Virus Virtumonde, Win32:trojan-gen et Co. [Résolu]

chouetty - Dernière réponse le 10 déc. 2008 à 19:18

Bonjour,
Il y a quelques jours, j'ai remarqué que mon ordinateur était infecté malgré Avast 4.8 en tant qu'antivirus.
Ma connexion Internet se coupe toutes les minutes (exactement!) et mon ordinateur tente de se connecter à différentes pages Web et adresses IP dont 85.12.43.70.
Un scan Secuser en ligne m'a tout d'abord trouvé Win32:trojan-gen.
Un autre scan Panda en ligne m'a donné Virtumonde et tout un tas d'autres cochoncetés!
Le fix Virtumonde trouvé sur Secuser me dit avoir trouvé et éliminé le virus mais il est toujours là (d'après Panda et SpywareDoctor)...
Quelqu'un pourrait-il m'aider svp? Je ne suis pas très douée en manipulation anti-virus, une aide pas-à-pas serait fortement appréciée :-)
Merci beaucoup!
Ci-joints: résultats ActiveScan Panda et HijackThis.
Voici le scan Panda:
;***********************************************************************************************************************************************************************************
ANALYSIS: 2008-12-02 12:31:01
PROTECTIONS: 1
MALWARE: 23
SUSPECTS: 2
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
avast! antivirus 4.8.1296 [VPS 081201-0] 4.8.1296 Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00029434 spyware/virtumonde Spyware No 1 Yes No HKEY_LOCAL_MACHINE\software\classes\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
00029434 spyware/virtumonde Spyware No 1 Yes No hkey_classes_root\clsid\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c}00112503 HackTool/Gendel.A SecRisk No 0 Yes No C:\WINDOWS\gendel32.exe
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\amelie et jorick\Cookies\amelie_et_jorick@doubleclick[1].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.doubleclick.net/]
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\amelie et jorick\Cookies\amelie_et_jorick@atdmt[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.atdmt.com/]
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.tradedoubler.com/]
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Documents and Settings\amelie et jorick\Cookies\amelie_et_jorick@tradedoubler[1].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.tradedoubler.com/]
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.tradedoubler.com/]
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.tradedoubler.com/]
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.tradedoubler.com/]
00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Documents and Settings\amelie et jorick\Cookies\amelie_et_jorick@247realmedia[1].txt
00145457 Cookie/FastClick TrackingCookie No 0 Yes No C:\Documents and Settings\amelie et jorick\Cookies\amelie_et_jorick@fastclick[1].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.mediaplex.com/]
00167642 Cookie/Com.com TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.com.com/]
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\amelie et jorick\Cookies\amelie_et_jorick@xiti[1].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.xiti.com/]
00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.statcounter.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\amelie et jorick\Cookies\amelie_et_jorick@ad.yieldmanager[1].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.apmebf.com/]
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Documents and Settings\amelie et jorick\Cookies\amelie_et_jorick@apmebf[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\amelie et jorick\Cookies\amelie_et_jorick@serving-sys[2].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.serving-sys.com/]
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\amelie et jorick\Cookies\amelie_et_jorick@bs.serving-sys[1].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.bs.serving-sys.com/]
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\amelie et jorick\Cookies\amelie_et_jorick@weborama[1].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.weborama.fr/]
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.weborama.fr/]
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.weborama.fr/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.adtech.de/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Documents and Settings\amelie et jorick\Cookies\amelie_et_jorick@adtech[1].txt
00168116 Cookie/Comclick TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[fl01.ct2.comclick.com/]
00168116 Cookie/Comclick TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[fl01.ct2.comclick.com/]
00168116 Cookie/Comclick TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[fl01.ct2.comclick.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Documents and Settings\amelie et jorick\Cookies\amelie_et_jorick@advertising[2].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.advertising.com/]
00172221 Cookie/Zedo TrackingCookie No 0 Yes No C:\Documents and Settings\amelie et jorick\Cookies\amelie_et_jorick@zedo[2].txt
00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.bluestreak.com/]
00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No C:\Documents and Settings\amelie et jorick\Cookies\amelie_et_jorick@bluestreak[2].txt
00207936 Cookie/Adviva TrackingCookie No 0 Yes No C:\Documents and Settings\amelie et jorick\Cookies\amelie_et_jorick@adviva[2].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.smartadserver.com/]
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.smartadserver.com/]
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.smartadserver.com/]
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Amélie\Application Data\Mozilla\Firefox\Profiles\0a5wxzru.default\cookies.txt[.smartadserver.com/]
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\amelie et jorick\Cookies\amelie_et_jorick@smartadserver[2].txt
;===================================================================================================================================================================================
SUSPECTS
Sent Location Kx
;===================================================================================================================================================================================
No C:\WINDOWS\system32\xxyayVOE.dll Kx
No C:\WINDOWS\system32\xxyayVOE.dll Kx
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description
HijackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:03:51, on 02/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\bluetooth\BTNtService.exe
C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\PDF Complete\pdfsvc.exe
C:\Program Files\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
C:\Program Files\Neuf\Media Center\MediaCenter.exe
C:\Program Files\Cegetel\C-BOX\Wizard\Agent_WiFi.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\Documents and Settings\amelie et jorick\Bureau\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [zhoncuqlf] c:\documents and settings\amelie et jorick\local settings\application data\zhoncuqlf.exe zhoncuqlf
O4 - HKCU\..\Run: [Configuration de la C-BOX] C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [Neuf Media Center] "C:\Program Files\Neuf\Media Center\MediaCenter.exe"
O4 - HKCU\..\Run: [TVAgent WiFi] C:\Program Files\Cegetel\C-BOX\Wizard\Agent_WiFi.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.fr/ImageUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D6E7CFB5-C074-4D1C-B647-663D1A8D96BF} (Facebook Photo Uploader 4) - http://upload.facebook.com/controls/FacebookPhotoUploader4_5.cab
O20 - AppInit_DLLs: oevxws.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\bluetooth\BTNtService.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\Shared\hpqwmi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Program Files\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

Virus Virtumonde, Win32:trojan-gen et Co »

Suggestions

Virus Virtumonde, Win32:trojan-gen et Co.
Urgent virus (2 Win32-Trojan-gen) » Forum
Probleme virus/ver Win32: Trojan-gen {other} » Forum
Detection virus avast:win32 : trojan-gen {VC} » Forum
VIRUS Ver Win32:Trojan-gen {Other} » Forum
Virus trouvé : Win32:Trojan-gen {VC} » Forum

Plus

Réponse

anthony5151 10140Messages postés 27 juin 2008Date d'inscription 31 mai 2012Dernière intervention 2 déc. 2008 à 21:30

Bonsoir,

Il y a plusieurs infections sur ton ordinateur (Virtumonde et Navipromo)

Ton ordinateur est infecté par MagicControl/navipromo, qui s'installe via des programmes dits "gratuits", dont ceux-ci :

* go-astro
* GoRecord
* HotTVPlayer / HotTVPlayer & Paris Hilton
* Live-Player
* MailSkinner
* Messenger Skinner
* Instant Access
* InternetGameBox
* Officiale Emule (Version d'Emule modifiée)
* Sudoplanet
* Webmediaplayer

Pour désinfecter, merci de suivre exactement cette procédure :

Télécharge maintenant Navilog1 depuis-ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, lance Navilog depuis le raccourci présent sur le bureau

Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le bloc note va s'ouvrir.
Copie-colle l'intégralité du rapport ici.

Ajouter un commentaire - Site web

chouetty- 3 déc. 2008 à 19:00

Bonsoir,

Merci beaucoup pour cette réponse rapide!

Alors, j'ai effectué l'analyse Navilog et voici le résultat:

Search Navipromo version 3.6.9 commencé le 03/12/2008 à 18:49:06,26

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "amelie et jorick"

Mise à jour le 05.11.2008 à 21h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans "C:\WINDOWS" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\amelie et jorick\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\AMLIE~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\amelie et jorick\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\AMLIE~1\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\amelie et jorick\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\AMLIE~1\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\amelie et jorick\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\AMLIE~1\locals~1\applic~1" *

*** Recherche fichiers ***

C:\WINDOWS\system32\nvs2.inf trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

* Dans "C:\Documents and Settings\amelie et jorick\locals~1\applic~1" :

hguaetz.dat trouvé !
hguaetz_nav.dat trouvé !
hguaetz_navps.dat trouvé !
zhoncuqlf.dat trouvé !
zhoncuqlf_nav.dat trouvé !
zhoncuqlf_navps.dat trouvé !

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :

* Dans "C:\DOCUME~1\AMLIE~1\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

C:\WINDOWS\system32\EOVyayxx.ini2 trouvé ! infection Vundo possible non traitée par cet outil !

*** Analyse terminée le 03/12/2008 à 18:56:02,51 ***

Encore merci de m'aider!

Réponse

anthony5151 10140Messages postés 27 juin 2008Date d'inscription 31 mai 2012Dernière intervention 3 déc. 2008 à 22:25

1) Relance Navilog à l'aide du raccourci navilog1 présent sur le bureau et laisse-toi guider.

Au menu principal, choisis 2 et valide.
Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***

Le bloc note va s'ouvrir, copie/colle ici le rapport, comme tu l’as fait pour l’autre.

2) Télécharge et installe Malwarebytes' Anti-Malware
- A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
- Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
- Clique sur "Lancer l’examen"
- A la fin du scan, clique sur Afficher les résultats
- Coche tous les éléments détectés puis clique sur Supprimer la sélection
- Enregistre le rapport
- S'il t'est demandé de redémarrer, clique sur Yes

Poste le rapport de scan après la suppression ici

Ajouter un commentaire - Site web

donzellis - 3 déc. 2008 à 23:27

bonsoir!
j'ai eu exactement le même probleme.
j'ai donc fait la une analyse et une réparation avec Navilog1, puis lancé MBAM, supprimer les fichiers cochés
voici le résultat: (que faut-il faire après?) Merci

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1455
Windows 5.1.2600 Service Pack 2

03/12/2008 23:09:05
mbam-log-2008-12-03 (23-09-05).txt

Type de recherche: Examen rapide
Eléments examinés: 51707
Temps écoulé: 4 minute(s), 28 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 41
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 13

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\geBqOiHX.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\qmolrr.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\xxyvutSk.dll (Trojan.Vundo) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27a8223b-bf85-4f37-a795-96568dc13507} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{27a8223b-bf85-4f37-a795-96568dc13507} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyvutsk (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bcf9da9f-673f-4fd4-a197-2838a7b53727} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{bcf9da9f-673f-4fd4-a197-2838a7b53727} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{bcf9da9f-673f-4fd4-a197-2838a7b53727} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{27a8223b-bf85-4f37-a795-96568dc13507} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\dc_ads.ads (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\dc_ads.ads.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\sidepanel.logic (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\sidepanel.logic.1 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\sidepanel.panel (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\sidepanel.panel.1 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{733716e1-76d2-4003-ac39-845281c0ef85} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{410d416d-6bcc-4ddf-8501-937d68850cb5} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c17e102b-bd29-4e92-b699-1a21d2cb8e6c} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{8d71eeb8-a1a7-4733-8fa2-1cac015c967d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{733716e1-76d2-4003-ac39-845281c0ef85} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c17e102b-bd29-4e92-b699-1a21d2cb8e6c} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{733716e1-76d2-4003-ac39-845281c0ef85} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{410d416d-6bcc-4ddf-8501-937d68850cb5} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{c24d7016-d00f-41ef-9781-984b6b5ff38f} (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{ec88fcd0-2ed5-4d65-9b4c-71d146b43a2e} (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e532cfb1-5edd-4663-8c22-bcd67b5e5bd4} (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{497dddb6-6eee-4561-9621-b77dc82c1f84} (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4e980492-027b-47f1-a7ab-ab086dacbb9e} (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{5ead8321-fcbb-4c3f-888c-ac373d366c3f} (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{31f3cf6e-a71a-4daa-852b-39ac230940b4} (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\Sidebar.DLL (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MySidesearchSearchAssistant (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MySidesearch (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{dc80e016-cd57-1d70-5284-e3cd2fadf82c} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{dc80e016-cd57-1d70-5284-e3cd2fadf82c} (Trojan.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\ConTest.dll (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\SysRestore.dll (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\gebqoihx -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\gebqoihx -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\Local Page (Hijack.Search) -> Bad: (http://www.iesearch.com/) Good: (http://www.google.com/) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Program Files\Ascentive (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\Ascentive\Performance Center (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\geBqOiHX.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\XHiOqBeg.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\XHiOqBeg.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xxyvutSk.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\qmolrr.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\WhoisCL.exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ConTest.dll (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SysRestore.dll (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\txlxgunm.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\JC\Local Settings\Temporary Internet Files\Content.IE5\NHSQRNAP\index[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Program Files\Ascentive\Performance Center\GUID (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe (Adware.BHO) -> Quarantined and deleted successfully.

Réponse

anthony5151 10140Messages postés 27 juin 2008Date d'inscription 31 mai 2012Dernière intervention 3 déc. 2008 à 23:30

Bonsoir donzellis,

En effet, ton ordinateur est infecté par Vundo / Virtumonde, mais je ne peux pas t'aider ici, c'est le sujet de chouetty.
Merci d'ouvrir ton propre sujet en postant ce rapport et en expliquant tes problèmes, quelqu'un viendra t'y aider ;)

Ajouter un commentaire - Site web

Réponse

chouetty 4 déc. 2008 à 18:34

Bonjour,

alors, j'ai tout suivi à la lettre, voici les résultats:

Navilog:

Clean Navipromo version 3.6.9 commencé le 04/12/2008 à 17:49:39,59

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "amelie et jorick"

Mise à jour le 05.11.2008 à 21h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS

Nettoyage exécuté au redémarrage de l'ordinateur

*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *

* Suppression dans "C:\Documents and Settings\amelie et jorick\locals~1\applic~1" *

* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

* Suppression dans "C:\DOCUME~1\AMLIE~1\locals~1\applic~1" *

*** Suppression dossiers dans "C:\WINDOWS" ***

*** Suppression dossiers dans "C:\Program Files" ***

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\amelie et jorick\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\AMLIE~1\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\amelie et jorick\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\AMLIE~1\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\amelie et jorick\menudm~1\progra~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\AMLIE~1\menudm~1\progra~1" ***

*** Suppression fichiers ***

C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\amelie et jorick\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :

* Dans "C:\WINDOWS\system32" *

* Dans "C:\Documents and Settings\amelie et jorick\locals~1\applic~1" *

hguaetz.dat trouvé !
Copie hguaetz.dat réalisée avec succès !
hguaetz.dat supprimé !

hguaetz_nav.dat trouvé !
Copie hguaetz_nav.dat réalisée avec succès !
hguaetz_nav.dat supprimé !

hguaetz_navps.dat trouvé !
Copie hguaetz_navps.dat réalisée avec succès !
hguaetz_navps.dat supprimé !

zhoncuqlf.dat trouvé !
Copie zhoncuqlf.dat réalisée avec succès !
zhoncuqlf.dat supprimé !

zhoncuqlf_nav.dat trouvé !
Copie zhoncuqlf_nav.dat réalisée avec succès !
zhoncuqlf_nav.dat supprimé !

zhoncuqlf_navps.dat trouvé !
Copie zhoncuqlf_navps.dat réalisée avec succès !
zhoncuqlf_navps.dat supprimé !

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

* Dans "C:\DOCUME~1\AMLIE~1\locals~1\applic~1" *

*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 04/12/2008 à 17:54:52,03 ***

MBAM:

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1460
Windows 5.1.2600 Service Pack 3

04/12/2008 18:14:19
mbam-log-2008-12-04 (18-14-19).txt

Type de recherche: Examen rapide
Eléments examinés: 66322
Temps écoulé: 9 minute(s), 39 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 12
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\xxyayVOE.dll (Trojan.Vundo.H) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3149f6ce-3649-4842-8601-64e600563584} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{3149f6ce-3649-4842-8601-64e600563584} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\opnnmdec (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3149f6ce-3649-4842-8601-64e600563584} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\xxyayvoe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\xxyayvoe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Program Files\DivoCodec (Trojan.Downloader) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\xxyayVOE.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\EOVyayxx.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\EOVyayxx.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\opnnMdeC.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vmhqjg(2).dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xcbkbltw.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mlJYPGWq.dll (Trojan.Vundo) -> Delete on reboot.

Par sécurité, j'ai effectué un 2e scan rapide MBAM dont voici le rapport:

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1460
Windows 5.1.2600 Service Pack 3

04/12/2008 18:28:16
mbam-log-2008-12-04 (18-28-16).txt

Type de recherche: Examen rapide
Eléments examinés: 66231
Temps écoulé: 5 minute(s), 15 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Par contre, j'ai une dizaine de clés du registre et de fichiers qui sont en quarantaine dans MBAM. Dois-je les supprimer?

PS: ma connexion internet se déconnecte toujours après une minute de connexion...

Ajouter un commentaire

Réponse

anthony5151 10140Messages postés 27 juin 2008Date d'inscription 31 mai 2012Dernière intervention 4 déc. 2008 à 19:10

Re

Oui tu peux supprimer tout ce qui est en quarantaine de MBAM

/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur du forum vous l'a recommandé.

On va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts... Fais exactement ce qui suit :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et tape C-Fix dans dans la fenêtre qui s'ouvre, puis choisis le Bureau comme destination et valide : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!

Dans ton cas, il s'agit d'Avast et Spyware Doctor

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

Tuto ici pour installer la Console de récupération (important en cas de problème) : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-clique sur C-Fix.exe (= combofix.exe ) .

Appuie sur une touche pour démarrer le scan .

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

Ajouter un commentaire - Site web

Réponse

chouetty 4 déc. 2008 à 20:16

Re-bonsoir!

alors j'ai tout d'abord effacé tout ce qui se trouvait dans la quarantaine de MBAM.
Puis j'ai installé et exécuté ComboFix comme recommandé.

Voilà le log:

ComboFix 08-12-03.04 - amelie et jorick 2008-12-04 20:08:57.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.559 [GMT 1:00]
Lancé depuis: c:\documents and settings\amelie et jorick\Bureau\C-Fix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\Downloaded Program Files\setup.inf
c:\windows\IE4 Error Log.txt

----- BITS: Il y a peut-être des sites infectés -----

hxxp://childhe.com
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-04 au 2008-12-04 ))))))))))))))))))))))))))))))))))))
.

2008-12-04 18:02 . 2008-12-04 18:02 <REP> d-------- c:\documents and settings\amelie et jorick\Application Data\Malwarebytes
2008-12-04 18:02 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-04 18:02 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-04 18:01 . 2008-12-04 18:02 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-04 18:01 . 2008-12-04 18:01 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-04 11:49 . 2008-12-04 11:50 <REP> d-------- C:\CV VIDEO B2A100C7
2008-12-03 18:47 . 2008-12-04 17:54 <REP> d-------- c:\program files\Navilog1
2008-12-02 19:30 . 2008-04-14 03:33 731,136 --a------ c:\windows\system32\1b057.tmp
2008-12-02 19:30 . 2008-12-02 19:30 54,624 --a------ c:\windows\system32\53f56.sys
2008-12-02 19:29 . 2008-12-02 19:29 2,335,270 --a------ c:\windows\system32\83d55.mht
2008-12-02 09:58 . 2008-12-04 18:43 <REP> d-------- c:\program files\Spyware Doctor
2008-12-02 09:58 . 2008-12-02 09:58 <REP> d-------- c:\documents and settings\amelie et jorick\Application Data\PC Tools
2008-12-02 09:58 . 2008-08-25 12:36 81,288 --a------ c:\windows\system32\drivers\iksyssec.sys
2008-12-02 09:58 . 2008-08-25 12:36 66,952 --a------ c:\windows\system32\drivers\iksysflt.sys
2008-12-02 09:58 . 2008-08-25 12:36 40,840 --a------ c:\windows\system32\drivers\ikfilesec.sys
2008-12-02 09:58 . 2008-06-02 16:19 29,576 --a------ c:\windows\system32\drivers\kcom.sys
2008-12-02 08:16 . 2008-12-04 11:42 <REP> d-------- c:\documents and settings\All Users\Application Data\LogiShrd
2008-12-01 22:34 . 2008-12-01 22:34 <REP> d-------- c:\program files\Panda Security
2008-12-01 22:34 . 2008-06-19 17:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys
2008-12-01 22:07 . 2008-12-01 22:07 <REP> d-------- c:\windows\AU_Temp
2008-12-01 22:07 . 2008-12-01 18:52 21,188,209 --a------ c:\windows\LPT$VPN.683
2008-12-01 18:52 . 2008-12-01 18:52 21,188,209 --a------ c:\windows\VPTNFILE.683
2008-12-01 09:03 . 2008-12-01 09:03 39,936 --a------ c:\windows\system32\opnnMdeC.dll.bak
2008-11-27 17:27 . 2008-11-27 17:27 <REP> d-------- c:\documents and settings\Amélie\Application Data\Windows Search
2008-11-27 13:22 . 2008-11-27 13:22 <REP> d-------- c:\documents and settings\All Users\Application Data\Adobe Systems
2008-11-27 12:26 . 2008-11-27 12:26 <REP> d-------- c:\program files\Fichiers communs\Adobe Systems Shared
2008-11-25 22:36 . 2008-11-25 22:36 <REP> d-------- c:\documents and settings\Amélie\Application Data\Thunderbird
2008-11-25 22:36 . 2008-11-25 22:36 <REP> d-------- c:\documents and settings\Amélie\Application Data\Talkback
2008-11-25 22:35 . 2008-11-25 22:35 <REP> d-------- c:\program files\Mozilla Thunderbird
2008-11-25 22:05 . 2007-05-02 00:01 <REP> d--h----- c:\documents and settings\Amélie\Voisinage réseau
2008-11-25 22:05 . 2007-05-02 00:01 <REP> d--h----- c:\documents and settings\Amélie\Voisinage réseau
2008-11-25 22:05 . 2007-05-02 00:01 <REP> d--h----- c:\documents and settings\Amélie\Voisinage d'impression
2008-11-25 22:05 . 2007-05-02 00:01 <REP> d--h----- c:\documents and settings\Amélie\Voisinage d'impression
2008-11-25 22:05 . 2007-05-02 00:01 <REP> d--h----- c:\documents and settings\Amélie\Modèles
2008-11-25 22:05 . 2007-05-02 00:01 <REP> d--h----- c:\documents and settings\Amélie\Modèles
2008-11-25 22:05 . 2008-11-25 22:05 <REP> dr------- c:\documents and settings\Amélie\Mes documents
2008-11-25 22:05 . 2008-11-25 22:05 <REP> dr------- c:\documents and settings\Amélie\Mes documents
2008-11-25 22:05 . 2007-05-02 00:01 <REP> dr------- c:\documents and settings\Amélie\Menu Démarrer
2008-11-25 22:05 . 2007-05-02 00:01 <REP> dr------- c:\documents and settings\Amélie\Menu Démarrer
2008-11-25 22:05 . 2008-11-25 22:05 <REP> dr------- c:\documents and settings\Amélie\Favoris
2008-11-25 22:05 . 2008-11-25 22:05 <REP> dr------- c:\documents and settings\Amélie\Favoris
2008-11-25 22:05 . 2008-11-28 14:19 <REP> d-------- c:\documents and settings\Amélie\Bureau
2008-11-25 22:05 . 2008-11-28 14:19 <REP> d-------- c:\documents and settings\Amélie\Bureau
2008-11-25 22:05 . 2008-11-25 22:05 <REP> d-------- c:\documents and settings\Amélie\Application Data\Windows Desktop Search
2008-11-25 22:05 . 2008-12-01 11:05 <REP> d-------- c:\documents and settings\Amélie
2008-11-24 09:39 . 2008-11-24 09:39 <REP> d-------- c:\program files\iPod
2008-11-24 09:39 . 2008-11-24 09:40 <REP> d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-11-24 09:13 . 2008-12-04 20:02 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP
2008-11-24 09:12 . 2008-11-24 09:14 <REP> d-------- c:\program files\Badaboom
2008-11-19 17:11 . 2008-11-19 17:11 32 --a------ c:\windows\Menu.INI
2008-11-19 08:50 . 2007-10-05 18:18 6,660,096 --a------ c:\windows\system32\myodbc3S.dll
2008-11-19 08:50 . 2007-10-05 18:18 2,183,168 --a------ c:\windows\system32\myodbc3.dll
2008-11-19 08:50 . 2007-10-05 18:18 16,348 --a------ c:\windows\system32\myodbc3.lib
2008-11-19 08:50 . 2007-10-05 18:18 13,360 --a------ c:\windows\system32\myodbc3.hlp
2008-11-12 19:49 . 2008-10-24 12:21 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-12 19:48 . 2008-09-04 18:16 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll
2008-11-09 13:50 . 2008-11-09 13:50 <REP> d-------- C:\NVIDIA
2008-11-08 20:11 . 2008-11-08 20:11 <REP> d-------- c:\windows\Logs
2008-11-04 10:30 . 2008-11-04 10:30 90,112 --a------ c:\windows\system32\QuickTimeVR.qtx

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-04 18:58 0 ----a-w c:\windows\system32\drivers\lvuvc.hs
2008-12-04 17:40 --------- d-----w c:\program files\Mozilla Firefox 3 Beta 3
2008-12-03 19:25 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater
2008-12-02 18:39 98,304 ----a-w c:\windows\DUMP5a35.tmp
2008-12-01 21:07 91,744 -c--a-w c:\windows\BPMNT.dll
2008-12-01 21:07 1,213,784 -c--a-w c:\windows\vsapi32.dll
2008-12-01 20:57 --------- d-----w c:\program files\iTunes
2008-12-01 20:54 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-01 17:52 71,749 -c--a-w c:\windows\hcextoutput.dll
2008-12-01 17:52 345,157 -c--a-w c:\windows\tsc.exe
2008-12-01 09:41 --------- d-----w c:\documents and settings\amelie et jorick\Application Data\Azureus
2008-12-01 08:07 183,112 ----a-w c:\windows\system32\PnkBstrB.exe
2008-12-01 08:07 138,184 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2008-11-27 11:27 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-11-26 17:28 --------- d-----w c:\program files\Safari
2008-11-24 08:39 --------- d-----w c:\program files\Fichiers communs\Apple
2008-11-24 08:37 --------- d-----w c:\program files\QuickTime
2008-11-24 07:11 --------- d-----w c:\program files\Azureus
2008-11-12 21:05 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2008-11-08 19:13 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-10-31 15:32 --------- d-----w c:\documents and settings\All Users\Application Data\NexonUS
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-22 04:27 63,040 ----a-w c:\windows\system32\PnkBstrA.exe
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\dllcache\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-15 16:35 337,408 ------w c:\windows\system32\dllcache\netapi32.dll
2008-10-08 07:36 453,152 ----a-w c:\windows\system32\NVUNINST.EXE
2008-10-07 05:50 --------- d-----w c:\program files\Fichiers communs\LogiShrd
2008-10-07 05:50 --------- d-----w c:\documents and settings\amelie et jorick\Application Data\Leadertech
2008-10-07 05:49 --------- d-----w c:\program files\Logitech
2008-10-03 17:12 6,066,176 ------w c:\windows\system32\dllcache\ieframe.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-15 15:26 1,846,528 ------w c:\windows\system32\dllcache\win32k.sys
2008-09-10 01:15 1,307,648 ----a-w c:\windows\system32\msxml6.dll
2008-09-10 01:15 1,307,648 ------w c:\windows\system32\dllcache\msxml6.dll
2008-09-08 10:41 333,824 ------w c:\windows\system32\dllcache\srv.sys
2008-09-04 17:16 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-08-18 09:43 32,768 -csha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008081820080819\index.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Configuration de la C-BOX"="c:\program files\Cegetel\C-BOX\Wizard\QuickAccess.exe" [2005-05-03 397824]
"Neuf Media Center"="c:\program files\Neuf\Media Center\MediaCenter.exe" [2007-10-15 1025264]
"TVAgent WiFi"="c:\program files\Cegetel\C-BOX\Wizard\Agent_WiFi.exe" [2005-06-28 953344]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-08 13582336]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-05 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"PinnacleDriverCheck"="c:\windows\system32\\PSDrvCheck.exe" [2004-03-11 406016]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-11-07 111936]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-08 86016]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]
"nwiz"="nwiz.exe" [2008-10-08 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Picasa Media Detector"="c:\program files\Picasa\PicasaMediaDetector.exe" [2008-08-21 443968]

c:\documents and settings\amelie et jorick\Menu D‚marrer\Programmes\D‚marrage\
Logitech . Enregistrement du produit.lnk - c:\program files\Logitech\QuickCam\eReg.exe [2008-02-13 493832]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.MJPG"= Pvmjpg30.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Outil de mise à jour Google.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Outil de mise à jour Google.lnk
backup=c:\windows\pss\Outil de mise à jour Google.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Configuration de la C-BOX]
--------- 2005-05-03 16:57 397824 c:\program files\Cegetel\C-BOX\Wizard\QuickAccess.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDF Complete]
--a--c--- 2005-03-06 19:52 276480 c:\program files\PDF Complete\pdfsty.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PTHOSTTR]
--a--c--- 2005-04-08 10:08 73728 c:\program files\HPQ\HP ProtectTools Security Manager\pthosttr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVAgent WiFi]
--------- 2005-06-28 14:08 953344 c:\program files\Cegetel\C-BOX\Wizard\Agent_WiFi.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a--c--- 2005-09-22 12:36 14854144 c:\windows\RTHDCPL.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\eMule\\emule.exe"=
"c:\\Program Files\\Fichiers communs\\Ahead\\Nero Web\\SetupX.exe"=
"c:\\Program Files\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"=
"c:\\Program Files\\Pinnacle Studio 10\\programs\\RM.exe"=
"c:\\Program Files\\Pinnacle Studio 10\\programs\\Studio.exe"=
"c:\\Program Files\\Pinnacle Studio 10\\programs\\PMSRegisterFile.exe"=
"c:\\Program Files\\Pinnacle Studio 10\\programs\\umi.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"=
"c:\\Program Files\\Avid\\Avid Liquid 7\\Program\\RM.exe"=
"c:\\Program Files\\Avid\\Avid Liquid 7\\Program\\StudioU.mod"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\QuickTime\\QuickTimePlayer.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Documents and Settings\\All Users\\Application Data\\NexonUS\\NGM\\NGM.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\program files\Neuf\Media Center\httpd\httpd.exe"= c:\program files\Neuf\Media Center\httpd\httpd.exe:172.16.255.0/255.255.255.0,192.168.1.2/255.255.255.255:Enabled:Serveur de partage Media Center (Player Neuf Cegetel)

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-12-01 28544]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-14 111184]
R2 AdobeActiveFileMonitor6.0;Adobe Active File Monitor V6;c:\program files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe [2007-09-11 124832]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-04-14 20560]
R2 pdfcDispatcher;PDF Document Manager;c:\program files\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService [2007-05-01 476160]
R3 SG760_XP;SAGEM 802.11g XG760 1211 Driver;c:\windows\system32\DRIVERS\WlanUZXP.sys [2007-06-25 260608]
S3 3fb4;3fb4;\??\c:\windows\system32\3fb4.sys []
S3 53f56;53f56;\??\c:\windows\system32\53f56.sys [2008-12-02 54624]
S3 a0e6;a0e6;\??\c:\windows\system32\a0e6.sys []
S3 aa53;aa53;\??\c:\windows\system32\aa53.sys []
S3 b688;b688;\??\c:\windows\system32\b688.sys []
S3 d0d2;d0d2;\??\c:\windows\system32\d0d2.sys []
S3 dd07;dd07;\??\c:\windows\system32\dd07.sys []
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2008-12-02 356920]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2760039-b640-11dd-a443-0060b3562189}]
\Shell\AutoRun\command - G:\Menu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e5a4a6dd-113a-11dc-8161-0060b3564fdc}]
\Shell\AutoRun\command - J:\LaunchU3.exe -a

*Newly Created Service* - PCANDIS5
*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Tâches planifiées'

2008-11-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-ISUSPM - c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe

.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

c:\windows\system32\unicows.dll - c:\windows\Downloaded Program Files\ImageUploader4.ocx
O16 -: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98}
hxxp://www.extrafilm.fr/ImageUploader4.cab
c:\windows\Downloaded Program Files\ImageUploader4.inf
FireFox -: Profile - c:\documents and settings\amelie et jorick\Application Data\Mozilla\Firefox\Profiles\9xwq1b5j.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/
FF -: plugin - c:\documents and settings\All Users\Application Data\NexonUS\NGM\npNxGameUS.dll
FF -: plugin - c:\program files\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - c:\program files\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
FF -: plugin - c:\program files\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - c:\program files\Java\jre1.5.0\bin\NPJava11.dll
FF -: plugin - c:\program files\Java\jre1.5.0\bin\NPJava12.dll
FF -: plugin - c:\program files\Java\jre1.5.0\bin\NPJava13.dll
FF -: plugin - c:\program files\Java\jre1.5.0\bin\NPJava14.dll
FF -: plugin - c:\program files\Java\jre1.5.0\bin\NPJava32.dll
FF -: plugin - c:\program files\Java\jre1.5.0\bin\NPJPI150.dll
FF -: plugin - c:\program files\Java\jre1.5.0\bin\NPOJI610.dll
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\np32dsw.dll
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\npnul32.dll
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\NPOFF12.DLL
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\NPOFFICE.DLL
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\nppdf32.dll
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\npqtplugin.dll
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\npqtplugin2.dll
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\npqtplugin3.dll
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\npqtplugin4.dll
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\npqtplugin5.dll
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\npqtplugin6.dll
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\npqtplugin7.dll
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\npyaxmpb.dll
FF -: plugin - c:\program files\Picasa\npPicasa2.dll
FF -: plugin - c:\program files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF -: plugin - c:\vlc\npvlc.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-04 20:10:22
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\pdfcDispatcher]
"ImagePath"="c:\program files\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
.
Heure de fin: 2008-12-04 20:11:29
ComboFix-quarantined-files.txt 2008-12-04 19:11:06

Avant-CF: 3 227 922 432 octets libres
Après-CF: 3,353,006,080 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

300 --- E O F --- 2008-11-12 21:05:32

Ajouter un commentaire

Réponse

anthony5151 10140Messages postés 27 juin 2008Date d'inscription 31 mai 2012Dernière intervention 5 déc. 2008 à 00:40

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour chouetty, il n'est pas transposable sur un autre ordinateur !

Toujours avec toutes les protections désactivées, fais ceci :

Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
File::
c:\windows\system32\1b057.tmp
c:\windows\system32\53f56.sys
c:\windows\system32\83d55.mht
c:\windows\system32\3fb4.sys
c:\windows\system32\53f56.sys
c:\windows\system32\a0e6.sys
c:\windows\system32\aa53.sys
c:\windows\system32\b688.sys
c:\windows\system32\d0d2.sys
c:\windows\system32\dd07.sys

------------------------------------------------------------------

- Enregistre ce fichier sur ton bureau (et pas ailleurs !) sous le nom CFScript.txt
- Quitte le Bloc Notes

· Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Télécharge UsbFix (de Chiquitine29 et chimay8) sur ton Bureau : http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe
- Lance l'installation avec les paramètres par défaut
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton bureau
- Au menu principal, choisis nettoyage
- Le pc va redémarrer
- Après redémarrage, poste le rapport UsbFix.txt (il est sauvegardé a la racine du disque dur)

Ensuite, relance USBFix, toujours avec tous tes disques amovibles branchés, et choisis Vaccination stp

Ajouter un commentaire - Site web

Réponse

chouetty 5 déc. 2008 à 10:44

Bonjour,

alors j'ai effectué les deux opérations et voici les posts.

Cependant, mon DD externe n'est plus reconnu par mon ordinateur. Il n'a donc pas été pris en compte par UsbFix.
Que faire?

Combofix:

ComboFix 08-12-03.04 - amelie et jorick 2008-12-05 10:17:42.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.561 [GMT 1:00]
Lancé depuis: c:\documents and settings\amelie et jorick\Bureau\C-Fix.exe
Commutateurs utilisés :: c:\documents and settings\amelie et jorick\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-05 au 2008-12-05 ))))))))))))))))))))))))))))))))))))
.

2008-12-04 18:02 . 2008-12-04 18:02 <REP> d-------- c:\documents and settings\amelie et jorick\Application Data\Malwarebytes
2008-12-04 18:02 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-04 18:02 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-04 18:01 . 2008-12-04 18:02 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-04 18:01 . 2008-12-04 18:01 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-04 11:49 . 2008-12-04 11:50 <REP> d-------- C:\CV VIDEO B2A100C7
2008-12-03 18:47 . 2008-12-04 17:54 <REP> d-------- c:\program files\Navilog1
2008-12-02 19:30 . 2008-04-14 03:33 731,136 --a------ c:\windows\system32\1b057.tmp
2008-12-02 19:30 . 2008-12-02 19:30 54,624 --a------ c:\windows\system32\53f56.sys
2008-12-02 19:29 . 2008-12-02 19:29 2,335,270 --a------ c:\windows\system32\83d55.mht
2008-12-02 09:58 . 2008-12-04 18:43 <REP> d-------- c:\program files\Spyware Doctor
2008-12-02 09:58 . 2008-12-02 09:58 <REP> d-------- c:\documents and settings\amelie et jorick\Application Data\PC Tools
2008-12-02 09:58 . 2008-08-25 12:36 81,288 --a------ c:\windows\system32\drivers\iksyssec.sys
2008-12-02 09:58 . 2008-08-25 12:36 66,952 --a------ c:\windows\system32\drivers\iksysflt.sys
2008-12-02 09:58 . 2008-08-25 12:36 40,840 --a------ c:\windows\system32\drivers\ikfilesec.sys
2008-12-02 09:58 . 2008-06-02 16:19 29,576 --a------ c:\windows\system32\drivers\kcom.sys
2008-12-02 08:16 . 2008-12-04 11:42 <REP> d-------- c:\documents and settings\All Users\Application Data\LogiShrd
2008-12-01 22:34 . 2008-12-01 22:34 <REP> d-------- c:\program files\Panda Security
2008-12-01 22:34 . 2008-06-19 17:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys
2008-12-01 22:07 . 2008-12-01 22:07 <REP> d-------- c:\windows\AU_Temp
2008-12-01 22:07 . 2008-12-01 18:52 21,188,209 --a------ c:\windows\LPT$VPN.683
2008-12-01 18:52 . 2008-12-01 18:52 21,188,209 --a------ c:\windows\VPTNFILE.683
2008-12-01 09:03 . 2008-12-01 09:03 39,936 --a------ c:\windows\system32\opnnMdeC.dll.bak
2008-11-27 17:27 . 2008-11-27 17:27 <REP> d-------- c:\documents and settings\Amélie\Application Data\Windows Search
2008-11-27 13:22 . 2008-11-27 13:22 <REP> d-------- c:\documents and settings\All Users\Application Data\Adobe Systems
2008-11-27 12:26 . 2008-11-27 12:26 <REP> d-------- c:\program files\Fichiers communs\Adobe Systems Shared
2008-11-25 22:36 . 2008-11-25 22:36 <REP> d-------- c:\documents and settings\Amélie\Application Data\Thunderbird
2008-11-25 22:36 . 2008-11-25 22:36 <REP> d-------- c:\documents and settings\Amélie\Application Data\Talkback
2008-11-25 22:35 . 2008-11-25 22:35 <REP> d-------- c:\program files\Mozilla Thunderbird
2008-11-25 22:05 . 2007-05-02 00:01 <REP> d--h----- c:\documents and settings\Amélie\Voisinage réseau
2008-11-25 22:05 . 2007-05-02 00:01 <REP> d--h----- c:\documents and settings\Amélie\Voisinage réseau
2008-11-25 22:05 . 2007-05-02 00:01 <REP> d--h----- c:\documents and settings\Amélie\Voisinage d'impression
2008-11-25 22:05 . 2007-05-02 00:01 <REP> d--h----- c:\documents and settings\Amélie\Voisinage d'impression
2008-11-25 22:05 . 2007-05-02 00:01 <REP> d--h----- c:\documents and settings\Amélie\Modèles
2008-11-25 22:05 . 2007-05-02 00:01 <REP> d--h----- c:\documents and settings\Amélie\Modèles
2008-11-25 22:05 . 2008-11-25 22:05 <REP> dr------- c:\documents and settings\Amélie\Mes documents
2008-11-25 22:05 . 2008-11-25 22:05 <REP> dr------- c:\documents and settings\Amélie\Mes documents
2008-11-25 22:05 . 2007-05-02 00:01 <REP> dr------- c:\documents and settings\Amélie\Menu Démarrer
2008-11-25 22:05 . 2007-05-02 00:01 <REP> dr------- c:\documents and settings\Amélie\Menu Démarrer
2008-11-25 22:05 . 2008-11-25 22:05 <REP> dr------- c:\documents and settings\Amélie\Favoris
2008-11-25 22:05 . 2008-11-25 22:05 <REP> dr------- c:\documents and settings\Amélie\Favoris
2008-11-25 22:05 . 2008-11-28 14:19 <REP> d-------- c:\documents and settings\Amélie\Bureau
2008-11-25 22:05 . 2008-11-28 14:19 <REP> d-------- c:\documents and settings\Amélie\Bureau
2008-11-25 22:05 . 2008-11-25 22:05 <REP> d-------- c:\documents and settings\Amélie\Application Data\Windows Desktop Search
2008-11-25 22:05 . 2008-12-01 11:05 <REP> d-------- c:\documents and settings\Amélie
2008-11-24 09:39 . 2008-11-24 09:39 <REP> d-------- c:\program files\iPod
2008-11-24 09:39 . 2008-11-24 09:40 <REP> d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-11-24 09:13 . 2008-12-04 20:02 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP
2008-11-24 09:12 . 2008-11-24 09:14 <REP> d-------- c:\program files\Badaboom
2008-11-19 17:11 . 2008-11-19 17:11 32 --a------ c:\windows\Menu.INI
2008-11-19 08:50 . 2007-10-05 18:18 6,660,096 --a------ c:\windows\system32\myodbc3S.dll
2008-11-19 08:50 . 2007-10-05 18:18 2,183,168 --a------ c:\windows\system32\myodbc3.dll
2008-11-19 08:50 . 2007-10-05 18:18 16,348 --a------ c:\windows\system32\myodbc3.lib
2008-11-19 08:50 . 2007-10-05 18:18 13,360 --a------ c:\windows\system32\myodbc3.hlp
2008-11-12 19:49 . 2008-10-24 12:21 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-12 19:48 . 2008-09-04 18:16 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll
2008-11-09 13:50 . 2008-11-09 13:50 <REP> d-------- C:\NVIDIA
2008-11-08 20:11 . 2008-11-08 20:11 <REP> d-------- c:\windows\Logs

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-05 09:08 0 ----a-w c:\windows\system32\drivers\lvuvc.hs
2008-12-04 21:27 --------- d-----w c:\program files\Mozilla Firefox 3 Beta 3
2008-12-04 20:25 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater
2008-12-02 18:39 98,304 ----a-w c:\windows\DUMP5a35.tmp
2008-12-01 21:07 91,744 -c--a-w c:\windows\BPMNT.dll
2008-12-01 21:07 1,213,784 -c--a-w c:\windows\vsapi32.dll
2008-12-01 20:57 --------- d-----w c:\program files\iTunes
2008-12-01 20:54 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-01 17:52 71,749 -c--a-w c:\windows\hcextoutput.dll
2008-12-01 17:52 345,157 -c--a-w c:\windows\tsc.exe
2008-12-01 09:41 --------- d-----w c:\documents and settings\amelie et jorick\Application Data\Azureus
2008-12-01 08:07 183,112 ----a-w c:\windows\system32\PnkBstrB.exe
2008-12-01 08:07 138,184 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2008-11-27 11:27 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-11-26 17:28 --------- d-----w c:\program files\Safari
2008-11-24 08:39 --------- d-----w c:\program files\Fichiers communs\Apple
2008-11-24 08:37 --------- d-----w c:\program files\QuickTime
2008-11-24 07:11 --------- d-----w c:\program files\Azureus
2008-11-12 21:05 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2008-11-08 19:13 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-10-31 15:32 --------- d-----w c:\documents and settings\All Users\Application Data\NexonUS
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-22 04:27 63,040 ----a-w c:\windows\system32\PnkBstrA.exe
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\dllcache\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-15 16:35 337,408 ------w c:\windows\system32\dllcache\netapi32.dll
2008-10-08 07:36 453,152 ----a-w c:\windows\system32\NVUNINST.EXE
2008-10-07 05:50 --------- d-----w c:\program files\Fichiers communs\LogiShrd
2008-10-07 05:50 --------- d-----w c:\documents and settings\amelie et jorick\Application Data\Leadertech
2008-10-07 05:49 --------- d-----w c:\program files\Logitech
2008-10-03 17:12 6,066,176 ------w c:\windows\system32\dllcache\ieframe.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-15 15:26 1,846,528 ------w c:\windows\system32\dllcache\win32k.sys
2008-09-10 01:15 1,307,648 ----a-w c:\windows\system32\msxml6.dll
2008-09-10 01:15 1,307,648 ------w c:\windows\system32\dllcache\msxml6.dll
2008-09-08 10:41 333,824 ------w c:\windows\system32\dllcache\srv.sys
2008-08-18 09:43 32,768 -csha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008081820080819\index.dat
.

((((((((((((((((((((((((((((( snapshot@2008-12-04_20.10.44,98 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-07-26 06:25:24 109,080 ----a-w c:\windows\Temp\logishrd\LVPrcInj01.dll
+ 2008-12-05 09:08:46 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_3f0.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Configuration de la C-BOX"="c:\program files\Cegetel\C-BOX\Wizard\QuickAccess.exe" [2005-05-03 397824]
"Neuf Media Center"="c:\program files\Neuf\Media Center\MediaCenter.exe" [2007-10-15 1025264]
"TVAgent WiFi"="c:\program files\Cegetel\C-BOX\Wizard\Agent_WiFi.exe" [2005-06-28 953344]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-08 13582336]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-05 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"PinnacleDriverCheck"="c:\windows\system32\\PSDrvCheck.exe" [2004-03-11 406016]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-11-07 111936]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-08 86016]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]
"nwiz"="nwiz.exe" [2008-10-08 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Picasa Media Detector"="c:\program files\Picasa\PicasaMediaDetector.exe" [2008-08-21 443968]

c:\documents and settings\amelie et jorick\Menu D‚marrer\Programmes\D‚marrage\
Logitech . Enregistrement du produit.lnk - c:\program files\Logitech\QuickCam\eReg.exe [2008-02-13 493832]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.MJPG"= Pvmjpg30.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Outil de mise à jour Google.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Outil de mise à jour Google.lnk
backup=c:\windows\pss\Outil de mise à jour Google.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Configuration de la C-BOX]
--------- 2005-05-03 16:57 397824 c:\program files\Cegetel\C-BOX\Wizard\QuickAccess.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDF Complete]
--a--c--- 2005-03-06 19:52 276480 c:\program files\PDF Complete\pdfsty.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PTHOSTTR]
--a--c--- 2005-04-08 10:08 73728 c:\program files\HPQ\HP ProtectTools Security Manager\pthosttr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVAgent WiFi]
--------- 2005-06-28 14:08 953344 c:\program files\Cegetel\C-BOX\Wizard\Agent_WiFi.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a--c--- 2005-09-22 12:36 14854144 c:\windows\RTHDCPL.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\eMule\\emule.exe"=
"c:\\Program Files\\Fichiers communs\\Ahead\\Nero Web\\SetupX.exe"=
"c:\\Program Files\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"=
"c:\\Program Files\\Pinnacle Studio 10\\programs\\RM.exe"=
"c:\\Program Files\\Pinnacle Studio 10\\programs\\Studio.exe"=
"c:\\Program Files\\Pinnacle Studio 10\\programs\\PMSRegisterFile.exe"=
"c:\\Program Files\\Pinnacle Studio 10\\programs\\umi.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"=
"c:\\Program Files\\Avid\\Avid Liquid 7\\Program\\RM.exe"=
"c:\\Program Files\\Avid\\Avid Liquid 7\\Program\\StudioU.mod"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\QuickTime\\QuickTimePlayer.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Documents and Settings\\All Users\\Application Data\\NexonUS\\NGM\\NGM.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\program files\Neuf\Media Center\httpd\httpd.exe"= c:\program files\Neuf\Media Center\httpd\httpd.exe:172.16.255.0/255.255.255.0,192.168.1.2/255.255.255.255:Enabled:Serveur de partage Media Center (Player Neuf Cegetel)

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-12-01 28544]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-14 111184]
R2 AdobeActiveFileMonitor6.0;Adobe Active File Monitor V6;c:\program files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe [2007-09-11 124832]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-04-14 20560]
R2 pdfcDispatcher;PDF Document Manager;c:\program files\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService [2007-05-01 476160]
R3 SG760_XP;SAGEM 802.11g XG760 1211 Driver;c:\windows\system32\DRIVERS\WlanUZXP.sys [2007-06-25 260608]
S3 3fb4;3fb4;\??\c:\windows\system32\3fb4.sys []
S3 53f56;53f56;\??\c:\windows\system32\53f56.sys [2008-12-02 54624]
S3 a0e6;a0e6;\??\c:\windows\system32\a0e6.sys []
S3 aa53;aa53;\??\c:\windows\system32\aa53.sys []
S3 b688;b688;\??\c:\windows\system32\b688.sys []
S3 d0d2;d0d2;\??\c:\windows\system32\d0d2.sys []
S3 dd07;dd07;\??\c:\windows\system32\dd07.sys []
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2008-12-02 356920]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2760039-b640-11dd-a443-0060b3562189}]
\Shell\AutoRun\command - G:\Menu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e5a4a6dd-113a-11dc-8161-0060b3564fdc}]
\Shell\AutoRun\command - J:\LaunchU3.exe -a
.
Contenu du dossier 'Tâches planifiées'

2008-11-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

c:\windows\system32\unicows.dll - c:\windows\Downloaded Program Files\ImageUploader4.ocx
O16 -: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98}
hxxp://www.extrafilm.fr/ImageUploader4.cab
c:\windows\Downloaded Program Files\ImageUploader4.inf
FireFox -: Profile - c:\documents and settings\amelie et jorick\Application Data\Mozilla\Firefox\Profiles\9xwq1b5j.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/
FF -: plugin - c:\documents and settings\All Users\Application Data\NexonUS\NGM\npNxGameUS.dll
FF -: plugin - c:\program files\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - c:\program files\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
FF -: plugin - c:\program files\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - c:\program files\Java\jre1.5.0\bin\NPJava11.dll
FF -: plugin - c:\program files\Java\jre1.5.0\bin\NPJava12.dll
FF -: plugin - c:\program files\Java\jre1.5.0\bin\NPJava13.dll
FF -: plugin - c:\program files\Java\jre1.5.0\bin\NPJava14.dll
FF -: plugin - c:\program files\Java\jre1.5.0\bin\NPJava32.dll
FF -: plugin - c:\program files\Java\jre1.5.0\bin\NPJPI150.dll
FF -: plugin - c:\program files\Java\jre1.5.0\bin\NPOJI610.dll
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\np32dsw.dll
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\npnul32.dll
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\NPOFF12.DLL
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\NPOFFICE.DLL
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\nppdf32.dll
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\npqtplugin.dll
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\npqtplugin2.dll
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\npqtplugin3.dll
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\npqtplugin4.dll
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\npqtplugin5.dll
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\npqtplugin6.dll
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\npqtplugin7.dll
FF -: plugin - c:\program files\Mozilla Firefox 3 Beta 3\plugins\npyaxmpb.dll
FF -: plugin - c:\program files\Picasa\npPicasa2.dll
FF -: plugin - c:\program files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF -: plugin - c:\vlc\npvlc.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-05 10:20:37
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\pdfcDispatcher]
"ImagePath"="c:\program files\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
.
Heure de fin: 2008-12-05 10:21:45
ComboFix-quarantined-files.txt 2008-12-05 09:21:23
ComboFix2.txt 2008-12-04 19:11:30

Avant-CF: 3 343 650 816 octets libres
Après-CF: 3,327,819,776 octets libres

285 --- E O F --- 2008-11-12 21:05:32

UsbFix:

-------------- UsbFix V2.413.2 ---------------

* User : amelie et jorick - BUREAU
* Outils mis a jours le 01/12/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 10:37:51 le 05/12/2008
* Windows Xp - Internet Explorer 7.0.5730.13

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\bluetooth\BTNtService.exe
C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\PDF Complete\pdfsvc.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\DOCUME~1\AMELIE~1\LOCALS~1\Temp\1.tmp\b2e.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wscntfy.exe

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe

E: - Lecteur fixe

G: - Lecteur amovible

H: - Lecteur fixe

I: - Lecteur fixe

K: - Lecteur amovible

L: - Lecteur amovible

M: - Lecteur amovible

+- Contenu de l'autorun : G:\autorun.inf

[AutoRun]
open=Menu.exe
icon=Menu.ico
action=CnMemory Software Installation
label=CnMemory Software Installation

--------------- [ Lecteur C ] ----------------

C: - Lecteur fixe

+- Listing des fichiers présents :

[05/08/2004 03:00][-rahs----] C:\NTDETECT.COM
[04/12/2008 20:07][-rahs----] C:\boot.ini
[25/11/2008 17:02][--a------] C:\AdobeDebug.txt
[25/11/2008 17:02][--a------] C:\cleannavi.txt
[25/11/2008 17:02][--a------] C:\ComboFix.txt
[25/11/2008 17:02][--a------] C:\fixnavi.txt
[25/11/2008 17:02][--a------] C:\UsbFix.txt
[25/11/2008 17:02][--a------] C:\xscan.txt
[][] C:\hiberfil.sys
[][] C:\IO.SYS
[][] C:\MSDOS.SYS
[][] C:\pagefile.sys
[][] C:\xvmjaw3o.sys

--------------- [ Lecteur E ] ----------------

E: - Lecteur fixe

+- Listing des fichiers présents :

--------------- [ Lecteur G ] ----------------

G: - Lecteur amovible

+- Listing des fichiers présents :

[14/03/2008 23:34][--a------] G:\Menu.exe
[14/03/2008 19:04][--a------] G:\Autorun.inf

--------------- [ Lecteur H ] ----------------

H: - Lecteur fixe

+- Listing des fichiers présents :

--------------- [ Lecteur I ] ----------------

I: - Lecteur fixe

+- Listing des fichiers présents :

--------------- [ Lecteur K ] ----------------

K: - Lecteur amovible

+- Listing des fichiers présents :

--------------- [ Lecteur L ] ----------------

L: - Lecteur amovible

+- Listing des fichiers présents :

--------------- [ Lecteur M ] ----------------

M: - Lecteur amovible

+- Listing des fichiers présents :

--------------- [ Registre / Startup ] ----------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
Configuration de la C-BOX=C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
Neuf Media Center="C:\Program Files\Neuf\Media Center\MediaCenter.exe"
TVAgent WiFi=C:\Program Files\Cegetel\C-BOX\Wizard\Agent_WiFi.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
Raccourci vers la page des propriétés de High Definition Audio=HDAShCut.exe
nwiz=nwiz.exe /install
NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
NeroFilterCheck=C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
IMEKRMIG6.1=C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
MSPY2002=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
PinnacleDriverCheck=C:\WINDOWS\system32\\PSDrvCheck.exe
AppleSyncNotifier=C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
LogitechCommunicationsManager="C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
LogitechQuickCamRibbon="C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"
Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
NoChange=1
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=

--------------- [ Registre / Mountpoint2 ] ----------------

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e5a4a6dd-113a-11dc-8161-0060b3564fdc}\Shell\AutoRun\command

--------------- [ Nettoyage des disques ] ----------------

Supprimé ! - [14/03/2008 19:04][--a------] G:\autorun.inf
Supprimé ! - [14/03/2008 23:34][--a------] G:\Menu.exe

--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre interprété par un spécialiste /!\

[09/05/2007 19:20][--a------] A:\UDPv271.exe
[05/08/2004 03:00][-rahs----] C:\NTDETECT.COM
[04/12/2008 20:07][-rahs----] C:\boot.ini

--------------- ! Fin du rapport ! ----------------

Ajouter un commentaire

Réponse

chouetty 5 déc. 2008 à 15:06

Re!

Alors, voici quelques précisions:

- après avoir testé le DD externe sur 2 pc + ma neufbox, il semblerait que le problème soit dû au DD et non pas à mon ordinateur infecté (personne ne le reconnait). Il s'agirait donc plutôt d'une simple coincidence. qu'en penses-tu?

- cependant, ma connexion wifi n'est toujours pas stable. je tenais tout de même à préciser que sur mon 2e ordinateur branché en wifi, tout marche nickel. le problème existe que sur ce pc (infecté): je me connecte et au bout de 60 secondes max, il y a déconnexion du point d'accès. je dois reconnecté manuellement et au bout de max 60 econdes, c'est redéconnecté... une idée?

Merci beaucoup!

Ajouter un commentaire

Réponse

chouetty 5 déc. 2008 à 18:09

C'est encore moi!

j'ai peut-être résolu le pb de la connexion qui était instable!
alors, tout d'abord j'ai désinstallé ma C-box (cegetel) et je l'ai reinstallé. pas de changement à ce niveau là: deconnexion au bout de 60 sec.

Dans les connexions réseaux, j'ai tenté la réparation qui n'a pas marché mais une bulle s'est ouverte en bas à droite pour me dire que des réseaux sans fil était détectés. en cliquant dessus, j'ai choisi mon réseau habituel, j'ai du reentrer mes clés wep pour le wifi et j'ai lancé la connexion.

Depuis, dans les propriétés de ma connexion réseau sans fil, à l'onglet configuration réseau sans fil, j'ai mon réseau cegetel qui est affiché dans mes réseaux favoris. et la connexion tient bon!

enfin!!!!

et un scan Panda en ligne ne décèle plus que des tracking cookie qui, si j'ai bien compris, ne sont pas nocifs (il faut juste pense à effacer les cookies de temps en temps dans les options internet, c'est ça?)

Avec un peu de chance et beaucoup d'aide de ta part, on s'est peut-être débarassé des saletés de virus.
Pourrait-on effectuer quelques vérifications avant de se quitter??

Merci beaucoup!

Ajouter un commentaire

Réponse

anthony5151 10140Messages postés 27 juin 2008Date d'inscription 31 mai 2012Dernière intervention 6 déc. 2008 à 18:06

Les trackings cookies ne présentent pas de danger pour ton ordinateur, mais ils recueillent des informations (sites visités, mots clés tapés...).

Poste un nouveau rapport hijackthis stp

Merci de patienter pour la réponse, je ne serai pas chez moi avatn lundi soir.

Ajouter un commentaire - Site web

Réponse

chouetty 7 déc. 2008 à 18:09

voilà mon dernier HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:09:06, on 07/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\bluetooth\BTNtService.exe
C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\PDF Complete\pdfsvc.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Cegetel\C-BOX\Wizard\Agent_WiFi.exe
C:\Program Files\Neuf\Media Center\MediaCenter.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Neuf\Media Center\httpd\httpd.exe
C:\Program Files\Neuf\Media Center\httpd\httpd.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\amelie et jorick\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Configuration de la C-BOX] C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [TVAgent WiFi] C:\Program Files\Cegetel\C-BOX\Wizard\Agent_WiFi.exe
O4 - HKCU\..\Run: [Neuf Media Center] "C:\Program Files\Neuf\Media Center\MediaCenter.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.fr/ImageUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D6E7CFB5-C074-4D1C-B647-663D1A8D96BF} (Facebook Photo Uploader 4) - http://upload.facebook.com/controls/FacebookPhotoUploader4_5.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\bluetooth\BTNtService.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\Shared\hpqwmi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Program Files\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

Ajouter un commentaire

Réponse

anthony5151 10140Messages postés 27 juin 2008Date d'inscription 31 mai 2012Dernière intervention 8 déc. 2008 à 20:56

Ca y est on est lundi soir ;)

Et ton ordinateur n'est plus infecté !

Avant de retourner surfer sur internet, il y a quelques petites choses que tu dois faire pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).

1) Sécurise ton ordinateur

- Anti-virus :
Avast était un antivirus convenable il y a quelques années, mais il est dépassé aujourd'hui. Il existe d'autres antivirus gratuits plus efficaces (Antivir ou AVG)
Désinstalle Avast : Commence par supprimer ce qu'il y a en quarantaine, puis fais clic droit sur l'icone d'Avast près de l'horloge --> désactive la protection résidente.
Puis Menu démarrer --> Panneau de configuration --> ajout/suppression de programmes --> désinstalle Avast.
Si ça ne fonctionne pas, consulte ce lien : Désinstallation d'Avast

Si tu choisis Antivir pour le remplacer, télécharge le ici.

- Pare-feu :
Tu n’as apparemment aucun pare-feu (sauf peut-être celui de Windows ?) : si tu le souhaites, tu peux en télécharger un vrai. En gratuit, les plus simples sont Kerio et surtout PC Tools Firewall. Tu peux t'aider des tuto suivants pour utiliser celui que tu choisiras :
- Tutoriel PcTools
- Tutoriel Kerio
Note : si un message comme celui-ci apparaît lors de l'installation, clique sur Continuer.

- Anti-spyware :
* Installe Spyware Blaster : il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement, tous les 10 jours environ, et activer toutes les protections (« Enable all protection »)
* En complément, garde MalwareBytes pour son scan de nettoyage performant.

- Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille d’installer et d'utiliser le navigateur Firefox 3 avec l’extension « AdBlockPlus ». Tu peux trouver des explications ici

- Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : http://java.com/fr/

2) Relance Hijackthis (pour la dernière fois), fais "scan system only" et coche ces lignes (pas dangereuses mains inutiles) :

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

Coche également toutes les lignes commençant par 016

Ensuite, clique sur "Fix checked"

3) Télécharge ToolsCleaner sur ton bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.

4) Télécharge et installe CCleaner (si ce n’est déjà fait) : http://www.ccleaner.com/download/builds/downloading-slim

Lance CCleaner
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).

5) Pour finir le nettoyage, il faut désactiver puis réactiver la restauration système (pour créer un nouveau point de restauration sain et éviter le retour de l'infection).

* Fais un clic droit sur poste de travail (qui est sur ton bureau ou dans le menu démarrer), puis propriétés.
* Sélectionne l'onglet restauration du système
* Coche l'option Désactiver la restauration du système sur tous les lecteurs
* Clique sur OK.

Puis refais la manipulation inverse pour réactiver la restauration système.

6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile):
Prévention et sécurité sur internet

7) Enfin, si tu n as pas d'autres problèmes, tu peux changer le statut du sujet en résolu : Aide

Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

Ajouter un commentaire - Site web

Réponse

chouetty 9 déc. 2008 à 19:26

Bonsoir!

Voilà, je me suis lancée dans les ultimes manipulations et tout a bien fonctionné:

* j'ai mis antivir en tant qu'antivirus à la place d'avast. Par contre, il se lance exactement en même temps que cegetel lors du démarrage ce qui ralentit un peu le démarrage: existe-t-il une astuce pour régler le démarrage de ces programmes pour que cela s'effectue les uns après les autres et non pas tous en même temps?
* j'ai remis le pare-feu windows ainsi que PcTools (qu'est-ce qu'il est bavard celui-là avec toutes ces fenêtres qui s'ouvrent les unes sur les autres au début!)
* spyware blaster a bien été installé. par contre il m'a proposé de choisir entre màj automatique et manuelle; j'ai opté pour automatique. C'est ok?
* j'ai bien gardé mbam en complément
* j'ai également téléchargé AdblockPlus pour firefox 3 (que j'ai également sur mon ordinateur) et la nouvelle version de Java

* c'est également ok pour la manip' HJT

* Toolscleaner m'a bien tout enlevé, il me reste cependant deux petites choses:
- un dossier "backups" avait été créé par je ne sais quel outil (Cfix peut-être?). il contient des .dll, . inf et autres qui commencent tous par "backup-20081209-18...". Je fais quoi de ce dossier?
- au démarrage, juste avant le chargement de windows, j'ai toujours pendant un quart de seconde, la possibilité de choisir entre le chargement de windows ou la "recovery console" mise en place avec Cfix. est-il possible d'ôter ce choix ou non?

* j'ai lancé ccleaner plusieurs fois, aussi bien en nettoyage qu'en registre, pas mal de trucs ont été effacés! le programme m'a demandé si je voulais faire des sauvegardes du registre. j'ai donc 4 .reg (car j'ai effectué 4 fois la correction des erreurs du registre). je peux les supprimer maintenant?

* la désactivation/réactivation du système a bien fonctionné. j'ai également créer manuellement un nouveau point de restauration dans "restauration du système > créer un point de restauration".

Bref, tout s'est bien passé et maintenant je vais me plonger dans la lecture des informations de prévention!

Un grand merci à toi pour m'avoir aidé et suivi pas à pas!
Je suis bluffée par tant de connaissances!
en tout cas, merci beaucoup pour ta réactivité et ton efficacité!

Je ne te dis pas à bientôt, ça me porterait malchance!

Bonne soirée!

Ajouter un commentaire

Réponse

anthony5151 10140Messages postés 27 juin 2008Date d'inscription 31 mai 2012Dernière intervention 10 déc. 2008 à 03:11

* j'ai mis antivir en tant qu'antivirus à la place d'avast. Par contre, il se lance exactement en même temps que cegetel lors du démarrage ce qui ralentit un peu le démarrage: existe-t-il une astuce pour régler le démarrage de ces programmes pour que cela s'effectue les uns après les autres et non pas tous en même temps?

==> Tu devais avoir le même problème avec Avast non ? Et comme Antivir est plus léger qu'Avast, ça devrait même aller mieux ?
Sinon, qu'entends-tu par le lancement de Cegetel ? Est-il nécessaire que ce lancement soit automatique ? Sinon, il suffit de désactiver ce lancement automatique de Cegetel et de créer un raccourci que tu utiliseras quand tu auras besoin de Cegetel (je peux essayer de t'aider pour ça aussi si tu veux)

* j'ai remis le pare-feu windows ainsi que PcTools (qu'est-ce qu'il est bavard celui-là avec toutes ces fenêtres qui s'ouvrent les unes sur les autres au début!)

==> En fait il faut avoir l'un ou l'autre d'activé, pas les deux, sinon ils risquent d'entrer en conflit... Mais normalement, les pare-feu désactivent automatiquement celui de Windows (une autre preuve qu'il est inefficace...)

* spyware blaster a bien été installé. par contre il m'a proposé de choisir entre màj automatique et manuelle; j'ai opté pour automatique. C'est ok?

==> La mise à jour automatique est payante, si tu as fait ce choix, il a dû t'envoyer vers le site pour te demander de payer. Si tu n'as pas payé, tu es donc en mise à jour manuelle (à faire comme expliqué plus haut)

* j'ai bien gardé mbam en complément
* j'ai également téléchargé AdblockPlus pour firefox 3 (que j'ai également sur mon ordinateur) et la nouvelle version de Java
* c'est également ok pour la manip' HJT

==> Ok, parfait :)

* Toolscleaner m'a bien tout enlevé, il me reste cependant deux petites choses:
- un dossier "backups" avait été créé par je ne sais quel outil (Cfix peut-être?). il contient des .dll, . inf et autres qui commencent tous par "backup-20081209-18...". Je fais quoi de ce dossier?
- au démarrage, juste avant le chargement de windows, j'ai toujours pendant un quart de seconde, la possibilité de choisir entre le chargement de windows ou la "recovery console" mise en place avec Cfix. est-il possible d'ôter ce choix ou non?

==> Un des dossiers doit correspondre à hijackthis, et je pense que l'autre correspond à navilog.
Ils servent à restaurer les fichiers (pour navilog) ou les entrées de registre (pour hijackthis) qui ont été supprimés. A moins que je ne me trompe lourdement, je ne crois pas t'avoir fait supprimer quelque chose d'essentiel, donc si tu ne constates aucun dysfonctionnement, tu peux supprimer ces deux dossiers.
Pour la console de récupération (ou recovery console en anglais), je te conseille de la garder, elle te sera utile si un jour ton Windows ne fonctionne plus ;)

* j'ai lancé ccleaner plusieurs fois, aussi bien en nettoyage qu'en registre, pas mal de trucs ont été effacés! le programme m'a demandé si je voulais faire des sauvegardes du registre. j'ai donc 4 .reg (car j'ai effectué 4 fois la correction des erreurs du registre). je peux les supprimer maintenant?

==> Comme les dossiers backups, ces sauvegardes servent à revenir en arrière en cas d'erreur. Si tu ne constates aucun problème au bout de quelques temps, tu peux en effet les supprimer.
Pour CCleaner, une précision : tu peux faire le nettoyage de fichiers temporaires régulièrement, mais pour le registre, ce n'est utile que suite à l'installation ou la désinstallation d'un programme ;)

* la désactivation/réactivation du système a bien fonctionné. j'ai également créer manuellement un nouveau point de restauration dans "restauration du système > créer un point de restauration".

==> Parfait, tu as donc un point de restauration parfaitement sain que tu pourras utiliser plus tard en cas de problème (attention, ça ne résout pas tous les problèmes : par exemple, une restauration du système à une date antérieure ne supprime pas les infections). Mais j'espère pour toi que tu n'auras pas à l'utiliser ;)

Bref, tout s'est bien passé et maintenant je vais me plonger dans la lecture des informations de prévention

==> Merci de prendre le temps de lire ces informations :)

Un grand merci à toi pour m'avoir aidé et suivi pas à pas!
Je suis bluffée par tant de connaissances!
en tout cas, merci beaucoup pour ta réactivité et ton efficacité!

==> De rien, c'est un plaisir d'aider des personnes aussi sympathiques !
Mais je tiens à préciser que je suis qu'un "jeunot" qui a commencé récemment, j'ai encore beaucoup de choses à apprendre ;)

Je ne te dis pas à bientôt, ça me porterait malchance!

==> Bonne continuation, et bon surf sans infection et sans publicité !

Ajouter un commentaire - Site web

Réponse

chouetty 10 déc. 2008 à 19:18

Et bien nous y voilà: je change le statut en "résolu"!

Je te laisse aller secourir d'autres internautes en galère (un jour on aura peut-être un livre dédié: "désinfection de son ordinateur pour les nuls"!)

Encore merci beaucoup et bonne continuation à toi aussi!

Ajouter un commentaire

Répondre au sujet

Posez votre question

Dossier à la une

Passage au tout numérique : quel coût pour les particuliers ?

Passage au tout numérique : quel coût pour les particuliers ?

Combien cela coûte-t-il au total ? Quelles aides apportent l'état et les acteurs du marché pour alléger cette charge non choisie ? Tous les détails sur Commentçamarche.net.

Virus Virtumonde, Win32:trojan-gen et Co. [Résolu]

Virus Virtumonde, Win32:trojan-gen et Co »

Passage au tout numérique : quel coût pour les particuliers ?