTomHOME.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9XE.EXE
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TOMTOM\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [EPSON Stylus Photo R320 Series] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9XE.EXE" /P30 "EPSON Stylus Photo R320 Series" /O6 "USB001" /M "Stylus Photo R320"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0314b70b29085fde4319/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{491A7CF7-F1FC-4B63-B62D-5AC0DB237B23}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

ced · Answer

persoonne ne veut m'aider

green day · Answer

Salut :)

    * Prendre connaissance du contenu du lien suivant: http://www.f-secure.com/products/license-terms/eult_fra.pdf
    * Vous avez donc pris connaissance et accepté les conditions d'utilisations du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que vous allez télécharger.
    * Faire un clic droit sur ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
    * Enregistrez la cible (du lien) sous... et enregistrez-le sur le bureau.
    * Faire un clic droit sur navilog1.zip et choisir "tout extraire"
    * Double-cliquez sur navilog1.bat
    * Arriver au menu principal, choisir l'option 1 et valider.
    * Patientez jusqu'au message : Analyse Termine le ...
    * Le rapport sera en outre sauvegardé à la racine du disque (fixnavi.txt), poste le stp

++

ced · Answer

salut et merci de repondre. Voila le rapport :

earch Navipromo version 3.2.1 commencé le 04/10/2007 à 23:23:04,68

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 03.10.2007 a 20h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180 


*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Cedric\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector by gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\Cedric\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

* Scan C:\DOCUME~1\Cedric\LOCALS~1\APPLIC~1 *



*** Recherche fichiers *** 




*** Recherche cles registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:
C:\WINDOWS\system32\ayadd.ini2 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\ayadd.bak1 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\ayadd.bak2 trouvé ! infection Vundo possible non traité par cet outil !

2)Recherche Heuristique :



3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse Terminé le 04/10/2007 à 23:23:45,59 ***

green day · Answer

ok,
          o Double-cliquer sur navilog1.bat
          o Arriver au menu principal, choisir l'option 2 et valider.
          o Indiquer le mode de nettoyage "automatique"
          o Répondre aux questions éventuelles, le bureau disparaîtra, c'est normal !
          o Patienter jusqu'au message : Nettoyage Termine le ...
          o Sauvegarder le rapport de manière à le retrouver, puis fermer le blocnote, le bureau réapparaîtra
          o Le rapport sera en outre sauvegardé à la racine du disque (cleannavi.txt), poste le stp

ensuite,

Télécharger Vundofix.exe (par Atribune) sur votre Bureau : http://www.atribune.org/ccount/click.php?id=4

    * Double-cliquer sur VundoFix.exe afin de le lancer.
    * Cliquer sur le bouton Scan for Vundo.
    * Lorsque le scan est complété, cliquer sur le bouton Remove Vundo.
    * Une invite de commande demandera si l’on souhaite supprimer les fichiers, cliquer sur YES
    * Après avoir cliqué "YES", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    * Une nouvelle invite de commende annoncera que le PC devra s'éteindre ("shutdown"). Cliquer sur OK , puis laisser le redémarrer.
    * Le contenu du rapport est situé dans C:\vundofix.txt, poste le stp

++

ced · Answer

1er rapport :
Clean Navipromo version 3.2.1 commencé le 04/10/2007 à 23:58:54,48

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 03.10.2007 a 20h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180

Mode suppression automatique 


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec Backups résultats GenericNaviSearch ***

* Scan C:\WINDOWS\system32 *


* Scan C:\DOCUME~1\Cedric\LOCALS~1\APPLIC~1 *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Cedric\Application Data ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Cedric\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\ayadd.ini2 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\ayadd.bak1 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\ayadd.bak2 trouvé ! infection Vundo possible non traité par cet outil !

2)Recherche et Suppression Heuristique :


*** Sauvegarde du registre vers dossier Backupnavi ***

sauvegarde du registre réalise avec succès !

*** Nettoyage registre ***

Nettoyage registre Ok


*** Certificats ***

Certificat Egroup absent !



*** Nettoyage termine le 05/10/2007 à  0:03:33,10 ***

ced · Answer

et voici le rapport vundofix  (apparement il a eu des souci et des messages d'erreurs se mettent au demarrage du pc).


VundoFix V6.5.9

Checking Java version...

Java version is 1.5.0.11

Scan started at 00:08:13 05/10/2007

Listing files found while scanning....

C:\windows\system32\cttdbsle.dll
C:\WINDOWS\system32\doikinkm.dll
C:\windows\system32\ekdusmti.dll
C:\windows\system32\fmjilepj.dll
C:\windows\system32\fwhphotk.dll
C:\windows\system32\hbfuotjj.dll
C:\windows\system32\igtusyre.dll
C:\windows\system32\jjuejkbw.dll
C:\windows\system32\juqvjood.dll
C:\windows\system32\lnrcqedm.dll
C:\windows\system32\mxpjdqdt.dll
C:\windows\system32\oijaduma.dll
C:\windows\system32\oxuqyuhc.dll
C:\windows\system32\picxipbe.dll
C:\windows\system32\qlxbkpuf.dll
C:\windows\system32\rgegjmre.dll
C:\WINDOWS\system32\ucdhotbu.dll
C:\windows\system32\uwrjhscl.dll
C:\windows\system32\wjaymftt.dll
C:\windows\system32\wmdimjha.dll

Beginning removal...

 Attempting to delete C:\windows\system32\cttdbsle.dll
C:\windows\system32\cttdbsle.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\doikinkm.dll
C:\WINDOWS\system32\doikinkm.dll Has been deleted!

 Attempting to delete C:\windows\system32\ekdusmti.dll
C:\windows\system32\ekdusmti.dll Has been deleted!

 Attempting to delete C:\windows\system32\fmjilepj.dll
C:\windows\system32\fmjilepj.dll Has been deleted!

 Attempting to delete C:\windows\system32\fwhphotk.dll
C:\windows\system32\fwhphotk.dll Has been deleted!

 Attempting to delete C:\windows\system32\hbfuotjj.dll
C:\windows\system32\hbfuotjj.dll Has been deleted!

 Attempting to delete C:\windows\system32\igtusyre.dll
C:\windows\system32\igtusyre.dll Has been deleted!

 Attempting to delete C:\windows\system32\jjuejkbw.dll
C:\windows\system32\jjuejkbw.dll Has been deleted!

 Attempting to delete C:\windows\system32\juqvjood.dll
C:\windows\system32\juqvjood.dll Has been deleted!

 Attempting to delete C:\windows\system32\lnrcqedm.dll
C:\windows\system32\lnrcqedm.dll Has been deleted!

 Attempting to delete C:\windows\system32\mxpjdqdt.dll
C:\windows\system32\mxpjdqdt.dll Has been deleted!

 Attempting to delete C:\windows\system32\oijaduma.dll
C:\windows\system32\oijaduma.dll Has been deleted!

 Attempting to delete C:\windows\system32\oxuqyuhc.dll
C:\windows\system32\oxuqyuhc.dll Has been deleted!

 Attempting to delete C:\windows\system32\picxipbe.dll
C:\windows\system32\picxipbe.dll Has been deleted!

 Attempting to delete C:\windows\system32\qlxbkpuf.dll
C:\windows\system32\qlxbkpuf.dll Has been deleted!

 Attempting to delete C:\windows\system32\rgegjmre.dll
C:\windows\system32\rgegjmre.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ucdhotbu.dll
C:\WINDOWS\system32\ucdhotbu.dll Could not be deleted.

 Attempting to delete C:\windows\system32\uwrjhscl.dll
C:\windows\system32\uwrjhscl.dll Has been deleted!

 Attempting to delete C:\windows\system32\wjaymftt.dll
C:\windows\system32\wjaymftt.dll Has been deleted!

 Attempting to delete C:\windows\system32\wmdimjha.dll
C:\windows\system32\wmdimjha.dll Has been deleted!

Performing Repairs to the registry.
Done!

ced · Answer

et maintenant ???

green day · Answer

Bonjour :)

 on continue :

Télécharger ComboFix (par sUBs) sur le Bureau : 

    * Démarrer en mode sans echec
    * Double cliquer combofix.exe.
    * Appuyer sur la touche Y (Yes) pour démarrer le scan
    * Le rapport sera crée dans: C:\Combofix.txt, poste le avec un nouveau hijack stp

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

++

ced · Answer

voila les 2 rapports : ComboFix 07-10-06.3 - Cedric 2007-10-06 16:57:22.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.687 [GMT 2:00] Running from: C:\Documents and Settings\Cedric\Local Settings\Temporary Internet Files\Content.IE5\8OSW3MZL\ComboFix[1].exe * Created a new restore point . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\cookies.ini C:\WINDOWS\system32\ayadd.bak1 C:\WINDOWS\system32\ayadd.bak2 C:\WINDOWS\system32\ayadd.ini C:\WINDOWS\system32\ayadd.ini2 C:\WINDOWS\system32\ayadd.tmp C:\WINDOWS\system32\badbyuqc.dll C:\WINDOWS\system32\cpbdsoki.dll C:\WINDOWS\system32\cquybdab.ini C:\WINDOWS\system32\ddaya.dll C:\WINDOWS\system32\dygirsfh.ini C:\WINDOWS\system32\einjwivv.ini C:\WINDOWS\system32\emckalxi.dll C:\WINDOWS\system32\etrrrajs.dll C:\WINDOWS\system32\fiarpfqm.dll C:\WINDOWS\system32\gsqifxoy.dll C:\WINDOWS\system32\hcplkhau.dll C:\WINDOWS\system32\hekccsmu.dll C:\WINDOWS\system32\hfsrigyd.dll C:\WINDOWS\system32\hkyxvyav.dll C:\WINDOWS\system32\hviklqms.dll C:\WINDOWS\system32\iwnxvcdl.ini C:\WINDOWS\system32\kchmjtyn.dll C:\WINDOWS\system32\ldcvxnwi.dll C:\WINDOWS\system32\lxasdbaj.dll C:\WINDOWS\system32\mnnkigmq.dll C:\WINDOWS\system32\mqfpraif.ini C:\WINDOWS\system32\mudoyefx.ini C:\WINDOWS\system32 nswrxgv.dll C:\WINDOWS\system32 ytjmhck.ini C:\WINDOWS\system32\oanroevc.dll C:\WINDOWS\system32\oeqpnvop.dll C:\WINDOWS\system32\pjuvjhew.ini C:\WINDOWS\system32\pydwebmi.dll C:\WINDOWS\system32\qmgiknnm.ini C:\WINDOWS\system32 gosuqft.ini C:\WINDOWS\system32\sjarrrte.ini C:\WINDOWS\system32\smqlkivh.ini C:\WINDOWS\system32\smxquxin.dll C:\WINDOWS\system32 fqusogr.dll C:\WINDOWS\system32\uahklpch.ini C:\WINDOWS\system32\ucdhotbu.dll C:\WINDOWS\system32\umscckeh.ini C:\WINDOWS\system32\vayvxykh.ini C:\WINDOWS\system32\vgxrwsnn.ini C:\WINDOWS\system32\vviwjnie.dll C:\WINDOWS\system32\wehjvujp.dll C:\WINDOWS\system32\xfeyodum.dll C:\WINDOWS\system32\yoxfiqsg.ini . ((((((((((((((((((((((((((((( Fichiers créés 2007-09-06 to 2007-10-06 )))))))))))))))))))))))))))))))))))) . 2007-10-06 16:56 11,840 --a------ C:\WINDOWS\system32\qrframqu.dll 2007-10-06 16:55 11,840 --a------ C:\WINDOWS\system32\slsngklj.dll 2007-10-06 14:43 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-06 11:42 11,840 --a------ C:\WINDOWS\system32\aeslmkqw.dll 2007-10-05 22:10 11,840 --a------ C:\WINDOWS\system32\mtvuapke.dll 2007-10-05 17:42 11,840 --a------ C:\WINDOWS\system32\uleqnpep.dll 2007-10-05 17:37 11,840 --a------ C:\WINDOWS\system32\kqvqiabl.dll 2007-10-05 00:16 11,840 --a------ C:\WINDOWS\system32\jqlnewjl.dll 2007-10-04 23:21 11,840 --a------ C:\WINDOWS\system32\cxovlgoc.dll 2007-10-04 23:20 d-------- C:\Program Files\Navilog1 2007-10-04 17:15 11,840 --a------ C:\WINDOWS\system32\ssgiggin.dll 2007-10-04 17:08 11,840 --a------ C:\WINDOWS\system32\dwkmbeff.dll 2007-10-04 00:41 68,888 --a------ C:\WINDOWS\system32\xinput1_3.dll 2007-10-04 00:41 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll 2007-10-04 00:39 d-------- C:\WINDOWS\system32\AGEIA 2007-10-04 00:39 d-------- C:\Program Files\AGEIA Technologies 2007-10-04 00:38 d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard 2007-10-03 18:49 d-------- C:\Program Files\Trend Micro 2007-10-03 18:31 11,840 --a------ C:\WINDOWS\system32\khapqklj.dll 2007-10-02 21:45 11,840 --a------ C:\WINDOWS\system32\isvgqcur.dll 2007-10-02 20:55 11,840 --a------ C:\WINDOWS\system32\bxemiwos.dll 2007-10-02 20:50 11,840 --a------ C:\WINDOWS\system32\oqsstope.dll 2007-10-02 20:28 11,840 --a------ C:\WINDOWS\system32\qwocrulw.dll 2007-10-02 19:59 427,520 --a------ C:\WINDOWS\WRServices.dll 2007-10-02 19:33 11,840 --a------ C:\WINDOWS\system32\pourqdvb.dll 2007-10-02 19:13 11,840 --a------ C:\WINDOWS\system32\bmgvvpsw.dll 2007-10-02 17:27 164 --a------ C:\install.dat 2007-10-02 17:21 11,840 --a------ C:\WINDOWS\system32\qetlykxq.dll 2007-10-02 17:19 11,840 --a------ C:\WINDOWS\system32\abgwqtuy.dll 2007-10-02 17:08 11,840 --a------ C:\WINDOWS\system32\onoracmp.dll 2007-10-02 17:03 11,840 --a------ C:\WINDOWS\system32 vcxetmm.dll 2007-10-02 16:07 11,840 --a------ C:\WINDOWS\system32\poltudqd.dll 2007-10-02 13:13 11,840 --a------ C:\WINDOWS\system32\ophksdel.dll 2007-10-01 14:02 d-------- C:\Program Files\Fichiers communs\xing shared 2007-09-30 19:37 11,840 --a------ C:\WINDOWS\system32\xobmkvga.dll 2007-09-29 16:53 11,840 --a------ C:\WINDOWS\system32\mnaabdpn.dll 2007-09-29 15:58 23,040 -----c--- C:\WINDOWS\system32\dllcache\fltmc.exe 2007-09-29 15:58 16,896 -----c--- C:\WINDOWS\system32\dllcache\fltlib.dll 2007-09-29 15:58 128,896 -----c--- C:\WINDOWS\system32\dllcache\fltmgr.sys 2007-09-29 15:57 11,840 --a------ C:\WINDOWS\system32\eqapjjsm.dll 2007-09-26 14:46 d--h----- C:\WINDOWS\$hf_mig$ 2007-09-26 14:06 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2007-09-26 13:18 d-------- C:\Program Files\BitDefender 2007-09-26 13:18 d-------- C:\Documents and Settings\Cedric\Application Data\Bitdefender 2007-09-26 13:18 d-------- C:\Documents and Settings\All Users\Application Data\BitDefender 2007-09-26 13:17 d-------- C:\Program Files\Fichiers communs\BitDefender 2007-09-26 13:03 221,184 --a------ C:\WINDOWS\system32\wmpns.dll 2007-09-26 13:02 97,280 -----c--- C:\WINDOWS\system32\dllcache\dpcdll.dll 2007-09-26 13:02 9,728 --------- C:\WINDOWS\system32 wnh.dll 2007-09-26 13:02 9,728 --------- C:\WINDOWS\system32\comsdupd.exe 2007-09-26 13:02 40,832 --------- C:\WINDOWS\system32\drivers\irbus.sys 2007-09-26 13:02 32,768 --------- C:\WINDOWS\system32\asr_pfu.exe 2007-09-26 13:02 19,456 --------- C:\WINDOWS\system32\secedit.exe 2007-09-26 13:02 12,800 --------- C:\WINDOWS\system32\spiisupd.exe 2007-09-26 13:02 10,752 --------- C:\WINDOWS\system32\smtpapi.dll 2007-09-26 12:59 d-------- C:\WINDOWS\ServicePackFiles 2007-09-26 12:55 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe 2007-09-26 12:53 d-------- C:\WINDOWS\EHome 2007-09-26 12:28 11,840 --a------ C:\WINDOWS\system32\sfwbgasv.dll 2007-09-25 17:07 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files 2007-09-25 12:52 8,192 --------- C:\WINDOWS\system32\bitsprx2.dll 2007-09-25 12:52 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll 2007-09-25 12:52 351,232 --a------ C:\WINDOWS\system32\winhttp.dll 2007-09-25 12:52 18,944 --a------ C:\WINDOWS\system32\qmgrprxy.dll 2007-09-25 12:52 d-------- C:\WINDOWS\system32\bits 2007-09-25 12:49 549,720 --a------ C:\WINDOWS\system32\wuapi.dll 2007-09-25 12:49 43,352 --a------ C:\WINDOWS\system32\wups2.dll 2007-09-25 12:49 33,624 --a------ C:\WINDOWS\system32\wups.dll 2007-09-25 12:49 325,976 --a------ C:\WINDOWS\system32\wucltui.dll 2007-09-22 14:57 d-------- C:\WINDOWS\BDOSCAN8 2007-09-15 17:37 d-------- C:\Documents and Settings\Cedric\Application Data\U3 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-06 16:53 --------- d-------- C:\Program Files\Wanadoo 2007-10-05 18:20 11973 --a------ C:\WINDOWS\system32\drivers\secdrv.sys 2007-10-03 18:31 --------- d-------- C:\Program Files\Google 2007-10-02 16:56 --------- d-------- C:\Program Files\eMule 2007-10-01 14:02 --------- d-------- C:\Program Files\Fichiers communs\Real 2007-09-26 14:30 81984 --a------ C:\WINDOWS\system32\bdod.bin 2007-09-26 12:28 --------- d-------- C:\Program Files\TOMTOM 2007-08-27 17:38 --------- d--h----- C:\Program Files\InstallShield Installation Information 2007-08-27 17:28 --------- d-------- C:\Program Files\Fichiers communs\InstallShield 2007-08-09 15:49 --------- d-------- C:\Documents and Settings\LocalService\Application Data\Google 2007-08-09 14:52 --------- d-------- C:\Program Files\EPSON 2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll 2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe 2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll 2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll 2007-07-30 19:18 207736 --a------ C:\WINDOWS\system32\muweb.dll 2007-07-20 15:54 77824 --a------ C:\WINDOWS\system32\xcomm.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B7672BAF-E9A3-49B6-86B2-C81719A18A4C}] 2007-10-06 16:56 11840 --a------ C:\WINDOWS\system32\qrframqu.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.exe" [2004-08-19 16:10 C:\WINDOWS\system32 undll32.exe] "nwiz"="nwiz.exe" [2004-09-30 07:35 C:\WINDOWS\system32 wiz.exe] "NvMediaCenter"="RUNDLL32.exe" [2004-08-19 16:10 C:\WINDOWS\system32 undll32.exe] "WooCnxMon"="C:\PROGRA~1\Wanadoo\CnxMon.exe" [2004-10-13 17:12] "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-10-13 17:12] "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\TaskbarIcon.exe" [] "SoundMan"="SOUNDMAN.EXE" [2003-08-15 09:34 C:\WINDOWS\SOUNDMAN.EXE] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00] "TomTomHOME.exe"="C:\Program Files\TOMTOM\TomTomHOME.exe" [2007-03-14 16:52] "EPSON Stylus Photo R320 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9XE.exe" [2004-12-16 05:00] "BDAgent"="C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe" [2007-09-26 13:24] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2007-10-01 14:00] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\winaqr32] winaqr32.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 C:\WINDOWS\System32\ddaya.dll R1 bdftdif;bdftdif;\??\C:\Program Files\Fichiers communs\BitDefender\BitDefender Firewall\bdftdif.sys R3 bdfsfltr;bdfsfltr;C:\WINDOWS\system32\DRIVERS\bdfsfltr.sys R3 BDSelfPr;BDSelfPr;\??\C:\Program Files\BitDefender\BitDefender 2008\bdselfpr.sys R3 scan;BitDefender Threat Scanner;C:\WINDOWS\System32\svchost.exe -kbdx S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bdx scan . ************************************************************************** catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-06 17:05:30 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\bdfsfltr] "ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\ . Completion time: 2007-10-06 17:06:39 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-10-06 17:06 . --- E O F --- et le 2eme Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:08:48, on 06/10/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32 vsvc32.exe C:\WINDOWS\system32\spupdsvc.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spnpinst.exe C:\WINDOWS\system32\Sysocmgr.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\PROGRA~1\Wanadoo\CnxMon.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe C:\WINDOWS\system32 undll32.exe C:\Program Files\TOMTOM\TomTomHOME.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9XE.EXE C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Wanadoo\EspaceWanadoo.exe C:\Program Files\Wanadoo\ComComp.exe C:\Program Files\Wanadoo\Watch.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll O2 - BHO: (no name) - {B7672BAF-E9A3-49B6-86B2-C81719A18A4C} - C:\WINDOWS\system32\qrframqu.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TOMTOM\TomTomHOME.exe" -s O4 - HKLM\..\Run: [EPSON Stylus Photo R320 Series] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9XE.EXE" /P30 "EPSON Stylus Photo R320 Series" /O6 "USB001" /M "Stylus Photo R320" O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" -osboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0314b70b29085fde4319/netzip/RdxIE601_fr.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/... O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/... O17 - HKLM\System\CCS\Services\Tcpip\..\{491A7CF7-F1FC-4B63-B62D-5AC0DB237B23}: NameServer = 80.10.246.130 80.10.246.3 O20 - Winlogon Notify: winaqr32 - winaqr32.dll (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32 vsvc32.exe O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

green day · Answer

Salut :))

 c'est pas triste, on continue : 

Télécharger VirtumundoBegone sur le bureau :http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe


Double cliquer sur VirtumundoBeGone.exe et suivre les instructions.
Une fois terminé, redémarrer le PC, le rapport VBG.TXT sera crée sur le bureau , poste le stp
(Si un message Ecran bleu "Erreur fatale" apparaît, pas d’inquiétude car c'est normal et attendu)

précise l'évolution de la situation stp

++
.

ced · Answer

Voici le rappart VBG  (pas eu d'erreur fatale) :



[10/07/2007, 0:34:38] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Cedric\Local Settings\Temporary Internet Files\Content.IE5\DWFPWLSK\VirtumundoBeGone[1].exe" )
[10/07/2007, 0:34:44] - Detected System Information:
[10/07/2007, 0:34:44] -  Windows Version: 5.1.2600, Service Pack 2
[10/07/2007, 0:34:44] -  Current Username: Cedric (Admin)
[10/07/2007, 0:34:44] -  Windows is in NORMAL mode.
[10/07/2007, 0:34:44] - Searching for Browser Helper Objects:
[10/07/2007, 0:34:44] -  BHO 1: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[10/07/2007, 0:34:44] -  BHO 2: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[10/07/2007, 0:34:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/07/2007, 0:34:44] -  No filename found. Continuing.
[10/07/2007, 0:34:44] -  BHO 3: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[10/07/2007, 0:34:44] -  BHO 4: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[10/07/2007, 0:34:44] -  BHO 5: {B7672BAF-E9A3-49B6-86B2-C81719A18A4C} ()
[10/07/2007, 0:34:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/07/2007, 0:34:44] -  Checking for HKLM\...\Winlogon\Notify\qrframqu
[10/07/2007, 0:34:44] -  Key not found: HKLM\...\Winlogon\Notify\qrframqu, continuing.
[10/07/2007, 0:34:44] - Finished Searching Browser Helper Objects
[10/07/2007, 0:34:44] - Finishing up...
[10/07/2007, 0:34:44] - Nothing found! Exiting...

et voici le 2eme HijackThis :


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\TOMTOM\TomTomHOME.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9XE.EXE
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: (no name) - {B7672BAF-E9A3-49B6-86B2-C81719A18A4C} - C:\WINDOWS\system32\qrframqu.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TOMTOM\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [EPSON Stylus Photo R320 Series] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9XE.EXE" /P30 "EPSON Stylus Photo R320 Series" /O6 "USB001" /M "Stylus Photo R320"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0314b70b29085fde4319/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{491A7CF7-F1FC-4B63-B62D-5AC0DB237B23}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: winaqr32 - winaqr32.dll (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

green day · Answer

ok, où en est la situation ??

++

ced · Answer

salut, apparemment je n'ai plus d'erreur C++ sur internet et plus de pub a tout va !! ca doit etre bon !

par contre sur des sites ou je veux utiliser real player j'ai ce message et je sais pas pourquoi : rtsp://rps.zonepro.com:7070/zoneprolive/xoro58.rm 

pourrais tu m'aider ???

green day · Answer

Salut

Télécharge SDFix sur ton bureau

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !


++

ced · Answer

salut , voila les 2 rapports :

SDFix: Version 1.107

Run by Cedric on 09/10/2007 at 18:27

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services: 


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

No Trojan Files Found




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

Remaining Services:
------------------




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------


Files with Hidden Attributes:

Tue 11 Sep 2007         4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Fri  5 Oct 2007             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b8426e25532eb668f59dd4d969b4a550\BIT2E.tmp"

Finished! 


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:36:41, on 09/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32undll32.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\TOMTOM\TomTomHOME.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9XE.EXE
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: (no name) - {B7672BAF-E9A3-49B6-86B2-C81719A18A4C} - C:\WINDOWS\system32\qrframqu.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TOMTOM\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [EPSON Stylus Photo R320 Series] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9XE.EXE" /P30 "EPSON Stylus Photo R320 Series" /O6 "USB001" /M "Stylus Photo R320"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0314b70b29085fde4319/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{491A7CF7-F1FC-4B63-B62D-5AC0DB237B23}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: winaqr32 - winaqr32.dll (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

green day · Answer

Salut

ok, il y en qui font de la résistance ! :)

 télécharge : clean.zip (de Malekal_morte) : http://www.malekal.com/download/clean.zip

    * Décompressez le fichier sur le bureau (clic droit / extraire tout), afin d’obtenir un dossier nommé clean.
    * Ouvrez le dossier Clean qui se trouve sur ton bureau et faire un double-clic sur clean.cmd.
    * Une fenêtre noire va apparaître, choisissez l'option 1, un rapport sera crée sous la racine : C:\rapport_clean.txt; poste le stp

++

ced · Answer

slt, pour real c mon antivirus que faisait la merde. Du coup comme le reste allait bien je n'ai pas installer clean .

Merci pour tout. (dois je te faire un clean quand meme???)

green day · Answer

Salut

 oui, fais le stp, ensuite il y aura un fichier dll à supprimer ...

++

ced057 · Answer

slaut , moi aussi j'ai des soucis.

mpon pc bloque sur certains sites internet le sablier apparait et je suis obligé de les fermer. quelqu'un peut-il m'aider ?

j'ai fait un hijack le voilà :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:45:18, on 18/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\TOMTOM\TomTomHOME.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9XE.EXE
C:\WINDOWS\system32undll32.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: (no name) - {B7672BAF-E9A3-49B6-86B2-C81719A18A4C} - C:\WINDOWS\system32\qrframqu.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TOMTOM\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [EPSON Stylus Photo R320 Series] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9XE.EXE" /P30 "EPSON Stylus Photo R320 Series" /O6 "USB001" /M "Stylus Photo R320"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0314b70b29085fde4319/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{491A7CF7-F1FC-4B63-B62D-5AC0DB237B23}: NameServer = 81.253.149.9 80.10.246.132
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: winaqr32 - winaqr32.dll (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

green day · Answer

Salut

 merci de créer ton propre poste

++

[Adware] Buffer overrun + Pop-ups...

48 réponses

Discussions similaires

Newsletters