Infection Win32.Trojan.RXRésolu/Fermé

Question

Bonjour,

Suite à mon gros problème de plantage (plantage complet et bizarre)

j'ai récupéré un ordinateur portable. 

Mais depuis 2-3 jours j'ai Avast! qui m'annonce tout les 10min. pour me dire qu'il a détecté un virus. Les actions "supprimer" et "mettre en quarantaine" ne fonctionnent pas et le message réapparait, donc je ne peux que cliquer sur "Ne rien faire"...
Pour beaucoup de virus Avast! réagit de la sorte...

De plus, j'ai un icône dans la barre de tache, sorte de triangle jaune avec un "!" au centre qui apparait de temps a autre, ainsi qu'une fenetre Windows Sécurity Center qui me dit que je suis infecté par Win32.Trojan.RX .....

J'ai beau faire des scans et nettoayge avec Ad-Aware, AVG anti-spyware, Spybot Search&Destroy, CClearner et Avast! mais tous ces salop**** de virus ne disparaissent pas....

Auriez-vous une idée de comment je peux nettoyer de fond en comble ce portable pour ne plus etre perturbé avec les alertes Avast! et plantage consécutif d'internet????

En vous remerciant d'avance pour toute votre aide.

rudyrital · Answer

Salut, 

télécharge HijackThis ici: 
http://www.infos-du-net.com/telecharger/HijackThis.html 

Dézippe le dans un dossier prévu à cet effet. 
Par exemple C:\hijackthis < Enregistre le bien dans c : ! 
Démo : (Merci a Balltrap34 pour cette réalisation) 
http://pageperso.aol.fr/balltrap34/Hijenr.gif 

Lance le puis: 
clique sur "do a system scan and save logfile" (cf démo) 
faire un copier coller du log entier sur le forum 

Démo : (Merci a Balltrap34 pour cette réalisation) 
http://pageperso.aol.fr/balltrap34/demohijack.htm 

Bon courage 

A+

afideg · Answer

Bonsoir joebarteam Après l'analyse HijackThis, fais ceci, SVP: On va vérifier s'il y a d'autres trojans & malwares. 1)- •- Télécharge « clean.zip » http://www.malekal.com/download/clean.zip •- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ". < http://img227.imageshack.us/img227/9384/screenshot149ih1.gif > 2)- Télécharge SDFix sur ton bureau http://downloads.andymanchesta.com/RemovalTools/SDFix.zip Fais un clic droit sur "SDFix.zip" et choisis "Extraire tout" Explication émanant du site d'AndyManchesta relatif au souci de téléchargement SDFix : « Multiple Choices : The document name you requested ( /RemovalTools/SDFix.zip ) could not be found on this server. However, we found documents with names similar to the one you requested. . Available documents: /RemovalTools/SDFix.exe (common basename) Please consider informing the owner of the referring page about the broken link. » Le lien de sauvetage devient : < http://downloads.andymanchesta.com/RemovalTools/SDFix.exe > 3)- Redémarre en mode sans échec. Tutos: Comment faire pour... à la lettre D < https://forum.pcastuces.com/default.asp > ( note bien ce que tu as à faire, parce que tu n'auras plus accès à IE durant cette procédure ). 4)- Analyses •- Ouvre le dossier « clean » qui se trouve sur ton bureau. - Double-clic sur « clean.cmd ». Une fenêtre noire va apparaître, suis les consignes < http://img483.imageshack.us/img483/6285/screenshot210io7.gif > Choisis l’option 2. Clean va travailler. Il va produire un rapport. •- Double-clique sur "RunThis.bat" de SDFix Tape Y pour lancer le script. Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire Presse une touche pour redémarrer en mode normal Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche 5) Rapports: - Poste qui se trouve ici C:\rapport_clean.txt. (- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. ) - Ouvre le "dossier SDFix" et copie/colle ici le contenu du fichier "Report.txt" 6)- Termine par scan kaspersky < https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr > Clic sur l'image Kaspersky Online Scanner Clic sur "J'accepte" Installe le ActiveX Tu attends que la mise à jour se termine, une fois terminé, clic sur "Suivant" Clic sur "Paramètres d'analyse " Coche la case "Étendue" > [Ok] Clic sur "Poste de travail" pour faire un "scan complet " Une fois le scan fini à 100%, clic sur « Enregistrer rapport sous... » Enregistrer le rapport au format .txt (en nom tu mets rapport ou ce que tu veux et en type tu choisis fichier texte (*.txt) Tu ouvres le fichier que tu viens de sauvegarder, copie et colle sur le forum. Merci Al.

afideg · Answer

Bonsoir et merci rudyrital,

Ce topic m'intéresse, en effet, particulièrement.
N'hésite pas si tu aperçois des éléments spécifiques, en les citant, SVP.

Al.

joebarteam · Answer

Bonsoir,

voici les rapport souhaités : 

HijackThis :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:55:17, on 27/04/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Panda Software\Panda Administrator 3\AdminServer\AdminServer.exe
C:\WINDOWS\System32\aspi266874.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\verifier.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Microsoft SQL Server\MSSQL$PADMINISTRATOR\Binn\sqlservr.exe
C:\Program Files\Panda Software\Panda Administrator 3\Distribution Server\PadFSvr.exe
C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
C:\Program Files\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe
C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe
C:\Program Files\Panda Software\Panda Administrator 3\Console\PASystemTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\osskhbd.exe
C:\WINDOWS\System32\sdservss.exe
C:\WINDOWS\System32\wsmmlog.exe
C:\WINDOWS\System32\plsitctl.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\System32\smcntlwio.exe
C:\WINDOWS	wain.exe
C:\windows\system32\uvnx.exe
C:\WINDOWS\System32\mmsman.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Hewlett-Packard\HP Mobile Printing\HPBMOBIL.EXE
C:\WINDOWS\superproxy.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\zzzz.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\HijackThis\HiJackThis_v2.exe
C:\WINDOWS\System32\MsiExec.exe
C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {00000026-8735-428D-B81F-DD098223B25F} - (no file)
O2 - BHO: (no name) - {00000250-0320-4dd4-be4f-7566d2314352} - (no file)
O2 - BHO: (no name) - {000006b1-19b5-414a-849f-2a3c64ae6939} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {06dfedaa-6196-11d5-bfc8-00508b4a487d} - (no file)
O2 - BHO: (no name) - {0AEB31BB-2891-42F2-A1DD-C2008A23FC6F} - C:\WINDOWS\System32\ssqrp.dll
O2 - BHO: (no name) - {13197ace-6851-45c3-a7ff-c281324d5489} - (no file)
O2 - BHO: H Class - {2265EED7-6022-4d6c-ADF2-E932FEFD433C} - C:\WINDOWS\System32\mn.dll
O2 - BHO: (no name) - {30000273-8230-4dd4-be4f-6889d1e74167} - (no file)
O2 - BHO: (no name) - {4e1075f4-eec4-4a86-add7-cd5f52858c31} - (no file)
O2 - BHO: (no name) - {4e7bd74f-2b8d-469e-92c6-ce7eb590a94d} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - (no file)
O2 - BHO: (no name) - {5929cd6e-2062-44a4-b2c5-2c7e78fbab38} - (no file)
O2 - BHO: (no name) - {5dafd089-24b1-4c5e-bd42-8ca72550717b} - (no file)
O2 - BHO: (no name) - {5fa6752a-c4a0-4222-88c2-928ae5ab4966} - (no file)
O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)
O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file)
O2 - BHO: (no name) - {965a592f-8efa-4250-8630-7960230792f1} - (no file)
O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)
O2 - BHO: (no name) - {bb936323-19fa-4521-ba29-eca6a121bc78} - (no file)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {BFBA1D3E-30F9-4965-922D-72D67616691D} - C:\WINDOWS\system32\ddcaabb.dll
O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file)
O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765728274} - (no file)
O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\System32\kfllckdv.dll
O2 - BHO: msnhlp32.msn_hlp - {EEFBE5D6-FEFF-4CB4-AA26-6A464090CB89} - C:\WINDOWS\System32\msnhlp32.dll
O2 - BHO: (no name) - {fc3a74e5-f281-4f10-ae1e-733078684f3c} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe
O4 - HKLM\..\Run: [PASystemTray] "C:\Program Files\Panda Software\Panda Administrator 3\Console\PASystemTray.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\System32pcc.exe
O4 - HKLM\..\Run: [playclms] C:\WINDOWS\System32\umcyzsor.exe
O4 - HKLM\..\Run: [tymsetvc] C:\WINDOWS\System32\osskhbd.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [cvmsyslpd] C:\WINDOWS\System32\sdservss.exe
O4 - HKLM\..\Run: [winsplog] C:\WINDOWS\System32\wsmmlog.exe
O4 - HKLM\..\Run: [dstiosys] C:\WINDOWS\System32\plsitctl.exe
O4 - HKLM\..\Run: [sacmemds] C:\WINDOWS\System32\smcntlwio.exe
O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS	wain.exe
O4 - HKLM\..\Run: [uvnx] c:\windows\system32\uvnx.exe
O4 - HKLM\..\Run: [MMS Manager] C:\WINDOWS\System32\mmsman.exe
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\System32\aigclidh.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [HP Mobile Printing] C:\Program Files\Hewlett-Packard\HP Mobile Printing\HPBMOBIL.EXE
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [superproxy] C:\WINDOWS\superproxy.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_02\bin
pjpi142_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_02\bin
pjpi142_02.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - AppInit_DLLs:  C:\WINDOWS\System32	mp_5r.dll
O20 - Winlogon Notify: ddcaabb - C:\WINDOWS\SYSTEM32\ddcaabb.dll
O20 - Winlogon Notify: ddcaxut - C:\WINDOWS\SYSTEM32\ddcaxut.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32pcc.dll
O20 - Winlogon Notify: ssqrp - C:\WINDOWS\System32\ssqrp.dll
O20 - Winlogon Notify: tuvuusq - C:\WINDOWS\SYSTEM32	uvuusq.dll
O20 - Winlogon Notify: wvutqop - C:\WINDOWS\SYSTEM32\wvutqop.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Panda AdminSecure Administration Server (AdminServer) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\AdminServer\AdminServer.exe
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\System32\aspi266874.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: avgav.exe (AVG) - Unknown owner - C:\WINDOWS\avgav.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Driver Verification (Driver Verification Service) - Unknown owner - C:\WINDOWS\verifier.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Panda AdminSecure Distribution Server (PadFSvr) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\Distribution Server\PadFSvr.exe
O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Unknown owner - C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Unknown owner - C:\Program Files\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\PavReport\PavReport.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

afideg · Answer

Re, Ça avance. Fais ces deux analyses SVP: 1°- Télécharge Combofix.exe (par sUBs) sur ton Bureau < http://download.bleepingcomputer.com/sUBs/ComboFix.exe > Double clique combofix.exe et suis les invites. Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse 2°- Télécharge SmitfraudFix < http://siri.urz.free.fr/Fix/SmitfraudFix.exe > * Installe le à la racine de C * double clic sur l'exe pour le décompresser et lancer le fix. Utilisation ----- option 1 - Recherche : * Double clique sur smitfraudfix.cmd * Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection. * Poste le rapport ici NOTE: ( process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. ) Merci Al.

joebarteam · Answer

Re, voici le rapport de ComboFix : "jean-pierre" - 07-04-27 22:01:31 Service Pack 1 ComboFix 07-04-25.4V - Running from: "C:\Documents and Settings\jean-pierre\Desktop\" (((((((((((((((((((((((((((((((((((((((((((((((((( V Log ))))))))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\jkkjg.dll C:\WINDOWS\system32\jkklk.dll C:\WINDOWS\system32\jkkll.dll C:\WINDOWS\system32\vturq.dll C:\WINDOWS\system32\ldmppvds.dll C:\WINDOWS\system32 eyqwtqf.dll C:\WINDOWS\system32\wjpxsghn.dll C:\WINDOWS\system32\geebb.dll C:\WINDOWS\system32\pmnnl.dll C:\WINDOWS\system32\pmnnm.dll C:\WINDOWS\system32\vtstr.dll C:\WINDOWS\system32\hjdulrel.dll C:\WINDOWS\system32\kfllckdv.dll C:\WINDOWS\system32\ddcaxut.dll C:\WINDOWS\system32\ddccccd.dll C:\WINDOWS\system32\efcbcaa.dll C:\WINDOWS\system32\efcdcba.dll C:\WINDOWS\system32\fccaywt.dll C:\WINDOWS\system32\gebxvst.dll C:\WINDOWS\system32\khfdcdb.dll C:\WINDOWS\system32\ljjgddd.dll C:\WINDOWS\system32\opnnmjg.dll C:\WINDOWS\system32\pmnlllm.dll C:\WINDOWS\system32 qroljj.dll C:\WINDOWS\system32 uvuusq.dll C:\WINDOWS\system32\wvutqop.dll C:\WINDOWS\system32\xxyvwww.dll C:\WINDOWS\system32\xxyyyvs.dll C:\WINDOWS\system32\yayaaaa.dll C:\WINDOWS\system32\klkkj.ini C:\WINDOWS\system32\qrutv.ini C:\WINDOWS\system32\bbeeg.ini C:\WINDOWS\system32\prqss.bak1 C:\WINDOWS\system32\prqss.bak2 C:\WINDOWS\system32\prqss.ini C:\WINDOWS\system32 tstv.ini C:\WINDOWS\system32\ssqrp.dll C:\WINDOWS\system32\ddcaabb.dll * * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\aspi268284.exe C:\WINDOWS\system32\mst.sys C:\WINDOWS\200.exe C:\WINDOWS\764.exe C:\WINDOWS\g32.txt C:\WINDOWS\wpcjmd.log C:\WINDOWS\system32 pcc.dll ((((((((((((((((((((((((((((((( Files Created from 2007-03-27 to 2007-04-27 )))))))))))))))))))))))))))))))))) 2007-04-27 22:09 5,632 --a------ C: jfdf.exe 2007-04-27 22:09 30,720 --a------ C:\WINDOWS\system32 pcc.dll 2007-04-27 22:09 26,678 --a------ C:\WINDOWS\system32\vtuutts.dll 2007-04-27 22:07 284,244 ---hs---- C:\WINDOWS\system32\jkkjh.dll 2007-04-27 21:27 4 --a------ C:\WINDOWS\system32\stfv.bin 2007-04-27 19:03 d-------- C:\HijackThis 2007-04-27 18:27 235,520 --a------ C:\zzzz.exe 2007-04-27 18:27 16,721 --a------ C:\WINDOWS\system32\mn.dll 2007-04-27 18:27 132,660 --a------ C:\WINDOWS\system32\aigclidh.dll 2007-04-27 18:26 238,592 --a------ C:\WINDOWS\system32\mmsman.exe 2007-04-26 20:20 48,128 --a------ C:\bohxe.exe 2007-04-26 19:45 7,296 --a------ C:\WINDOWS\system32\drivers\ip6fw.sys 2007-04-26 14:33 235,520 --a------ C:\ds.exe 2007-04-26 13:45 36,864 --a------ C:\xiuex.exe 2007-04-26 12:35 235,520 --a------ C:\xv.exe 2007-04-26 12:35 235,520 --a------ C:\WINDOWS\superproxy.exe 2007-04-25 18:23 d--h----- C:\WINDOWS\PIF 2007-04-25 17:36 12 --a------ C:\WINDOWS\system32\sl.bin 2007-04-25 17:21 8,960 --a------ C:\WINDOWS\system32\Bi.dll 2007-04-25 17:21 30,208 --a------ C:\WINDOWS\system32\WER8274.DLL 2007-04-25 17:21 29,952 --a------ C:\WINDOWS\system32\salm.exe 2007-04-25 17:21 29,440 --a------ C:\WINDOWS\bokja.exe 2007-04-25 17:21 27,904 --a------ C:\WINDOWS\7search.dll 2007-04-25 17:21 27,648 --a------ C:\WINDOWS\system32\wml.exe 2007-04-25 17:21 27,392 --a------ C:\WINDOWS\system32\vxddsk.exe 2007-04-25 17:21 26,880 --a------ C:\WINDOWS\flt.dll 2007-04-25 17:21 26,624 --a------ C:\WINDOWS\mssvr.exe 2007-04-25 17:21 23,552 --a------ C:\WINDOWS\system32\MSIXU.DLL 2007-04-25 17:21 22,784 --a------ C:\WINDOWS\system32\updatetc.exe 2007-04-25 17:21 22,528 --a------ C:\WINDOWS\mspphe.dll 2007-04-25 17:21 21,504 --a------ C:\WINDOWS\system32\msnhlp32.dll 2007-04-25 17:21 21,248 --a------ C:\WINDOWS\system32\180ax.exe 2007-04-25 17:21 20,736 --a------ C:\WINDOWS\bi.dll 2007-04-25 17:21 20,480 --a------ C:\WINDOWS\stcloader.exe 2007-04-25 17:21 19,712 --a------ C:\WINDOWS\voiceip.dll 2007-04-25 17:21 17,408 --a------ C:\WINDOWS\system32 mrsrv32.exe 2007-04-25 17:21 16,384 --a------ C:\WINDOWS\saiemod.dll 2007-04-25 17:21 16,128 --a------ C:\WINDOWS\swin32.dll 2007-04-25 17:21 15,104 --a------ C:\WINDOWS\system32\Biprep.exe 2007-04-25 17:21 15,104 --a------ C:\WINDOWS\bjam.dll 2007-04-25 17:21 12 --a------ C:\WINDOWS\system32\gtv_sd.bin 2007-04-25 17:21 11,776 --a------ C:\WINDOWS\cdsm32.dll 2007-04-25 17:21 11,008 --a------ C:\WINDOWS\2020search2.dll 2007-04-25 17:21 11,008 --a------ C:\WINDOWS\2020search.dll 2007-04-25 17:21 10,752 --a------ C:\WINDOWS\system32\satmat.exe 2007-04-25 17:21 10,752 --a------ C:\WINDOWS\pbar.dll 2007-04-25 17:20 81,412 --a------ C:\WINDOWS\system32\idleserv.exe 2007-04-25 17:20 41,050 --a------ C:\pudl.exe 2007-04-25 17:20 15,872 --a------ C:\WINDOWS wain.exe 2007-04-25 17:20 12,800 --a------ C:\WINDOWS\system32\user_32.dll 2007-04-25 10:33 10,913 -r-h----- C:\WINDOWS\system32\syst0.exe 2007-04-23 21:33 16,384 --a------ C:\WINDOWS\system32\FileOps.exe 2007-04-23 21:33 d-------- C:\Program Files\Common Files\Vbox 2007-04-23 19:52 72,957 --a------ C:\WINDOWS ybtyhrtg.exe 2007-04-23 18:51 72,844 --a------ C:\WINDOWS\esgfsefrf.exe 2007-04-23 18:32 75,302 --a------ C:\WINDOWS\yrtdfvfdgtr.exe 2007-04-23 18:21 71,420 --a------ C:\WINDOWS\ujtytdvsdvfds.exe 2007-04-23 18:13 208,896 --a------ C:\WINDOWS\system32\wmpns.dll 2007-04-23 18:09 8,192 --a------ C:\WINDOWS\system32\asferror.dll 2007-04-23 18:09 225,280 --a------ C:\WINDOWS\system32\wmpdxm.dll 2007-04-23 18:09 200,192 --a------ C:\WINDOWS\system32\wmerror.dll 2007-04-23 18:09 106,496 --a------ C:\WINDOWS\system32\wmpasf.dll 2007-04-23 18:08 20,480 --a------ C:\WINDOWS\system32\wmpui.dll 2007-04-23 18:08 20,480 --a------ C:\WINDOWS\system32\wmpcore.dll 2007-04-23 18:08 20,480 --a------ C:\WINDOWS\system32\wmpcd.dll 2007-04-23 18:08 2,985,984 --a------ C:\WINDOWS\system32\wmploc.dll 2007-04-23 18:04 52,736 --a------ C:\WINDOWS\system32\mspmsnsv.dll 2007-04-23 18:04 365,704 --a------ C:\WINDOWS\system32\msscp.dll 2007-04-23 18:04 27,136 --a------ C:\WINDOWS\system32\wmdmlog.dll 2007-04-23 18:04 246,272 --a------ C:\WINDOWS\system32\mswmdm.dll 2007-04-23 18:04 23,552 --a------ C:\WINDOWS\system32\wmdmps.dll 2007-04-23 18:04 201,728 --a------ C:\WINDOWS\system32\mspmsp.dll 2007-04-23 18:04 159,232 --a------ C:\WINDOWS\system32\CEWMDM.dll 2007-04-23 18:03 899,208 --a------ C:\WINDOWS\system32\wmspdmoe.dll 2007-04-23 18:03 816,264 --a------ C:\WINDOWS\system32\wmvdmod.dll 2007-04-23 18:03 760,968 --a------ C:\WINDOWS\system32\wmsdmod.dll 2007-04-23 18:03 677,000 --a------ C:\WINDOWS\system32\wmadmoe.dll 2007-04-23 18:03 486,536 --a------ C:\WINDOWS\system32\wmspdmod.dll 2007-04-23 18:03 410,248 --a------ C:\WINDOWS\system32\wmadmod.dll 2007-04-23 18:03 384,512 --a------ C:\WINDOWS\system32\mp4sdmod.dll 2007-04-23 18:03 316,040 --a------ C:\WINDOWS\system32\mp43dmod.dll 2007-04-23 18:03 248,456 --a------ C:\WINDOWS\system32\mpg4dmod.dll 2007-04-23 18:03 1,117,832 --a------ C:\WINDOWS\system32\wmsdmoe2.dll 2007-04-23 18:03 1,004,680 --a------ C:\WINDOWS\system32\wmvdmoe2.dll 2007-04-23 18:02 981,504 --a------ C:\WINDOWS\system32\wmnetmgr.dll 2007-04-23 18:02 81,408 --a------ C:\WINDOWS\system32\logagent.exe 2007-04-23 18:02 6,656 --a------ C:\WINDOWS\system32\laprxy.dll 2007-04-23 18:02 260,744 --a------ C:\WINDOWS\system32\msnetobj.dll 2007-04-23 18:02 241,664 --a------ C:\WINDOWS\system32\qasf.dll 2007-04-23 18:02 143,360 --a------ C:\WINDOWS\system32\wmidx.dll 2007-04-23 18:01 82,432 --a------ C:\WINDOWS\system32\drmstor.dll 2007-04-23 18:01 679,424 --a------ C:\WINDOWS\system32\drmv2clt.dll 2007-04-23 18:01 301,712 --a------ C:\WINDOWS\system32\drmclien.dll 2007-04-23 18:01 232,960 --a------ C:\WINDOWS\system32\blackbox.dll 2007-04-23 17:59 d-------- C:\DOCUME~1\JEAN-P~1\APPLIC~1\vlc 2007-04-23 17:54 d-------- C:\Program Files\VideoLAN 2007-04-23 16:47 d-------- C:\WINDOWS\LastGood 2007-04-23 16:45 71,004 --a------ C:\WINDOWS\dqwcesfr.exe 2007-04-23 16:41 32,768 --a------ C:\WINDOWS\system32\WooDial2000.dll 2007-04-23 16:41 d-------- C:\WINDOWS\system32\AlertModule 2007-04-23 16:40 94,208 --a------ C:\WINDOWS\system32\W32n50.dll 2007-04-23 16:40 40,960 --a------ C:\WINDOWS\system32\FTRTSVC.exe 2007-04-23 16:40 36,864 --a------ C:\WINDOWS\system32\IfHelper.dll 2007-04-23 16:40 16,128 --------- C:\WINDOWS\system32\PCANDIS5.SYS 2007-04-23 16:40 d-------- C:\WINDOWS\LastGood.Tmp 2007-04-23 16:35 d-------- C:\Program Files\Wanadoo 2007-04-23 16:32 d-------- C:\Program Files\SAGEM 2007-04-23 16:26 d-------- C:\Program Files\Securitoo 2007-04-22 22:42 d-------- C:\DOCUME~1 homas\APPLIC~1\Lavasoft 2007-04-21 12:18 86,528 -r-hs---- C:\WINDOWS\verifier.exe 2007-03-28 21:18 d-------- C:\DOCUME~1 homas\APPLIC~1\InterVideo (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-04-27 22:10 3610 --a------ C:\WINDOWS\system32\smbios.dat 2007-04-23 21:29 -------- d--h----- C:\Program Files\installshield installation information 2007-04-23 16:48 64 --a------ C:\DOCUME~1\JEAN-P~1\APPLIC~1\dm.ini 2007-04-18 18:16 733824 --a------ C:\WINDOWS\system32\aswboot.exe 2007-04-18 18:12 94552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-04-18 18:12 85952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-04-18 18:10 23416 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-04-18 18:09 43176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-04-18 18:07 26888 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-04-18 18:06 90112 --a------ C:\WINDOWS\system32\avastss.scr 2007-04-15 18:36 -------- d-------- C:\Program Files\windows live toolbar 2007-03-18 04:00 -------- d-------- C:\Program Files\msxml 4.0 2007-03-18 01:01 -------- d-------- C:\Program Files\msn apps 2007-03-18 00:41 -------- d-------- C:\Program Files\msn messenger 2007-03-11 21:09 2966 --a------ C:\WINDOWS\mozver.dat 2007-03-10 15:42 -------- d-------- C:\Program Files\yahoo! 2007-03-10 15:42 -------- d-------- C:\Program Files\ccleaner 2007-03-10 15:33 0 --a------ C:\WINDOWS sreg.dat 2007-03-07 01:36 -------- d-------- C:\Program Files\messenger 2007-03-07 00:57 -------- d-------- C:\Program Files\quintessential player 2007-03-07 00:56 -------- d-------- C:\Program Files\lavasoft 2007-03-07 00:56 -------- d-------- C:\DOCUME~1\JEAN-P~1\APPLIC~1\lavasoft 2007-03-07 00:49 -------- d-------- C:\Program Files\copernic agent 2007-03-07 00:40 -------- d-------- C:\DOCUME~1\JEAN-P~1\APPLIC~1\microsoft web folders 2007-03-07 00:27 -------- d-------- C:\Program Files\Common Files\panda software 2007-03-07 00:18 -------- d-------- C:\Program Files\panda software 2007-03-07 00:18 -------- d-------- C:\Program Files\microsoft sql server 2007-03-07 00:03 62 --ahs---- C:\DOCUME~1\JEAN-P~1\APPLIC~1\desktop.ini 2007-03-07 00:03 -------- d-------- C:\Program Files\Common Files\speechengines 2007-03-07 00:03 -------- d-------- C:\Program Files\Common Files\odbc 2007-03-07 00:00 -------- d-------- C:\Program Files\intervideo 2007-03-06 23:54 -------- d-------- C:\Program Files ecordnow! 2007-03-06 23:54 -------- d-------- C:\Program Files\hpq 2007-03-06 23:54 -------- d-------- C:\Program Files\Common Files\surething shared 2007-03-06 23:54 -------- d-------- C:\Program Files\Common Files\sonic 2007-03-06 23:54 -------- d-------- C:\DOCUME~1\JEAN-P~1\APPLIC~1\sonic 2007-03-06 23:53 -------- d-------- C:\Program Files\sonic 2007-03-06 23:49 14037 --a------ C:\WINDOWS\system32\drivers\mdc8021x.sys 2007-03-06 23:49 -------- d-------- C:\Program Files\intel 2007-03-06 23:48 -------- d-------- C:\Program Files\hewlett-packard 2007-03-06 23:43 -------- d-------- C:\Program Files\hp 2007-03-06 23:40 -------- d-------- C:\Program Files\synaptics 2007-03-06 23:40 -------- d-------- C:\Program Files\broadcom 2007-03-06 23:38 -------- d-------- C:\Program Files\Common Files\installshield 2007-03-06 23:33 -------- d-------- C:\Program Files\widcomm 2007-03-06 23:18 0 -rahs---- C:\MSDOS.SYS 2007-03-06 23:18 0 -rahs---- C:\IO.SYS 2007-03-06 23:18 0 --a------ C:\CONFIG.SYS 2007-03-06 23:18 0 --a------ C:\AUTOEXEC.BAT 2007-03-06 23:18 -------- d-------- C:\Program Files\microsoft frontpage 2007-03-06 23:16 -------- d-------- C:\Program Files\online services 2007-03-06 23:15 -------- d-------- C:\Program Files\movie maker 2007-03-06 23:15 -------- d-------- C:\Program Files\Common Files\mssoap 2007-03-06 23:14 21640 --a------ C:\WINDOWS\system32\emptyregdb.dat 2007-03-06 23:13 -------- d--h----- C:\Program Files\windowsupdate 2007-03-06 23:13 -------- d-------- C:\Program Files\windows nt 2007-03-06 23:13 -------- d-------- C:\Program Files\msn gaming zone (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {02478D38-C3F9-4EFB-9B51-7695ECA05670} C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll {20C8CF19-B3DC-42D6-A0DF-C16CEE6C3D90} C:\WINDOWS\System32\ssqrp.dll [x] {2265EED7-6022-4d6c-ADF2-E932FEFD433C} C:\WINDOWS\System32\mn.dll {53707962-6F74-2D53-2644-206D7942484F} C:\PROGRA~1\SPYBOT~1\SDHelper.dll {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} C:\Program Files\Windows Live Toolbar\msntb.dll {D651AFF4-9590-424d-BD1E-8E33E090DFB3} C:\WINDOWS\System32\kfllckdv.dll [x] {EEFBE5D6-FEFF-4CB4-AA26-6A464090CB89} C:\WINDOWS\System32\msnhlp32.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un] "AGRSMMSG"="AGRSMMSG.exe" "SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" "IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" "HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" "Cpqset"="C:\Program Files\HPQ\Default Settings\cpqset.exe" "PRONoMgr.exe"="c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe" "eabconfg.cpl"="C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start" "UpdateManager"="\"C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe\" /r" "SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe" "PASystemTray"="\"C:\Program Files\Panda Software\Panda Administrator 3\Console\PASystemTray.exe\"" "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" "playclms"="C:\WINDOWS\System32\umcyzsor.exe" "tymsetvc"="C:\WINDOWS\System32\osskhbd.exe" "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe" "cvmsyslpd"="C:\WINDOWS\System32\sdservss.exe" "winsplog"="C:\WINDOWS\System32\wsmmlog.exe" "dstiosys"="C:\WINDOWS\System32\plsitctl.exe" "sacmemds"="C:\WINDOWS\System32\smcntlwio.exe" "MMS Manager"="C:\WINDOWS\System32\mmsman.exe" "InfoData"="rundll32.exe \"C:\WINDOWS\System32\aigclidh.dll\",realset" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion un] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" "HP Mobile Printing"="C:\Program Files\Hewlett-Packard\HP Mobile Printing\HPBMOBIL.EXE" "RecordNow!"="" "WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx" "superproxy"="C:\WINDOWS\superproxy.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5" "{8BFA0939-92D5-4762-B188-2F45AE6D445B}"="System Registry Hook" "{BFBA1D3E-30F9-4965-922D-72D67616691D}"="" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify pcc HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\Sebring HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\vtuutts [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "appinit_dlls"=" C:\WINDOWS\System32 mp_5r.dll" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Authentication Packages REG_MULTI_SZ msv1_0\0\0 Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0 Notification Packages REG_MULTI_SZ scecli\0\0 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 Contents of the 'Scheduled Tasks' folder C:\WINDOWS asks\1 Copernic Intra-Daily ~PERSO-VAVR2M803 jean-pierre.job C:\WINDOWS asks\2 Copernic Daily ~PERSO-VAVR2M803 jean-pierre.job C:\WINDOWS asks\3 Copernic Weekly ~PERSO-VAVR2M803 jean-pierre.job C:\WINDOWS asks\4 Copernic Monthly ~PERSO-VAVR2M803 jean-pierre.job C:\WINDOWS asks\V‚rifier les mises … jour de Windows Live Toolbar.job ******************************************************************** catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-04-27 22:35:51 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run Cpqset = C:\Program Files\HPQ\Default Settings\cpqset.exe?????????A?p?????????? ?`?B???????????????B? ?????? scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-04-27 22:35:56 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 07-04-27 22:35 et celui de SmithfraudFix : SmitFraudFix v2.171 Scan done at 22:45:32,32, 27/04/2007 Run from C:\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe C:\WINDOWS\verifier.exe C:\WINDOWS\System32\FTRTSVC.exe C:\Program Files\Microsoft SQL Server\MSSQL$PADMINISTRATOR\Binn\sqlservr.exe C:\Program Files\Panda Software\Panda Administrator 3\Distribution Server\PadFSvr.exe C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe C:\Program Files\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe C:\WINDOWS\System32\RegSrvc.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\System32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\1XConfig.exe C:\WINDOWS\system32 mrsrv32.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe C:\Program Files\Panda Software\Panda Administrator 3\Console\PASystemTray.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\osskhbd.exe C:\WINDOWS\System32\sdservss.exe C:\WINDOWS\System32\wsmmlog.exe C:\WINDOWS\System32\plsitctl.exe C:\PROGRA~1\Wanadoo\TaskBarIcon.exe C:\WINDOWS\System32\smcntlwio.exe C:\WINDOWS\System32\mmsman.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Hewlett-Packard\HP Mobile Printing\HPBMOBIL.EXE C:\WINDOWS\superproxy.exe C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe C:\PROGRA~1\Wanadoo\ComComp.exe C:\PROGRA~1\Wanadoo\Toaster.exe C:\PROGRA~1\Wanadoo\Inactivity.exe C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe C:\PROGRA~1\Wanadoo\PollingModule.exe C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE C:\PROGRA~1\Wanadoo\Watch.exe C:\zzzz.exe C:\Program Files\Panda Software\Panda Administrator 3\AdminServer\AdminServer.exe C:\WINDOWS\System32\msiexec.exe C:\WINDOWS\System32\MsiExec.exe C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\System32\wbem\wmiprvse.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jean-pierre »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jean-pierre\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\JEAN-P~1\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="My Current Home Page" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"=hex(1):03,00,20,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,\ »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32 »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: Broadcom 440x 10/100 Integrated Controller - Packet Scheduler Miniport DNS Server Search Order: 192.168.1.1 DNS Server Search Order: 0.0.0.0 HKLM\SYSTEM\CCS\Services\Tcpip\..\{57B2A5F5-8D6F-4B79-9BCB-66EF99274665}: DhcpNameServer=192.168.1.1 0.0.0.0 HKLM\SYSTEM\CS1\Services\Tcpip\..\{57B2A5F5-8D6F-4B79-9BCB-66EF99274665}: DhcpNameServer=192.168.1.1 0.0.0.0 HKLM\SYSTEM\CS2\Services\Tcpip\..\{57B2A5F5-8D6F-4B79-9BCB-66EF99274665}: DhcpNameServer=192.168.1.1 0.0.0.0 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End Encore merci!

afideg · Answer

Re,

J'attends le rapport ScanOnlineKaspersky.
Lance-le, et poste le rapport demain matin.


Dans l'immédiat, poste un nouveau rapport HijackThis, SVP.
Poste aussi le résultat d'une analyse complète par ton PANDA.
Dis-moi où en sont les soucis .


Bonne nuit
Al.

joebarteam · Answer

Bonjour,

Voici le rapport de HijackThis :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 03:07:54, on 28/04/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\verifier.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Microsoft SQL Server\MSSQL$PADMINISTRATOR\Binn\sqlservr.exe
C:\Program Files\Panda Software\Panda Administrator 3\Distribution Server\PadFSvr.exe
C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
C:\Program Files\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32	mrsrv32.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe
C:\Program Files\Panda Software\Panda Administrator 3\Console\PASystemTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\osskhbd.exe
C:\WINDOWS\System32\sdservss.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\System32\wsmmlog.exe
C:\WINDOWS\System32\plsitctl.exe
C:\WINDOWS\System32\smcntlwio.exe
C:\WINDOWS\System32\mmsman.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Hewlett-Packard\HP Mobile Printing\HPBMOBIL.EXE
C:\zzzz.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\HijackThis\HiJackThis_v2.exe
C:\Program Files\Panda Software\Panda Administrator 3\Distribution Server\PadDSUpd.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {00000026-8735-428D-B81F-DD098223B25F} - (no file)
O2 - BHO: (no name) - {00000250-0320-4dd4-be4f-7566d2314352} - (no file)
O2 - BHO: (no name) - {000006b1-19b5-414a-849f-2a3c64ae6939} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {06dfedaa-6196-11d5-bfc8-00508b4a487d} - (no file)
O2 - BHO: (no name) - {13197ace-6851-45c3-a7ff-c281324d5489} - (no file)
O2 - BHO: (no name) - {20C8CF19-B3DC-42D6-A0DF-C16CEE6C3D90} - C:\WINDOWS\System32\ssqrp.dll (file missing)
O2 - BHO: H Class - {2265EED7-6022-4d6c-ADF2-E932FEFD433C} - C:\WINDOWS\System32\mn.dll
O2 - BHO: (no name) - {30000273-8230-4dd4-be4f-6889d1e74167} - (no file)
O2 - BHO: (no name) - {4e1075f4-eec4-4a86-add7-cd5f52858c31} - (no file)
O2 - BHO: (no name) - {4e7bd74f-2b8d-469e-92c6-ce7eb590a94d} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - (no file)
O2 - BHO: (no name) - {5929cd6e-2062-44a4-b2c5-2c7e78fbab38} - (no file)
O2 - BHO: (no name) - {5dafd089-24b1-4c5e-bd42-8ca72550717b} - (no file)
O2 - BHO: (no name) - {5fa6752a-c4a0-4222-88c2-928ae5ab4966} - (no file)
O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)
O2 - BHO: (no name) - {715F524E-CB68-4745-BCB7-45AA735D3470} - C:\WINDOWS\System32\geedb.dll
O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file)
O2 - BHO: (no name) - {965a592f-8efa-4250-8630-7960230792f1} - (no file)
O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file)
O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765728274} - (no file)
O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\System32\kfllckdv.dll (file missing)
O2 - BHO: msnhlp32.msn_hlp - {EEFBE5D6-FEFF-4CB4-AA26-6A464090CB89} - C:\WINDOWS\System32\msnhlp32.dll
O2 - BHO: (no name) - {fc3a74e5-f281-4f10-ae1e-733078684f3c} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe
O4 - HKLM\..\Run: [PASystemTray] "C:\Program Files\Panda Software\Panda Administrator 3\Console\PASystemTray.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [playclms] C:\WINDOWS\System32\umcyzsor.exe
O4 - HKLM\..\Run: [tymsetvc] C:\WINDOWS\System32\osskhbd.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [cvmsyslpd] C:\WINDOWS\System32\sdservss.exe
O4 - HKLM\..\Run: [winsplog] C:\WINDOWS\System32\wsmmlog.exe
O4 - HKLM\..\Run: [dstiosys] C:\WINDOWS\System32\plsitctl.exe
O4 - HKLM\..\Run: [sacmemds] C:\WINDOWS\System32\smcntlwio.exe
O4 - HKLM\..\Run: [MMS Manager] C:\WINDOWS\System32\mmsman.exe
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\System32\aigclidh.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [HP Mobile Printing] C:\Program Files\Hewlett-Packard\HP Mobile Printing\HPBMOBIL.EXE
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [superproxy] C:\WINDOWS\superproxy.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_02\bin
pjpi142_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_02\bin
pjpi142_02.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - AppInit_DLLs:  C:\WINDOWS\System32	mp_5r.dll
O20 - Winlogon Notify: geedb - C:\WINDOWS\System32\geedb.dll
O20 - Winlogon Notify: qomlmjh - C:\WINDOWS\SYSTEM32\qomlmjh.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32pcc.dll
O20 - Winlogon Notify: tuvvvur - C:\WINDOWS\SYSTEM32	uvvvur.dll
O20 - Winlogon Notify: vtuutts - C:\WINDOWS\SYSTEM32\vtuutts.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Panda AdminSecure Administration Server (AdminServer) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\AdminServer\AdminServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Driver Verification (Driver Verification Service) - Unknown owner - C:\WINDOWS\verifier.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Panda AdminSecure Distribution Server (PadFSvr) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\Distribution Server\PadFSvr.exe
O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Unknown owner - C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Unknown owner - C:\Program Files\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\PavReport\PavReport.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

joebarteam · Answer

Re,

J'ai oublié de préciser qu'Avast! m'a souvent informé de l'infection du fichier xiuex.exe. Même après une suppression manuelle, le fichier état de retour.

Mainteant j'ai plein d'autres fichiers bizarres comme ça :

c:\ds.exe
c:\xiuex.exe
c:\xv.exe
c:	jfdf.exe
c:\zzzz.exe
c:\s4.exe
c:\fxuofadm.exe
c:\yjhnd.exe

Aussi, Avast! m'averti sans cesse que le fichier "C:\Program Files\Panda Software\Panda Administrator 3\Distribution Server\pavdll.dll" est infecté par Win32:Kuang2 et j'ai beau faire des scans, cliquer sur mettre en quarantaine, cliquer sur supprimer, rien a faire, le message revient constamment...

afideg · Answer

Bonjour, Eh bien, ton PC est un exemple d'infection récente et compliquée. Il faut être patient et faire les choses dans l'ordre . Je ne saurai pas tout faire maintenant; j'ai des obligations; Dans l'immédiat, faire ceci: 1°- Télécharge VundoFix.exe (par Atribune) sur ton Bureau http://www.atribune.org/public-beta/VundoFix.exe * Double-clique VundoFix.exe afin de le lancer * Clique sur le bouton « Scan for Vundo » * Lorsque le scan est complété, clique sur le bouton « Remove Vundo » * Une invite te demandera si tu veux supprimer les fichiers, clique YES * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK * Copie/colle sur le forum, le contenu du rapport situé dans « C:\vundofix.txt » Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo". 2°-Redémarre le PC en mode sans échec, et désactive le Tea-Timer de ton Spybot S&D. 3°- Relance HJT « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) coche la case devant ces lignes: -O2 - BHO: (no name) - {00000026-8735-428D-B81F-DD098223B25F} - (no file) -O2 - BHO: (no name) - {00000250-0320-4dd4-be4f-7566d2314352} - (no file) -O2 - BHO: (no name) - {000006b1-19b5-414a-849f-2a3c64ae6939} - (no file) -O2 - BHO: (no name) - {06dfedaa-6196-11d5-bfc8-00508b4a487d} - (no file) -O2 - BHO: (no name) - {13197ace-6851-45c3-a7ff-c281324d5489} - (no file) -O2 - BHO: (no name) - {20C8CF19-B3DC-42D6-A0DF-C16CEE6C3D90} - C:\WINDOWS\System32\ssqrp.dll (file missing) -O2 - BHO: (no name) - {30000273-8230-4dd4-be4f-6889d1e74167} - (no file) -O2 - BHO: (no name) - {4e1075f4-eec4-4a86-add7-cd5f52858c31} - (no file) -O2 - BHO: (no name) - {4e7bd74f-2b8d-469e-92c6-ce7eb590a94d} - (no file) -O2 - BHO: (no name) - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - (no file) -O2 - BHO: (no name) - {5929cd6e-2062-44a4-b2c5-2c7e78fbab38} - (no file) -O2 - BHO: (no name) - {5dafd089-24b1-4c5e-bd42-8ca72550717b} - (no file) -O2 - BHO: (no name) - {5fa6752a-c4a0-4222-88c2-928ae5ab4966} - (no file) -O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file) -O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file) -O2 - BHO: (no name) - {965a592f-8efa-4250-8630-7960230792f1} - (no file) -O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file) -O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file) -O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765728274} - (no file) -O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\System32\kfllckdv.dll (file missing) -O2 - BHO: msnhlp32.msn_hlp - {EEFBE5D6-FEFF-4CB4-AA26-6A464090CB89} - C:\WINDOWS\System32\msnhlp32.dll -O2 - BHO: (no name) - {fc3a74e5-f281-4f10-ae1e-733078684f3c} - (no file) -O4 - HKLM\..\Run: [MMS Manager] C:\WINDOWS\System32\mmsman.exe -O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll Ensuite ferme tes programmes en cours,( seul HijackThis doit être ouvert ) , et ensuite Clic [Fix checked] 4°- Redémarre normalement le PC. 5°- Voici la première partie de la suite : • - Prends connaissance du contenu suivant: http://www.f-secure.com/products/license-terms/eult_fra.pdf Tu as donc pris connaissance et accepté les conditions d'utilisation du programme BlackLight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger. •- Maintenant fais un clic droit sur ce lien : http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip « Fichier » > "Enregistrer la cible (du lien) sous... " > et enregistre-le "sur ton bureau". Fais un clic droit sur "navilog1.zip" et choisis "tout extraire" Fais l'extraction dans un dossier propre à lui ( je le fais sur le bureau ) Ensuite double-clic sur "navilog1.bat " ( qui est donc sur ton bureau ) Laisse-toi guider. Au menu principal, choisis 1 et valide. ( ne fais pas le choix 2,3 ou 4 sans notre avis/accord ) Patiente jusqu'au message : *** Analyse : Terminé le ..... *** Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir. Copier/coller l'intégralité dans une réponse. Referme le bloc-notes. 6°- Aucun pare-feu actif n'a été trouvé sur votre système Télécharge ce pare-feu KERIO: ( pare-feu, qui reste gratuit après la période d'essai de 21 jours! ) , ici : < http://www.dsi12.fr/telechargements/vnc/kerio-kpf-4.2.2-911-win.exe > ou là :< http://www.infos-du-net.com/telecharger/Firewall-Kerio-Personal,0301-390.html > •- Ensuite lancer l'installation de ce pare-feu. Pour cela: - tu dois impérativement couper la connexion de ton modem (débranche-le), -Ça peut être un routeur et tu es relié par un câble, tu débranches le cable. -Ça peut être un mécanisme wifi. Tu l'arrêtes ou tu le débranches si c'est un dongle). -ensuite installer ce pare-feu une fois téléchargé , -et l'activer ( vérifier à ce moment que celui de Windows soit bien désactivé -si non, fais-le manuellement, comme ceci : - Démarrer ->panneau de config (en affichage classique) -> pare-feu windows et tu le mets sur "désactiver". ) •- et enfin si tout s'est bien déroulé, rétablir ta connexion à Internet. . Eventuellement mettre à jour Kério. Avec ces tutoriels pour configurer et comprendre l'utilisation de Kerio - http://www.chez.com/leppa/scripts/kpfV4.html - https://www.vulgarisation-informatique.com/kerio.php -Tuto - https://forums.cnetfrance.fr -Bloquer des ports avec Kerio - créer une règle de filtrage < https://www.vulgarisation-informatique.com/bloquer-ports.php > 7°- Poster un nouveau rapport HJT Merci et courage Al

Lyonnais92 · Answer

Bonjour,

pour suivre à la demande d'afideg.

Au passage,  Win32:Kuang2  est un faux positif connu. Donc pas de souci avec ça.
@+

afideg · Answer

Bonsoir et merci Lyonnais pour l'info du faux-positif.

C'est tout de même bizarre que son AVAST réagisse seulement maintenant à la présence de son PANDA installé à demeure sur son PC.

L'internaute a-t-il au moins pris connaissance des interactions entre ces deux programmes. Ne peut-on donc rien en lire dans leur tutoriel respectif.
C'est insensé de ne pouvoir utiliser des Programmes acquis.


Je voudrais que l'internaute fasse ceci:
O2 - BHO: msnhlp32.msn_hlp - {EEFBE5D6-FEFF-4CB4-AA26-6A464090CB89} - C:\WINDOWS\System32\msnhlp32.dll
Pour ceci : msnhlp32.dll , l'uploader pour S!ri ; car il n'est pas dans le changelog. 
Voici le lien pour uplad vers S!Ri  <  http://siri.urz.free.fr/upload/  >

Qu'en penses-tu ?
Al.


PS: Allo ? joebarteam  ? Et alors ?
Il est temps de prendre l'infection de ton PC au sérieux.
C'est ton intérêt.

joebarteam · Answer

Bonsoir,

Désolé du retard, mais toutes ces manip' ont pris un temps fou.

Vundo à mis plus de 48h à me scanner l'ordi....Je sais pas si c'est normal, mais j'ai laisser faire et tout ce qu'il avait détecté est apparemment parti.

Je laisse donc le scan :


VundoFix V6.3.20

Checking Java version...

Java version is 1.4.2.2
Old versions of java are exploitable and should be removed.

Scan started at 14:31:10 28/04/2007

Listing files found while scanning....


VundoFix V6.3.20

Checking Java version...

Java version is 1.4.2.2
Old versions of java are exploitable and should be removed.

Scan started at 23:03:04 28/04/2007

Listing files found while scanning....

C:\WINDOWS\System32\bdeeg.bak1
C:\WINDOWS\System32\bdeeg.bak2
C:\WINDOWS\System32\bdeeg.ini
C:\WINDOWS\system32\fccdebb.dll
C:\WINDOWS\System32\geedb.dll
C:\WINDOWS\system32\hbpubbwy.dll
C:\WINDOWS\system32\iifebbb.dll
C:\WINDOWS\system32\jkkijkk.dll
C:\WINDOWS\system32\qomlmjh.dll
C:\WINDOWS\system32	uvvvur.dll
C:\WINDOWS\system32\vtuutts.dll
C:\WINDOWS\system32\xxywtsr.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\System32\bdeeg.bak1
C:\WINDOWS\System32\bdeeg.bak1 Has been deleted!

 Attempting to delete C:\WINDOWS\System32\bdeeg.bak2
C:\WINDOWS\System32\bdeeg.bak2 Has been deleted!

 Attempting to delete C:\WINDOWS\System32\bdeeg.ini
C:\WINDOWS\System32\bdeeg.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\fccdebb.dll
C:\WINDOWS\system32\fccdebb.dll Has been deleted!

 Attempting to delete C:\WINDOWS\System32\geedb.dll
C:\WINDOWS\System32\geedb.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\hbpubbwy.dll
C:\WINDOWS\system32\hbpubbwy.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\iifebbb.dll
C:\WINDOWS\system32\iifebbb.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\jkkijkk.dll
C:\WINDOWS\system32\jkkijkk.dll Could not be deleted.

 Attempting to delete C:\WINDOWS\system32\qomlmjh.dll
C:\WINDOWS\system32\qomlmjh.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32	uvvvur.dll
C:\WINDOWS\system32	uvvvur.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\vtuutts.dll
C:\WINDOWS\system32\vtuutts.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\xxywtsr.dll
C:\WINDOWS\system32\xxywtsr.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\jkkijkk.dll
C:\WINDOWS\system32\jkkijkk.dll Could not be deleted.

Performing Repairs to the registry.
Done!


Suivit directement par le log de Navilog :

Search Navipromo version 1.1.5 commencé le 30/04/2007 à 23:43:50,04
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\jean-pierre\Desktop\Navilog
Mise a jour le 13.04.2007 a 20h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\jean-pierre\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 04/30/07 at 23:43:51.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ......................................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 04/30/07 at 23:52:18 (return code = 0).


*** Recherche fichiers *** 




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 
 
 
*** Analyse Terminé le 30/04/2007 à 23:52:37,51 *** 


Et enfin, le log d'HijackThis :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 00:27:57, on 01/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32	mrsrv32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe
C:\Program Files\Panda Software\Panda Administrator 3\Console\PASystemTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\osskhbd.exe
C:\WINDOWS\System32\sdservss.exe
C:\WINDOWS\System32\wsmmlog.exe
C:\WINDOWS\System32\plsitctl.exe
C:\WINDOWS\System32\smcntlwio.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Hewlett-Packard\HP Mobile Printing\HPBMOBIL.EXE
C:\WINDOWS\superproxy.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\WINDOWS\verifier.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Microsoft SQL Server\MSSQL$PADMINISTRATOR\Binn\sqlservr.exe
C:\Program Files\Panda Software\Panda Administrator 3\Distribution Server\PadFSvr.exe
C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\1XConfig.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\WINDOWS\System32\svchost.exe
C:\HijackThis\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: H Class - {2265EED7-6022-4d6c-ADF2-E932FEFD433C} - C:\WINDOWS\System32\mn.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6D7526E8-2DC8-4015-9A48-BD9363877342} - C:\WINDOWS\System32\geedb.dll (file missing)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {BFBA1D3E-30F9-4965-922D-72D67616691D} - C:\WINDOWS\System32\jkkijkk.dll
O2 - BHO: (no name) - {C565FB4E-C0AB-487F-BA51-30E605DDD473} - C:\WINDOWS\System32\jeubdmmy.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe
O4 - HKLM\..\Run: [PASystemTray] "C:\Program Files\Panda Software\Panda Administrator 3\Console\PASystemTray.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [playclms] C:\WINDOWS\System32\umcyzsor.exe
O4 - HKLM\..\Run: [tymsetvc] C:\WINDOWS\System32\osskhbd.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [cvmsyslpd] C:\WINDOWS\System32\sdservss.exe
O4 - HKLM\..\Run: [winsplog] C:\WINDOWS\System32\wsmmlog.exe
O4 - HKLM\..\Run: [dstiosys] C:\WINDOWS\System32\plsitctl.exe
O4 - HKLM\..\Run: [sacmemds] C:\WINDOWS\System32\smcntlwio.exe
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\System32\aigclidh.dll",realset
O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\System32pcc.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [HP Mobile Printing] C:\Program Files\Hewlett-Packard\HP Mobile Printing\HPBMOBIL.EXE
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [superproxy] C:\WINDOWS\superproxy.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_02\bin
pjpi142_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_02\bin
pjpi142_02.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - AppInit_DLLs:  C:\WINDOWS\System32	mp_5r.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32pcc.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Panda AdminSecure Administration Server (AdminServer) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\AdminServer\AdminServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Driver Verification (Driver Verification Service) - Unknown owner - C:\WINDOWS\verifier.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Panda AdminSecure Distribution Server (PadFSvr) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\Distribution Server\PadFSvr.exe
O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Unknown owner - C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Unknown owner - C:\Program Files\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\PavReport\PavReport.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

joebarteam · Answer

Bonsoir et merci Lyonnais pour l'info du faux-positif.
-> C'est quoi un faux-positif??


L'internaute a-t-il au moins pris connaissance des interactions entre ces deux programmes. Ne peut-on donc rien en lire dans leur tutoriel respectif.
C'est insensé de ne pouvoir utiliser des Programmes acquis.
-> Ils ne sont pas compatibles, c'est ça?

Je voudrais que l'internaute fasse ceci:
O2 - BHO: msnhlp32.msn_hlp - {EEFBE5D6-FEFF-4CB4-AA26-6A464090CB89} - C:\WINDOWS\System32\msnhlp32.dll
Pour ceci : msnhlp32.dll , l'uploader pour S!ri ; car il n'est pas dans le changelog.
Voici le lien pour uplad vers S!Ri < http://siri.urz.free.fr/upload/ >
-> Désolé, mais je n'est rien compris.
J'ai copier/coller l'URL du post dans " Lien vers le message du forum où le fichier a été demandé" puis j'ai copier/coller C:\WINDOWS\System32\msnhlp32.dll dans  Fichier: puis cliquer sur Upload. 
Un message d'erreur m'annonce : 
Erreur taille du fichier incorrecte.
La taille de fichier maximum est de 600 Ko

Vous allez être redirigé, sinon cliquez ici.

joebarteam · Answer

Re,

je viens de trouver un lien qui explique comment se débarrasser du Win32:Kuang2 

-> http://www.sophos.fr/virusinfo/analyses/w32weirde.html

Pouvez-vous me dire si c'est une bonne action à faire, ou s'il faut justement l'éviter....?

Merci

A+

Lyonnais92 · Answer

Bonsoir,

un faux positif est un fichier qu'un outil décèle, à tort, comme nocif. Déceler des faus positifs est un mauvais point pour un outil.

Il y a des cas biens connus où un outil contient un programme "dangereux". Il va être qualifié de "malware" par d'autres outils. SmitfraudFix par exemple contient process.exe qui est décelé comme dangereux.

Il semble y avoir des phénomènes identiques entre avast et Panda.

Pour l'upload, le fichier est trop gros pour être transmis. Tu n'y peux rien.

Pour le reste, je laisse afideg te répondre (sauf s'il tardait trop auquel cas j'essayerai de répondre à sa place).

à+

joebarteam · Answer

Salut,

Merci pour ton explication.

J'attends les instructions d'afideg pour continuer la désinfection.

En tout cas, merci a tous de votre aide, c'est sympa.

bonne nuit 

a+

afideg · Answer

Bonjour Lyonnais92 & joebarteam 1°- joebarteam, dans ton interrogation vis-à-vis de la coexistence entre PANDA et AVAST, tu oublies ma phrase suivante : « C'est tout de même bizarre que son AVAST réagisse seulement maintenant à la présence de son PANDA installé à demeure sur son PC ». Et donc, non seulement je pensais à un faux-positif ( comme nous en rencontrons "trop" souvent ), et je remerciais Lyonnais de me permettre d'ajouter à mes tablettes de travail ce "Win32:Kuang2" apparemment spécifique au couple PANDA/AVAST; - mais je voulais que tu me confirmes - comme noté théoriquement dans la procédure d'analyse par PANDA- si tu avais bien désactivé AVAST, durant cette analyse ( justement pour éviter un conflit ); - je me posais également la question de savoir si tu avais bien paramétré ces deux programmes dont dispose ton PC. Je serais incomplet si je ne rappelais pas que ces deux programmes sont excellents, et à garder ( à la condition que AVAST soit actif au démarrage, et que PANDA soit inactivé, hormis les jours où tu fais appel à ses services ). Hors, je vois que ces deux programmes se lancent au démarrage chez toi : O4 - HKLM\..\Run: [PASystemTray] "C:\Program Files\Panda Software\Panda Administrator 3\Console\PASystemTray.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe Je voudrais que tu puisses relancer une analyse par PANDA; elle devrait nous révéler cette clé ( montrée par Sophos ) : HKLM\Software\Microsoft\Windows\CurrentVersion\Run = .exe Merci d'avance. Et si cela échoue, tente ceci, s'il te plaît: Fais un scan en ligne ici ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm > Procédure : "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup. Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId23736 > Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan. * A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse 2°- Pour ce fichier msnhlp32.dll à transmettre au concepteur du programme SmitfraudFix, il aurait dû être détecté lors de ton analyse post # 7. Mais il ne l'a pas été, parce que ce fichier ne figurait pas dans la base de données de SmitfraudFix. C'est pourquoi, et dans le souci de mettre à jour régulièrement ces outils de désinfection, je t'ai demandé d'uploader le fichier. Maintenant, que je sais que ce fichier dépasse "apparemment" 600Ko, il faut que tu le compresses avant de l'uploader. Tu fais cette compression avec ton outil de compression ( soit WinZip 11.1, IZarc 3.7 -->gratuit ) ; recherche si tu n'en disposes pas déjà dans tes accessoires Windows. 3°- Je vois aussi ceci: O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe Ce qui veut dire que ta console Java n'est pas à jour ! Pour corriger cela, va chez Java Sun < https://www.java.com/fr/download/manual.jsp > et télécharge la dernière version. Après installation et redémarrage, va dans le panneau de configuration/Ajouter-Supprimer des programmes afin de désinstaller l'ancienne version, (et reste aussi à ôter dans "program files" dans Java le vieux dossier qui n'est pas ôter lors de la désinstallation ) ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans cette ancienne version. Retourne alors chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. 4°- Je voudrais que tu puisses faire ceci avant de clôturer: Télécharge Combofix.exe (par sUBs) sur ton Bureau < http://download.bleepingcomputer.com/sUBs/ComboFix.exe > Double clique "combofix.exe" et suis les invites. Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis. 5°- Merci Lyonnais. C'est sympa. En effet, je serai absent un moment, je ne pourrai donc terminer ce topic tout de suite. Bonne journée N'oubliez pas votre brin de muguet ;) Al.

joebarteam · Answer

Salut, je n'ai pas de très bonne nouvelles.... j'énumère en citant : Je voudrais que tu puisses relancer une analyse par PANDA; elle devrait nous révéler cette clé ( montrée par Sophos ) : HKLM\Software\Microsoft\Windows\CurrentVersion\Run = .exe La console Panda, ne veut toujours pas se lancer...Elle m'indique toujours le même message d'avertissement. Soit le logiciel est mal installé soit c'est un probleme avec le serveur (???). Et si cela échoue, tente ceci, s'il te plaît: Fais un scan en ligne ici ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm Lorsque je suis sur la page de Scan Panda Online, et que je souhaite lancer le scan, I.E ne comprends pas, il ne plante pas mais il m'affiche une page blanche et aucune information n'apparait...J'ai pourtant suivit vos indications + celles des tutos que vous m'avais cités... 2°- Pour ce fichier msnhlp32.dll [...] Maintenant, que je sais que ce fichier dépasse "apparemment" 600Ko, il faut que tu le compresses avant de l'uploader. Tu fais cette compression avec ton outil de compression ( soit WinZip 11.1, IZarc 3.7 -->gratuit ) ; recherche si tu n'en disposes pas déjà dans tes accessoires Windows. Problème, je ne trouve pas le fichier dans C:\WINDOWS\System32\msnhlp32.dll...Je ne peux donc pas le zipper pour l'uploader.... 3°-Ce qui veut dire que ta console Java n'est pas à jour ! Pour corriger cela, va chez Java Sun < https://www.java.com/fr/download/manual.jsp > et télécharge la dernière version. Encore un problème, j'ai pu télécharger la nouvelle version, mais lorsque je lui demande d'installer, un message me dit qu'il y a une autre application qui est entrain de s'installer. J'ai pourtant fermer toutes les applications et redémarrer le pc, le message apparait toujours... 4°- Double clique "combofix.exe" et suis les invites. Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis. Ca, par contre, ça a marché! Log ComboFix : "jean-pierre" - 07-05-01 12:56:44 Service Pack 1 ComboFix 07-04-25.4V - Running from: "C:\Documents and Settings\jean-pierre\Desktop\" (((((((((((((((((((((((((((((((((((((((((((((((((( V Log ))))))))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\jkkjh.dll C:\WINDOWS\system32\pmkjg.dll C:\WINDOWS\system32\jeubdmmy.dll C:\WINDOWS\system32\srrwxqvf.dll C:\WINDOWS\system32\gebcyxw.dll C:\WINDOWS\system32\jkkijkk.dll C:\WINDOWS\system32\gjkmp.ini C:\WINDOWS\system32 nnnmnk.dll * * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\0_exception.nls C:\WINDOWS\system32\ksys.sys C:\WINDOWS\system32 pcc.exe C:\WINDOWS\system32 pcc.dll ((((((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\NDnet1 -------\Runtime -------\LEGACY_NDNET1 -------\LEGACY_RUNTIME ((((((((((((((((((((((((((((((( Files Created from 2007-04-01 to 2007-05-01 )))))))))))))))))))))))))))))))))) 2007-05-01 13:09 30,720 --a------ C:\WINDOWS\system32 pcc.dll 2007-05-01 13:09 26,678 --a------ C:\WINDOWS\system32\wvuvvsr.dll 2007-05-01 11:22 48,128 --a------ C:\bohxe.exe 2007-05-01 11:22 36,352 --a------ C:\qfdmypbt.exe 2007-05-01 11:22 36,352 --a------ C:\pudl.exe 2007-05-01 11:21 7,200 --a------ C:\xiuex.exe 2007-05-01 01:11 507,525 ---hs---- C:\WINDOWS\system32 vvwa.bak1 2007-05-01 01:11 284,244 ---hs---- C:\WINDOWS\system32\awvvt.dll 2007-05-01 00:26 7,200 --a------ C:\yjhnd.exe 2007-05-01 00:26 48,128 --a------ C:\lqav.exe 2007-05-01 00:01 d-------- C:\Program Files\Kerio 2007-04-30 23:43 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-04-28 22:23 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys 2007-04-28 22:23 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys 2007-04-28 22:21 d-------- C:\Program Files\Google 2007-04-28 22:20 d-------- C:\Program Files\Picasa2 2007-04-28 14:31 d-------- C:\VundoFix Backups 2007-04-28 11:47 13,824 --a------ C:\WINDOWS\system32\sdfdil.exe 2007-04-28 02:25 36,352 --a------ C:\s4.exe 2007-04-27 22:45 3,830 --a------ C:\WINDOWS\system32 mp.reg 2007-04-27 22:43 d-------- C:\SmitfraudFix 2007-04-27 22:42 872,930 --a------ C:\SmitfraudFix.exe 2007-04-27 22:41 284,244 ---hs---- C:\WINDOWS\system32\awtsq.dll 2007-04-27 22:35 49,152 --a------ C:\WINDOWS ircmd.exe 2007-04-27 21:27 4 --a------ C:\WINDOWS\system32\stfv.bin 2007-04-27 19:03 d-------- C:\HijackThis 2007-04-27 18:27 235,520 --a------ C:\zzzz.exe 2007-04-27 18:27 16,721 --a------ C:\WINDOWS\system32\mn.dll 2007-04-27 18:27 132,660 --a------ C:\WINDOWS\system32\aigclidh.dll 2007-04-27 18:26 238,592 --a------ C:\WINDOWS\system32\mmsman.exe 2007-04-26 19:45 7,296 --a------ C:\WINDOWS\system32\drivers\ip6fw.sys 2007-04-26 14:33 235,520 --a------ C:\ds.exe 2007-04-26 12:35 235,520 --a------ C:\xv.exe 2007-04-25 18:23 d--h----- C:\WINDOWS\PIF 2007-04-25 17:36 12 --a------ C:\WINDOWS\system32\sl.bin 2007-04-25 17:21 8,960 --a------ C:\WINDOWS\system32\Bi.dll 2007-04-25 17:21 30,208 --a------ C:\WINDOWS\system32\WER8274.DLL 2007-04-25 17:21 29,952 --a------ C:\WINDOWS\system32\salm.exe 2007-04-25 17:21 29,440 --a------ C:\WINDOWS\bokja.exe 2007-04-25 17:21 27,904 --a------ C:\WINDOWS\7search.dll 2007-04-25 17:21 27,648 --a------ C:\WINDOWS\system32\wml.exe 2007-04-25 17:21 27,392 --a------ C:\WINDOWS\system32\vxddsk.exe 2007-04-25 17:21 26,880 --a------ C:\WINDOWS\flt.dll 2007-04-25 17:21 26,624 --a------ C:\WINDOWS\mssvr.exe 2007-04-25 17:21 23,552 --a------ C:\WINDOWS\system32\MSIXU.DLL 2007-04-25 17:21 22,784 --a------ C:\WINDOWS\system32\updatetc.exe 2007-04-25 17:21 22,528 --a------ C:\WINDOWS\mspphe.dll 2007-04-25 17:21 21,248 --a------ C:\WINDOWS\system32\180ax.exe 2007-04-25 17:21 20,736 --a------ C:\WINDOWS\bi.dll 2007-04-25 17:21 20,480 --a------ C:\WINDOWS\stcloader.exe 2007-04-25 17:21 19,712 --a------ C:\WINDOWS\voiceip.dll 2007-04-25 17:21 17,408 --a------ C:\WINDOWS\system32 mrsrv32.exe 2007-04-25 17:21 16,384 --a------ C:\WINDOWS\saiemod.dll 2007-04-25 17:21 16,128 --a------ C:\WINDOWS\swin32.dll 2007-04-25 17:21 15,104 --a------ C:\WINDOWS\system32\Biprep.exe 2007-04-25 17:21 15,104 --a------ C:\WINDOWS\bjam.dll 2007-04-25 17:21 12 --a------ C:\WINDOWS\system32\gtv_sd.bin 2007-04-25 17:21 11,776 --a------ C:\WINDOWS\cdsm32.dll 2007-04-25 17:21 11,008 --a------ C:\WINDOWS\2020search2.dll 2007-04-25 17:21 11,008 --a------ C:\WINDOWS\2020search.dll 2007-04-25 17:21 10,752 --a------ C:\WINDOWS\system32\satmat.exe 2007-04-25 17:21 10,752 --a------ C:\WINDOWS\pbar.dll 2007-04-25 17:20 81,412 --a------ C:\WINDOWS\system32\idleserv.exe 2007-04-25 17:20 15,872 --a------ C:\WINDOWS wain.exe 2007-04-25 17:20 12,800 --a------ C:\WINDOWS\system32\user_32.dll 2007-04-25 10:33 10,913 -r-h----- C:\WINDOWS\system32\syst0.exe 2007-04-23 21:33 16,384 --a------ C:\WINDOWS\system32\FileOps.exe 2007-04-23 21:33 d-------- C:\Program Files\Common Files\Vbox 2007-04-23 19:52 72,957 --a------ C:\WINDOWS ybtyhrtg.exe 2007-04-23 18:51 72,844 --a------ C:\WINDOWS\esgfsefrf.exe 2007-04-23 18:32 75,302 --a------ C:\WINDOWS\yrtdfvfdgtr.exe 2007-04-23 18:21 71,420 --a------ C:\WINDOWS\ujtytdvsdvfds.exe 2007-04-23 18:13 208,896 --a------ C:\WINDOWS\system32\wmpns.dll 2007-04-23 18:09 8,192 --a------ C:\WINDOWS\system32\asferror.dll 2007-04-23 18:09 225,280 --a------ C:\WINDOWS\system32\wmpdxm.dll 2007-04-23 18:09 200,192 --a------ C:\WINDOWS\system32\wmerror.dll 2007-04-23 18:09 106,496 --a------ C:\WINDOWS\system32\wmpasf.dll 2007-04-23 18:08 20,480 --a------ C:\WINDOWS\system32\wmpui.dll 2007-04-23 18:08 20,480 --a------ C:\WINDOWS\system32\wmpcore.dll 2007-04-23 18:08 20,480 --a------ C:\WINDOWS\system32\wmpcd.dll 2007-04-23 18:08 2,985,984 --a------ C:\WINDOWS\system32\wmploc.dll 2007-04-23 18:04 52,736 --a------ C:\WINDOWS\system32\mspmsnsv.dll 2007-04-23 18:04 365,704 --a------ C:\WINDOWS\system32\msscp.dll 2007-04-23 18:04 27,136 --a------ C:\WINDOWS\system32\wmdmlog.dll 2007-04-23 18:04 246,272 --a------ C:\WINDOWS\system32\mswmdm.dll 2007-04-23 18:04 23,552 --a------ C:\WINDOWS\system32\wmdmps.dll 2007-04-23 18:04 201,728 --a------ C:\WINDOWS\system32\mspmsp.dll 2007-04-23 18:04 159,232 --a------ C:\WINDOWS\system32\CEWMDM.dll 2007-04-23 18:03 899,208 --a------ C:\WINDOWS\system32\wmspdmoe.dll 2007-04-23 18:03 816,264 --a------ C:\WINDOWS\system32\wmvdmod.dll 2007-04-23 18:03 760,968 --a------ C:\WINDOWS\system32\wmsdmod.dll 2007-04-23 18:03 677,000 --a------ C:\WINDOWS\system32\wmadmoe.dll 2007-04-23 18:03 486,536 --a------ C:\WINDOWS\system32\wmspdmod.dll 2007-04-23 18:03 410,248 --a------ C:\WINDOWS\system32\wmadmod.dll 2007-04-23 18:03 384,512 --a------ C:\WINDOWS\system32\mp4sdmod.dll 2007-04-23 18:03 316,040 --a------ C:\WINDOWS\system32\mp43dmod.dll 2007-04-23 18:03 248,456 --a------ C:\WINDOWS\system32\mpg4dmod.dll 2007-04-23 18:03 1,117,832 --a------ C:\WINDOWS\system32\wmsdmoe2.dll 2007-04-23 18:03 1,004,680 --a------ C:\WINDOWS\system32\wmvdmoe2.dll 2007-04-23 18:02 981,504 --a------ C:\WINDOWS\system32\wmnetmgr.dll 2007-04-23 18:02 81,408 --a------ C:\WINDOWS\system32\logagent.exe 2007-04-23 18:02 6,656 --a------ C:\WINDOWS\system32\laprxy.dll 2007-04-23 18:02 260,744 --a------ C:\WINDOWS\system32\msnetobj.dll 2007-04-23 18:02 241,664 --a------ C:\WINDOWS\system32\qasf.dll 2007-04-23 18:02 143,360 --a------ C:\WINDOWS\system32\wmidx.dll 2007-04-23 18:01 82,432 --a------ C:\WINDOWS\system32\drmstor.dll 2007-04-23 18:01 679,424 --a------ C:\WINDOWS\system32\drmv2clt.dll 2007-04-23 18:01 301,712 --a------ C:\WINDOWS\system32\drmclien.dll 2007-04-23 18:01 232,960 --a------ C:\WINDOWS\system32\blackbox.dll 2007-04-23 17:59 d-------- C:\DOCUME~1\JEAN-P~1\APPLIC~1\vlc 2007-04-23 17:54 d-------- C:\Program Files\VideoLAN 2007-04-23 16:47 d-------- C:\WINDOWS\LastGood 2007-04-23 16:45 71,004 --a------ C:\WINDOWS\dqwcesfr.exe 2007-04-23 16:41 32,768 --a------ C:\WINDOWS\system32\WooDial2000.dll 2007-04-23 16:41 d-------- C:\WINDOWS\system32\AlertModule 2007-04-23 16:40 94,208 --a------ C:\WINDOWS\system32\W32n50.dll 2007-04-23 16:40 40,960 --a------ C:\WINDOWS\system32\FTRTSVC.exe 2007-04-23 16:40 36,864 --a------ C:\WINDOWS\system32\IfHelper.dll 2007-04-23 16:40 16,128 --------- C:\WINDOWS\system32\PCANDIS5.SYS 2007-04-23 16:40 d-------- C:\WINDOWS\LastGood.Tmp 2007-04-23 16:35 d-------- C:\Program Files\Wanadoo 2007-04-23 16:32 d-------- C:\Program Files\SAGEM 2007-04-23 16:26 d-------- C:\Program Files\Securitoo 2007-04-22 22:42 d-------- C:\DOCUME~1 homas\APPLIC~1\Lavasoft 2007-04-21 12:18 86,528 -r-hs---- C:\WINDOWS\verifier.exe (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-05-01 13:10 3610 --a------ C:\WINDOWS\system32\smbios.dat 2007-04-28 13:53 64 --a------ C:\DOCUME~1\JEAN-P~1\APPLIC~1\dm.ini 2007-04-28 13:53 1218 --a------ C:\DOCUME~1\JEAN-P~1\APPLIC~1\adobedlm.log 2007-04-23 21:29 -------- d--h----- C:\Program Files\installshield installation information 2007-04-18 18:16 733824 --a------ C:\WINDOWS\system32\aswboot.exe 2007-04-18 18:12 94552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-04-18 18:12 85952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-04-18 18:10 23416 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-04-18 18:09 43176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-04-18 18:07 26888 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-04-18 18:06 90112 --a------ C:\WINDOWS\system32\avastss.scr 2007-04-15 18:36 -------- d-------- C:\Program Files\windows live toolbar 2007-03-18 04:00 -------- d-------- C:\Program Files\msxml 4.0 2007-03-18 01:01 -------- d-------- C:\Program Files\msn apps 2007-03-18 00:41 -------- d-------- C:\Program Files\msn messenger 2007-03-11 21:09 2966 --a------ C:\WINDOWS\mozver.dat 2007-03-10 15:42 -------- d-------- C:\Program Files\yahoo! 2007-03-10 15:42 -------- d-------- C:\Program Files\ccleaner 2007-03-10 15:33 0 --a------ C:\WINDOWS sreg.dat 2007-03-07 01:36 -------- d-------- C:\Program Files\messenger 2007-03-07 00:57 -------- d-------- C:\Program Files\quintessential player 2007-03-07 00:56 -------- d-------- C:\Program Files\lavasoft 2007-03-07 00:56 -------- d-------- C:\DOCUME~1\JEAN-P~1\APPLIC~1\lavasoft 2007-03-07 00:49 -------- d-------- C:\Program Files\copernic agent 2007-03-07 00:40 -------- d-------- C:\DOCUME~1\JEAN-P~1\APPLIC~1\microsoft web folders 2007-03-07 00:27 -------- d-------- C:\Program Files\Common Files\panda software 2007-03-07 00:18 -------- d-------- C:\Program Files\panda software 2007-03-07 00:18 -------- d-------- C:\Program Files\microsoft sql server 2007-03-07 00:03 62 --ahs---- C:\DOCUME~1\JEAN-P~1\APPLIC~1\desktop.ini 2007-03-07 00:03 -------- d-------- C:\Program Files\Common Files\speechengines 2007-03-07 00:03 -------- d-------- C:\Program Files\Common Files\odbc 2007-03-07 00:00 -------- d-------- C:\Program Files\intervideo 2007-03-06 23:54 -------- d-------- C:\Program Files ecordnow! 2007-03-06 23:54 -------- d-------- C:\Program Files\hpq 2007-03-06 23:54 -------- d-------- C:\Program Files\Common Files\surething shared 2007-03-06 23:54 -------- d-------- C:\Program Files\Common Files\sonic 2007-03-06 23:54 -------- d-------- C:\DOCUME~1\JEAN-P~1\APPLIC~1\sonic 2007-03-06 23:53 -------- d-------- C:\Program Files\sonic 2007-03-06 23:49 14037 --a------ C:\WINDOWS\system32\drivers\mdc8021x.sys 2007-03-06 23:49 -------- d-------- C:\Program Files\intel 2007-03-06 23:48 -------- d-------- C:\Program Files\hewlett-packard 2007-03-06 23:43 -------- d-------- C:\Program Files\hp 2007-03-06 23:40 -------- d-------- C:\Program Files\synaptics 2007-03-06 23:40 -------- d-------- C:\Program Files\broadcom 2007-03-06 23:38 -------- d-------- C:\Program Files\Common Files\installshield 2007-03-06 23:33 -------- d-------- C:\Program Files\widcomm 2007-03-06 23:18 0 -rahs---- C:\MSDOS.SYS 2007-03-06 23:18 0 -rahs---- C:\IO.SYS 2007-03-06 23:18 0 --a------ C:\CONFIG.SYS 2007-03-06 23:18 0 --a------ C:\AUTOEXEC.BAT 2007-03-06 23:18 -------- d-------- C:\Program Files\microsoft frontpage 2007-03-06 23:16 -------- d-------- C:\Program Files\online services 2007-03-06 23:15 -------- d-------- C:\Program Files\movie maker 2007-03-06 23:15 -------- d-------- C:\Program Files\Common Files\mssoap 2007-03-06 23:14 21640 --a------ C:\WINDOWS\system32\emptyregdb.dat 2007-03-06 23:13 -------- d--h----- C:\Program Files\windowsupdate 2007-03-06 23:13 -------- d-------- C:\Program Files\windows nt 2007-03-06 23:13 -------- d-------- C:\Program Files\msn gaming zone (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {02478D38-C3F9-4EFB-9B51-7695ECA05670} C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll {2265EED7-6022-4d6c-ADF2-E932FEFD433C} C:\WINDOWS\System32\mn.dll {53707962-6F74-2D53-2644-206D7942484F} C:\PROGRA~1\SPYBOT~1\SDHelper.dll {6D7526E8-2DC8-4015-9A48-BD9363877342} C:\WINDOWS\System32\geedb.dll [x] {85C6A8FB-5286-4D46-96B2-BE452E984C32} C:\WINDOWS\System32\awvvt.dll {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} C:\Program Files\Windows Live Toolbar\msntb.dll {BFBA1D3E-30F9-4965-922D-72D67616691D} C:\WINDOWS\System32\wvuvvsr.dll {C565FB4E-C0AB-487F-BA51-30E605DDD473} C:\WINDOWS\System32\jeubdmmy.dll [x] {D651AFF4-9590-424d-BD1E-8E33E090DFB3} C:\WINDOWS\System32\srrwxqvf.dll [x] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un] "AGRSMMSG"="AGRSMMSG.exe" "SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" "IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" "HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" "Cpqset"="C:\Program Files\HPQ\Default Settings\cpqset.exe" "PRONoMgr.exe"="c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe" "eabconfg.cpl"="C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start" "UpdateManager"="\"C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe\" /r" "SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe" "PASystemTray"="\"C:\Program Files\Panda Software\Panda Administrator 3\Console\PASystemTray.exe\"" "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" "playclms"="C:\WINDOWS\System32\umcyzsor.exe" "tymsetvc"="C:\WINDOWS\System32\osskhbd.exe" "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe" "cvmsyslpd"="C:\WINDOWS\System32\sdservss.exe" "winsplog"="C:\WINDOWS\System32\wsmmlog.exe" "dstiosys"="C:\WINDOWS\System32\plsitctl.exe" "sacmemds"="C:\WINDOWS\System32\smcntlwio.exe" "InfoData"="rundll32.exe \"C:\WINDOWS\System32\aigclidh.dll\",realset" "Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion un] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" "HP Mobile Printing"="C:\Program Files\Hewlett-Packard\HP Mobile Printing\HPBMOBIL.EXE" "RecordNow!"="" "WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx" "superproxy"="C:\WINDOWS\superproxy.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5" "{8BFA0939-92D5-4762-B188-2F45AE6D445B}"="System Registry Hook" "{BFBA1D3E-30F9-4965-922D-72D67616691D}"="" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\awvvt HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify pcc HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\Sebring HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\wvuvvsr [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "appinit_dlls"=" C:\WINDOWS\System32 mp_5r.dll" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Authentication Packages REG_MULTI_SZ msv1_0\0\0 Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0 Notification Packages REG_MULTI_SZ scecli\0\0 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 Contents of the 'Scheduled Tasks' folder C:\WINDOWS asks\1 Copernic Intra-Daily ~PERSO-VAVR2M803 jean-pierre.job C:\WINDOWS asks\2 Copernic Daily ~PERSO-VAVR2M803 jean-pierre.job C:\WINDOWS asks\3 Copernic Weekly ~PERSO-VAVR2M803 jean-pierre.job C:\WINDOWS asks\4 Copernic Monthly ~PERSO-VAVR2M803 jean-pierre.job C:\WINDOWS asks\V‚rifier les mises … jour de Windows Live Toolbar.job ******************************************************************** catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-05-01 13:17:34 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... notepad.exe [5416] scanning hidden services ... scanning hidden autostart entries ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run Cpqset = C:\Program Files\HPQ\Default Settings\cpqset.exe?????????A?p?????????? ?`?B???????????????B? ?????? scanning hidden files ... scan completed successfully hidden processes: 1 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-05-01 13:17:49 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 07-05-01 13:17 C:\ComboFix2.txt ... 07-04-27 22:35 Log HijackThis : Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 13:32:46, on 01/05/2007 Platform: Windows XP SP1 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\System32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe C:\WINDOWS\verifier.exe C:\WINDOWS\System32\FTRTSVC.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe C:\Program Files\Microsoft SQL Server\MSSQL$PADMINISTRATOR\Binn\sqlservr.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe C:\Program Files\Panda Software\Panda Administrator 3\Distribution Server\PadFSvr.exe C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe C:\Program Files\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe C:\WINDOWS\System32\RegSrvc.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32 mrsrv32.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe C:\WINDOWS\System32\msiexec.exe C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe C:\Program Files\Panda Software\Panda Administrator 3\Console\PASystemTray.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\osskhbd.exe C:\WINDOWS\System32\sdservss.exe C:\PROGRA~1\Wanadoo\TaskBarIcon.exe C:\WINDOWS\System32\wsmmlog.exe C:\WINDOWS\System32\plsitctl.exe C:\WINDOWS\System32\smcntlwio.exe C:\Program Files\Picasa2\PicasaMediaDetector.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Hewlett-Packard\HP Mobile Printing\HPBMOBIL.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\1XConfig.exe C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Wanadoo\GestionnaireInternet.exe C:\Program Files\Wanadoo\ComComp.exe C:\PROGRA~1\Wanadoo\Toaster.exe C:\PROGRA~1\Wanadoo\Inactivity.exe C:\PROGRA~1\Wanadoo\PollingModule.exe C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE C:\Program Files\Wanadoo\Watch.exe C:\HijackThis\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: H Class - {2265EED7-6022-4d6c-ADF2-E932FEFD433C} - C:\WINDOWS\System32\mn.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {6D7526E8-2DC8-4015-9A48-BD9363877342} - C:\WINDOWS\System32\geedb.dll (file missing) O2 - BHO: (no name) - {85C6A8FB-5286-4D46-96B2-BE452E984C32} - C:\WINDOWS\System32\awvvt.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll O2 - BHO: (no name) - {BFBA1D3E-30F9-4965-922D-72D67616691D} - C:\WINDOWS\System32\wvuvvsr.dll O2 - BHO: (no name) - {C565FB4E-C0AB-487F-BA51-30E605DDD473} - C:\WINDOWS\System32\jeubdmmy.dll (file missing) O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\System32\srrwxqvf.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe O4 - HKLM\..\Run: [PASystemTray] "C:\Program Files\Panda Software\Panda Administrator 3\Console\PASystemTray.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [playclms] C:\WINDOWS\System32\umcyzsor.exe O4 - HKLM\..\Run: [tymsetvc] C:\WINDOWS\System32\osskhbd.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe O4 - HKLM\..\Run: [cvmsyslpd] C:\WINDOWS\System32\sdservss.exe O4 - HKLM\..\Run: [winsplog] C:\WINDOWS\System32\wsmmlog.exe O4 - HKLM\..\Run: [dstiosys] C:\WINDOWS\System32\plsitctl.exe O4 - HKLM\..\Run: [sacmemds] C:\WINDOWS\System32\smcntlwio.exe O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\System32\aigclidh.dll",realset O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [HP Mobile Printing] C:\Program Files\Hewlett-Packard\HP Mobile Printing\HPBMOBIL.EXE O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx O4 - HKCU\..\Run: [superproxy] C:\WINDOWS\superproxy.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader eader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_02\bin pjpi142_02.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_02\bin pjpi142_02.dll O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU) O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/... O20 - AppInit_DLLs: C:\WINDOWS\System32 mp_5r.dll O20 - Winlogon Notify: awvvt - C:\WINDOWS\System32\awvvt.dll O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32 pcc.dll O20 - Winlogon Notify: wvuvvsr - C:\WINDOWS\SYSTEM32\wvuvvsr.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll O23 - Service: Panda AdminSecure Administration Server (AdminServer) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\AdminServer\AdminServer.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe O23 - Service: Driver Verification (Driver Verification Service) - Unknown owner - C:\WINDOWS\verifier.exe O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: Panda AdminSecure Distribution Server (PadFSvr) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\Distribution Server\PadFSvr.exe O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Unknown owner - C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Unknown owner - C:\Program Files\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\PavReport\PavReport.exe O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Lyonnais92 · Answer

Re,

un autre outil pour éradiquer vundo :
Télécharge VirtumundoBegone sur le bureau: 
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe 

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions. 
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis. 
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu 


Tu remets un log Hijackthis, on fera un peu de ménage après, histoire d'y voir plus clair.
@+

joebarteam · Answer

Re,

voici les logs demandés :

VBG


[05/01/2007, 15:30:56] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\jean-pierre\Desktop\VirtumundoBeGone.exe" )
[05/01/2007, 15:31:09] - Detected System Information:
[05/01/2007, 15:31:09] -  Windows Version: 5.1.2600, Service Pack 1
[05/01/2007, 15:31:09] -  Current Username: jean-pierre (Admin)
[05/01/2007, 15:31:09] -  Windows is in NORMAL mode.
[05/01/2007, 15:31:09] - Searching for Browser Helper Objects:
[05/01/2007, 15:31:09] -  BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[05/01/2007, 15:31:09] -  BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[05/01/2007, 15:31:09] -  BHO 3: {2265EED7-6022-4d6c-ADF2-E932FEFD433C} (H Class)
[05/01/2007, 15:31:09] -  BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
[05/01/2007, 15:31:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:09] -  Checking for HKLM\...\Winlogon\Notify\SDHelper
[05/01/2007, 15:31:09] -  Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[05/01/2007, 15:31:09] -  BHO 5: {6D7526E8-2DC8-4015-9A48-BD9363877342} ()
[05/01/2007, 15:31:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:09] -  Checking for HKLM\...\Winlogon\Notify\geedb
[05/01/2007, 15:31:09] -  Key not found: HKLM\...\Winlogon\Notify\geedb, continuing.
[05/01/2007, 15:31:09] -  BHO 6: {85C6A8FB-5286-4D46-96B2-BE452E984C32} ()
[05/01/2007, 15:31:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:09] -  Checking for HKLM\...\Winlogon\Notify\awvvt
[05/01/2007, 15:31:09] -  Found: HKLM\...\Winlogon\Notify\awvvt - This is probably Virtumundo.
[05/01/2007, 15:31:10] -  Assigning {85C6A8FB-5286-4D46-96B2-BE452E984C32} MSEvents Object
[05/01/2007, 15:31:10] - BHO list has been changed! Starting over...
[05/01/2007, 15:31:10] -  BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[05/01/2007, 15:31:10] -  BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[05/01/2007, 15:31:10] -  BHO 3: {2265EED7-6022-4d6c-ADF2-E932FEFD433C} (H Class)
[05/01/2007, 15:31:10] -  BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
[05/01/2007, 15:31:10] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:10] -  Checking for HKLM\...\Winlogon\Notify\SDHelper
[05/01/2007, 15:31:10] -  Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[05/01/2007, 15:31:10] -  BHO 5: {6D7526E8-2DC8-4015-9A48-BD9363877342} ()
[05/01/2007, 15:31:10] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:10] -  Checking for HKLM\...\Winlogon\Notify\geedb
[05/01/2007, 15:31:10] -  Key not found: HKLM\...\Winlogon\Notify\geedb, continuing.
[05/01/2007, 15:31:10] -  BHO 6: {85C6A8FB-5286-4D46-96B2-BE452E984C32} (MSEvents Object)
[05/01/2007, 15:31:10] - ALERT: Found MSEvents Object!
[05/01/2007, 15:31:10] -  BHO 7: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
[05/01/2007, 15:31:10] -  BHO 8: {BFBA1D3E-30F9-4965-922D-72D67616691D} ()
[05/01/2007, 15:31:10] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:10] -  Checking for HKLM\...\Winlogon\Notify\wvuvvsr
[05/01/2007, 15:31:10] -  Found: HKLM\...\Winlogon\Notify\wvuvvsr - This is probably Virtumundo.
[05/01/2007, 15:31:11] -  Assigning {BFBA1D3E-30F9-4965-922D-72D67616691D} MSEvents Object
[05/01/2007, 15:31:11] - BHO list has been changed! Starting over...
[05/01/2007, 15:31:11] -  BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[05/01/2007, 15:31:11] -  BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[05/01/2007, 15:31:11] -  BHO 3: {2265EED7-6022-4d6c-ADF2-E932FEFD433C} (H Class)
[05/01/2007, 15:31:11] -  BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
[05/01/2007, 15:31:11] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:11] -  Checking for HKLM\...\Winlogon\Notify\SDHelper
[05/01/2007, 15:31:11] -  Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[05/01/2007, 15:31:11] -  BHO 5: {6D7526E8-2DC8-4015-9A48-BD9363877342} ()
[05/01/2007, 15:31:11] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:11] -  Checking for HKLM\...\Winlogon\Notify\geedb
[05/01/2007, 15:31:11] -  Key not found: HKLM\...\Winlogon\Notify\geedb, continuing.
[05/01/2007, 15:31:11] -  BHO 6: {85C6A8FB-5286-4D46-96B2-BE452E984C32} (MSEvents Object)
[05/01/2007, 15:31:11] - ALERT: Found MSEvents Object!
[05/01/2007, 15:31:11] -  BHO 7: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
[05/01/2007, 15:31:11] -  BHO 8: {BFBA1D3E-30F9-4965-922D-72D67616691D} (MSEvents Object)
[05/01/2007, 15:31:11] - ALERT: Found MSEvents Object!
[05/01/2007, 15:31:11] -  BHO 9: {C565FB4E-C0AB-487F-BA51-30E605DDD473} ()
[05/01/2007, 15:31:11] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:11] -  Checking for HKLM\...\Winlogon\Notify\jeubdmmy
[05/01/2007, 15:31:11] -  Key not found: HKLM\...\Winlogon\Notify\jeubdmmy, continuing.
[05/01/2007, 15:31:11] -  BHO 10: {D651AFF4-9590-424d-BD1E-8E33E090DFB3} ()
[05/01/2007, 15:31:11] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:11] -  Checking for HKLM\...\Winlogon\Notify\srrwxqvf
[05/01/2007, 15:31:11] -  Key not found: HKLM\...\Winlogon\Notify\srrwxqvf, continuing.
[05/01/2007, 15:31:11] - Finished Searching Browser Helper Objects
[05/01/2007, 15:31:11] - *** Detected MSEvents Object
[05/01/2007, 15:31:11] - Trying to remove MSEvents Object...
[05/01/2007, 15:31:12] -    Terminating Process: IEXPLORE.EXE
[05/01/2007, 15:31:13] -    Terminating Process: RUNDLL32.EXE
[05/01/2007, 15:31:13] -    Disabling Automatic Shell Restart
[05/01/2007, 15:31:13] -    Terminating Process: EXPLORER.EXE
[05/01/2007, 15:31:14] -    Suspending the NT Session Manager System Service
[05/01/2007, 15:31:15] -    Terminating Windows NT Logon/Logoff Manager
[05/01/2007, 15:31:16] -    Re-enabling Automatic Shell Restart
[05/01/2007, 15:31:16] -   File to disable: C:\WINDOWS\System32\awvvt.dll
[05/01/2007, 15:31:16] -  Renaming C:\WINDOWS\System32\awvvt.dll -> C:\WINDOWS\System32\awvvt.dll.vir
[05/01/2007, 15:31:18] - ! File rename was unsucessful.
[05/01/2007, 15:31:18] -  Attempting to Deny Access to C:\WINDOWS\System32\awvvt.dll
[05/01/2007, 15:31:18] - *** IMPORTANT: Delete/Rename/Move on reboot (like Killbox) MAY NOT work.
[05/01/2007, 15:31:18] -  processed file:  C:\WINDOWS\System32\awvvt.dll

[05/01/2007, 15:31:19] - *** IMPORTANT: The file is disabled and will need to be deleted by the user.
[05/01/2007, 15:31:19] -   Removing HKLM\...\Browser Helper Objects\{85C6A8FB-5286-4D46-96B2-BE452E984C32}
[05/01/2007, 15:31:19] -   Removing HKCR\CLSID\{85C6A8FB-5286-4D46-96B2-BE452E984C32}
[05/01/2007, 15:31:19] -   Adding Kill Bit for ActiveX for GUID: {85C6A8FB-5286-4D46-96B2-BE452E984C32}
[05/01/2007, 15:31:19] -   Deleting ATLEvents/MSEvents Registry entries
[05/01/2007, 15:31:19] -   Removing HKLM\...\Winlogon\Notify\awvvt
[05/01/2007, 15:31:20] - Searching for Browser Helper Objects:
[05/01/2007, 15:31:20] -  BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[05/01/2007, 15:31:20] -  BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[05/01/2007, 15:31:20] -  BHO 3: {2265EED7-6022-4d6c-ADF2-E932FEFD433C} (H Class)
[05/01/2007, 15:31:20] -  BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
[05/01/2007, 15:31:20] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:20] -  Checking for HKLM\...\Winlogon\Notify\SDHelper
[05/01/2007, 15:31:20] -  Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[05/01/2007, 15:31:20] -  BHO 5: {6D7526E8-2DC8-4015-9A48-BD9363877342} ()
[05/01/2007, 15:31:20] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:20] -  Checking for HKLM\...\Winlogon\Notify\geedb
[05/01/2007, 15:31:20] -  Key not found: HKLM\...\Winlogon\Notify\geedb, continuing.
[05/01/2007, 15:31:20] -  BHO 6: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
[05/01/2007, 15:31:20] -  BHO 7: {BFBA1D3E-30F9-4965-922D-72D67616691D} (MSEvents Object)
[05/01/2007, 15:31:20] - ALERT: Found MSEvents Object!
[05/01/2007, 15:31:20] -  BHO 8: {C565FB4E-C0AB-487F-BA51-30E605DDD473} ()
[05/01/2007, 15:31:20] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:20] -  Checking for HKLM\...\Winlogon\Notify\jeubdmmy
[05/01/2007, 15:31:20] -  Key not found: HKLM\...\Winlogon\Notify\jeubdmmy, continuing.
[05/01/2007, 15:31:20] -  BHO 9: {D651AFF4-9590-424d-BD1E-8E33E090DFB3} ()
[05/01/2007, 15:31:20] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:20] -  Checking for HKLM\...\Winlogon\Notify\srrwxqvf
[05/01/2007, 15:31:20] -  Key not found: HKLM\...\Winlogon\Notify\srrwxqvf, continuing.
[05/01/2007, 15:31:20] - Finished Searching Browser Helper Objects
[05/01/2007, 15:31:20] - *** Detected MSEvents Object
[05/01/2007, 15:31:20] - Trying to remove MSEvents Object...
[05/01/2007, 15:31:21] -    Terminating Process: IEXPLORE.EXE
[05/01/2007, 15:31:21] -    Terminating Process: RUNDLL32.EXE
[05/01/2007, 15:31:22] -    Disabling Automatic Shell Restart
[05/01/2007, 15:31:22] -    Terminating Process: EXPLORER.EXE
[05/01/2007, 15:31:22] -    Suspending the NT Session Manager System Service
[05/01/2007, 15:31:22] -    Terminating Windows NT Logon/Logoff Manager
[05/01/2007, 15:31:22] -    Re-enabling Automatic Shell Restart
[05/01/2007, 15:31:22] -   File to disable: C:\WINDOWS\System32\wvuvvsr.dll
[05/01/2007, 15:31:22] -  Renaming C:\WINDOWS\System32\wvuvvsr.dll -> C:\WINDOWS\System32\wvuvvsr.dll.vir
[05/01/2007, 15:31:22] - ! File rename was unsucessful.
[05/01/2007, 15:31:22] -  Attempting to Deny Access to C:\WINDOWS\System32\wvuvvsr.dll
[05/01/2007, 15:31:22] - *** IMPORTANT: Delete/Rename/Move on reboot (like Killbox) MAY NOT work.
[05/01/2007, 15:31:22] -  ERROR: The system cannot find the file specified.

[05/01/2007, 15:31:22] - *** IMPORTANT: The file is disabled and will need to be deleted by the user.
[05/01/2007, 15:31:22] -   Removing HKLM\...\Browser Helper Objects\{BFBA1D3E-30F9-4965-922D-72D67616691D}
[05/01/2007, 15:31:22] -   Removing HKCR\CLSID\{BFBA1D3E-30F9-4965-922D-72D67616691D}
[05/01/2007, 15:31:23] -   Adding Kill Bit for ActiveX for GUID: {BFBA1D3E-30F9-4965-922D-72D67616691D}
[05/01/2007, 15:31:23] -   Deleting ATLEvents/MSEvents Registry entries
[05/01/2007, 15:31:23] -   Removing HKLM\...\Winlogon\Notify\wvuvvsr
[05/01/2007, 15:31:23] - Searching for Browser Helper Objects:
[05/01/2007, 15:31:23] -  BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[05/01/2007, 15:31:23] -  BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[05/01/2007, 15:31:23] -  BHO 3: {2265EED7-6022-4d6c-ADF2-E932FEFD433C} (H Class)
[05/01/2007, 15:31:23] -  BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
[05/01/2007, 15:31:23] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:23] -  Checking for HKLM\...\Winlogon\Notify\SDHelper
[05/01/2007, 15:31:23] -  Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[05/01/2007, 15:31:23] -  BHO 5: {6D7526E8-2DC8-4015-9A48-BD9363877342} ()
[05/01/2007, 15:31:23] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:23] -  Checking for HKLM\...\Winlogon\Notify\geedb
[05/01/2007, 15:31:23] -  Key not found: HKLM\...\Winlogon\Notify\geedb, continuing.
[05/01/2007, 15:31:23] -  BHO 6: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
[05/01/2007, 15:31:23] -  BHO 7: {C565FB4E-C0AB-487F-BA51-30E605DDD473} ()
[05/01/2007, 15:31:23] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:23] -  Checking for HKLM\...\Winlogon\Notify\jeubdmmy
[05/01/2007, 15:31:23] -  Key not found: HKLM\...\Winlogon\Notify\jeubdmmy, continuing.
[05/01/2007, 15:31:23] -  BHO 8: {D651AFF4-9590-424d-BD1E-8E33E090DFB3} ()
[05/01/2007, 15:31:23] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:23] -  Checking for HKLM\...\Winlogon\Notify\srrwxqvf
[05/01/2007, 15:31:24] -  Key not found: HKLM\...\Winlogon\Notify\srrwxqvf, continuing.
[05/01/2007, 15:31:24] - Finished Searching Browser Helper Objects
[05/01/2007, 15:31:24] - Finishing up...
[05/01/2007, 15:31:24] - A restart is needed.
[05/01/2007, 15:31:38] - Attempting to Restart via STOP error (Blue Screen!)



et HijackThis :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15:37:43, on 01/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Panda Software\Panda Administrator 3\AdminServer\AdminServer.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\verifier.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Microsoft SQL Server\MSSQL$PADMINISTRATOR\Binn\sqlservr.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Panda Software\Panda Administrator 3\Distribution Server\PadFSvr.exe
C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
C:\WINDOWS\TEMP\odgu.exe
C:\WINDOWS\system32	mrsrv32.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe
C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe
C:\Program Files\Panda Software\Panda Administrator 3\Console\PASystemTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\osskhbd.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\System32\sdservss.exe
C:\WINDOWS\System32\wsmmlog.exe
C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe
C:\Program Files\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
C:\WINDOWS\System32\plsitctl.exe
C:\WINDOWS\System32\smcntlwio.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Hewlett-Packard\HP Mobile Printing\HPBMOBIL.EXE
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\HijackThis\HiJackThis_v2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\System32\MsiExec.exe
C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\TEMP\ggtm.exe
C:\WINDOWS\System32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: H Class - {2265EED7-6022-4d6c-ADF2-E932FEFD433C} - C:\WINDOWS\System32\mn.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6D7526E8-2DC8-4015-9A48-BD9363877342} - C:\WINDOWS\System32\geedb.dll (file missing)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {C565FB4E-C0AB-487F-BA51-30E605DDD473} - C:\WINDOWS\System32\jeubdmmy.dll (file missing)
O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\System32\srrwxqvf.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe
O4 - HKLM\..\Run: [PASystemTray] "C:\Program Files\Panda Software\Panda Administrator 3\Console\PASystemTray.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [playclms] C:\WINDOWS\System32\umcyzsor.exe
O4 - HKLM\..\Run: [tymsetvc] C:\WINDOWS\System32\osskhbd.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [cvmsyslpd] C:\WINDOWS\System32\sdservss.exe
O4 - HKLM\..\Run: [winsplog] C:\WINDOWS\System32\wsmmlog.exe
O4 - HKLM\..\Run: [dstiosys] C:\WINDOWS\System32\plsitctl.exe
O4 - HKLM\..\Run: [sacmemds] C:\WINDOWS\System32\smcntlwio.exe
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\System32\aigclidh.dll",realset
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [HP Mobile Printing] C:\Program Files\Hewlett-Packard\HP Mobile Printing\HPBMOBIL.EXE
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [superproxy] C:\WINDOWS\superproxy.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_02\bin
pjpi142_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_02\bin
pjpi142_02.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - AppInit_DLLs:  C:\WINDOWS\System32	mp_5r.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32pcc.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Panda AdminSecure Administration Server (AdminServer) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\AdminServer\AdminServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Driver Verification (Driver Verification Service) - Unknown owner - C:\WINDOWS\verifier.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Panda AdminSecure Distribution Server (PadFSvr) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\Distribution Server\PadFSvr.exe
O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Unknown owner - C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Unknown owner - C:\Program Files\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\PavReport\PavReport.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Lyonnais92 · Answer

Bonjour,

relance vundofix et poste le log.

Ouvre le gestionnaire des tâches (Ctrl Alt Suppr), onglet processus, cherche superproxy.exe, clic droit et terminer le processsus.
Via l'explorateur Windows, tu supprimes : C:\WINDOWS\superproxy.exe
Démarrer, exécuter, regedit. Tu cherches cette clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\superproxy .

Tu la supprimes.


Rends toi sur ce site :
http://www.virustotal.com/xhtml/virustotal_en.html

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\System32\smcntlwio.exe

Clique sur send.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Tu fais la même chose avec :
C:\WINDOWS\System32\plsitctl.exe
C:\WINDOWS\System32\wsmmlog.exe
C:\WINDOWS\System32\osskhbd.exe
C:\WINDOWS\System32\umcyzsor.exe

@+

joebarteam · Answer

re,

Voici le log de Vundo demandé :


VundoFix V6.3.20

Checking Java version...

Java version is 1.4.2.2
Old versions of java are exploitable and should be removed.

Scan started at 16:53:31 01/05/2007

Listing files found while scanning....

C:\WINDOWS\system32\awttqrs.dll
C:\WINDOWS\System32\mpqss.bak1
C:\WINDOWS\System32\mpqss.ini
C:\WINDOWS\System32\ssqpm.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\awttqrs.dll
C:\WINDOWS\system32\awttqrs.dll Could not be deleted.

 Attempting to delete C:\WINDOWS\System32\mpqss.bak1
C:\WINDOWS\System32\mpqss.bak1 Has been deleted!

 Attempting to delete C:\WINDOWS\System32\mpqss.ini
C:\WINDOWS\System32\mpqss.ini Has been deleted!

 Attempting to delete C:\WINDOWS\System32\ssqpm.dll
C:\WINDOWS\System32\ssqpm.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\awttqrs.dll
C:\WINDOWS\system32\awttqrs.dll Could not be deleted.

Performing Repairs to the registry.
Done!


Ouvre le gestionnaire des tâches (Ctrl Alt Suppr), onglet processus, cherche superproxy.exe, clic droit et terminer le processsus.
Le processus superproxy.exe n'apparait pas.

Via l'explorateur Windows, tu supprimes : C:\WINDOWS\superproxy.exe
Impossible de trouver superproxy.exe dans le fichier.
De plus, la fonction recherche ne fonctionne pas ou plus....

Démarrer, exécuter, regedit. Tu cherches cette clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\superproxy .
Clé effacée

Rends toi sur ce site :
http://www.virustotal.com/xhtml/virustotal_en.html
Impossible de se rendre sur le site aussi bien avec I.E qu'avec Firefox.... Je n'ai donc pas pu scans tous les fichiers demandés...

Désolé, que la plupart de manip' tombent en échec à chaque fois, ça devient déprimant !!!

Merci pour l'aide toutefois,

A+

Lyonnais92 · Answer

Re,

si virustotal ne fonctionne pas (je n'arrive pas à y accéder moi non plus), essaye celui-ci :
Vas sur le site https://virusscan.jotti.org/ 
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : xxxxxxxxx
- Clic sur submit toujours en haut à droite 
- Le scan va se lancer, ça va prendre un petit instant 
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici. 
Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799

Relance vundofix, il y a un fichier qui résiste;

relance le plusieurs fois, jusqu'à ce qu'il te dise 'plus de fichiers infectés' ou qu'il t'ai refusé 3 fois la suppression d'un fichier.

Après, tu remets un log Hijackthis que l'on fasse un point;
@+

afideg · Answer

Oh là, Thomas , Serais-tu encore en vacances ? Quand tu pars, n'hésite pas à nous en avertir . Combien de PC as-tu ? Dépannerais-tu les PC des copains ? HISTORIQUE: 1) TOPIC - "fichier notepad32.exe" - par joebarteam Date: vendredi 9 février 2007 à 16:26:09 Statut: Non résolu ==> Or, il a été résolu par Régis59 le mardi 27 mars 2007 Pour ce topic, tu avais HijackThis v1.99.1, et Internet Explorer v6.00. Logfile of HijackThis v1.99.1 Scan saved at 14:27:38, on 07/02/2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) 2)TOPIC - "Plantage complet et bizarre" - par joebarteam Date: jeudi 19 avril 2007 à 20:05:12 Statut: Non résolu ===> parce que tu l'as abandonné 3)TOPIC - "Infection Win32.Trojan.RX" - par joebarteam Date: vendredi 27 avril 2007 à 18:54:05 Statut: Non résolu ... et pour cause ! Pour ce topic, tu as HijackThis v2.0.0 (BETA), et tu annonces seulement Configuration: Windows XP & Firefox 1.5.0.11 ( donc pas de IE ) Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 19:55:17, on 27/04/2007 Platform: Windows XP SP1 (WinNT 5.01.2600) QUESTIONS: 1°- As-tu Internet Explorer ? En effet, voici les recommandations pour réussir son scanonline : -Selon les programmes installés sur votre ordinateur, il se peut que l'antivirus en ligne ne fonctionne pas • Utilisez Internet Explorer comme navigateur • Afin d'éviter les conflits, désactivez avant le scan votre propre antivirus • Désactivez aussi tout guard comme ewido guard, spybot guard, Microsoft Anti-Spywares guard et les antivirus, certains antivirus rentrent en conflit. • Internet Explorer doit aussi accepter les javacript et les ActiveX, Peut-être est-ce là, la cause de échecs avec >PANDA online et VirusTotal ? En effet, tu réponds ceci à Lyonnais92 au post #24 « Impossible de se rendre sur le site aussi bien avec I.E qu'avec Firefox.... Je n'ai donc pas pu scans tous les fichiers demandés... » Peut-être est-ce là, la cause des soucis de configuration de KERIO, à savoir les mises à jour ? Comment fais-tu les mises à jours de tes différents programmes ? 2°- As-tu 2 antivirus ( PANDA et AVAST ) ? O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe ------------------ O4 - HKLM\..\Run: [PASystemTray] "C:\Program Files\Panda Software\Panda Administrator 3\Console\PASystemTray.exe" O23 - Service: Panda AdminSecure Administration Server (AdminServer) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\AdminServer\AdminServer.exe O23 - Service: Panda AdminSecure Distribution Server (PadFSvr) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\Distribution Server\PadFSvr.exe O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Unknown owner - C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Unknown owner - C:\Program Files\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\PavReport\PavReport.exe CONCLUSION Un petit complément d'information de Thomas ne serait pas de refus. Merci & bonne journée. Al. -- Patience-Vigilance-Amour.

Lyonnais92 · Answer

Bonjour,

1) tu relances vundofix (car je crois qu'il en reste encore).

Tu postes le log.

2) Tu remets un log HijackThis.

3) Prends connaissance du contenu le lien suivant:
http://www.f-secure.com/products/license-terms/eult_fra.pdf
Tu as donc pris connaissance et accepté les conditions d'utilisation du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
Maintenant fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Fais l'extraction dans un dossier propre à lui
Ensuite double clique sur navilog1.bat 
Laisse-toi guider. Au menu principal, choisis 1 et valides.
ne fais pas le choix 2,3 ou 4 sans notre avis/accord
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
@+

joebarteam · Answer

Bonjour,

Un message juste pour vous informer que VundoFix est entrain de scanner depuis lundi...

Je post tous les rapports des les opérations terminés.

merci

a+

afideg · Answer

Bonjour Ce n'est pas normal qu'il faille aussi longtemps pour une analyse VundoFix. Stoppe cette analyse. Mais qu'as-tu fait sur ce PC entre la demande de Lyonnais92 du vendredi 4 mai 2007 à 18:32:28 ( ==> Bonjour, 1) tu relances vundofix) , et 3 jours plus tard quand tu as lancé VundoFix ( ..VundoFix est entrain de scanner depuis lundi... ) ? Tu ne peux avoir deux anti-virus actifs sur un même PC ! Si tu as payé "Panda Software\Panda Administrator 3", garde-le et supprime Avast. Dans le cas contraire, garde Avast, et supprime Panda Software complètement. Maintenant, je ne vois pas d'autre façon que de relancer les procédures: 1)- •- Télécharge « clean.zip » http://www.malekal.com/download/clean.zip •- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ". < http://img227.imageshack.us/img227/9384/screenshot149ih1.gif > 2)- Télécharge SDFix sur ton bureau Le lien de sauvetage devient : < http://downloads.andymanchesta.com/RemovalTools/SDFix.exe > 3)- Redémarre en mode sans échec. Tutos: Comment faire pour... à la lettre D < https://forum.pcastuces.com/default.asp > ( note bien ce que tu as à faire, parce que tu n'auras plus accès à IE durant cette procédure ). 4)- Analyses •- Ouvre le dossier « clean » qui se trouve sur ton bureau. - Double-clic sur « clean.cmd ». Une fenêtre noire va apparaître, suis les consignes < http://img483.imageshack.us/img483/6285/screenshot210io7.gif > Choisis l’option 2. Clean va travailler. Il va produire un rapport. •- Double-clique sur "RunThis.bat" de SDFix Tape Y pour lancer le script. Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire Presse une touche pour redémarrer en mode normal Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche 5) Rapports: - Poste qui se trouve ici C:\rapport_clean.txt. (- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. ) - Ouvre le "dossier SDFix" et copie/colle ici le contenu du fichier "Report.txt" Ensuite, Fais ces deux analyses SVP: 1°- Télécharge Combofix.exe (par sUBs) sur ton Bureau < http://download.bleepingcomputer.com/sUBs/ComboFix.exe > Double clique combofix.exe et suis les invites. Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse 2°- Télécharge SmitfraudFix < http://siri.urz.free.fr/Fix/SmitfraudFix.exe > * Installe le à la racine de C * double clic sur l'exe pour le décompresser et lancer le fix. Utilisation ----- option 1 - Recherche : * Double clique sur smitfraudfix.cmd * Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection. * Poste le rapport ici NOTE: ( process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. ) Relance ensuite ( après avoir posté le rapport de l'option 1 ) SmitfraudFix en mode sans échec, et choisis l'option 2. Poste le rapport ici. Fais ça dans l'immédiat; on poursuivra avec NaviFix/navilog ( nouvelle version ) ensuite; et on relancera VundoFix. Ne fais rien d'autre sur ce PC SVP. Merci Al.

Jack SPARROW · Answer

Même Pb Windows Sécurité Center :" Win32.Trojan.RX " sur le Pc de mon père ( QQun a t'il une solution ... ) 

Analyse Scan Online Bitdefender en cours...

afideg · Answer

Bonjour Jack SPARROW Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace Procède comme ceci : < http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm > ou ainsi < http://perso.orange.fr/rginformatique/section%20virus/demofairesontmessage.htm > Guide du forum < ccmforum > Inscription CCM < inscription > ; en effet, pour contacter personnellement les seuls membres inscrits sur ce ForumCCM, il faut être également soi-même inscrit ! Al.

joebarteam · Answer

bonjour,

je tiens à vous informer qu'un ami m'a proposé de formater l'ordinateur portable. 

Je vous remercie quand même pour toute l'aide et le temps que vous avez passé.

Merci beaucoup

a+

afideg · Answer

Bonsoir , Je suis content pour toi. Accepterais-tu de faire ceci, SVP ? Merci à toi. C'est très rapide. Télécharge DiagHelp.zip sur ton bureau < http://www.malekal.com/download/DiagHelp.zip > Ne double-clic pas dessus !! Fais un clic droit sur le fichier et "extraire tout" 1- Un nouveau dossier « chercher » va être créé "DiagHelp" 2- Ouvre le et double-clique sur "go.cmd" (le ".cmd" peut ne pas apparaître) < http://img149.imageshack.us/img149/4927/screenshot173gl8.gif > 3- Une fenêtre va s'ouvrir, choisis l'option 1 4- L 'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande 5- A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-notes.. Ce dernier se trouve sur C:\resultat.txt -Copie/colle le contenu du bloc-notes qui s'ouvre, pour cela : -- Dans le bloc-notes, cliquez sur le menu Edition / Sélectionner tout -- A nouveau menu Edition / copier -- Dans un nouveau message ici, faire un clic droit / coller Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php Bonne soirée Al.

joebarteam · Answer

bonsoir,

je viens de voir cotre dernier message . Désolé de cette disparition mais vu que j'ai mon diplome dans un petit mois, je suis en grosse phase de préparation. Bref, toujours est-il que je n'ai plus le pc infecté...

Bonne continuation,

A+

Lyonnais92 · Answer

Bonjour,

merci d'être venu nous le dire.
@+

ousmane · Answer

bon mon ami je vous conseille bien de desinstaller avast et metre kaspersky.cet antivirus bien qu'il ne soit 100 pour 100 puissant est d'une efficacite surprennante.

Lyonnais92 · Answer

Bonjour ousmane,

avec un oubli de ta part : Kaspersky est payant et pas avst.
@+

alr · Answer

salut en effet j'avais egalemet un virus ttes les 10 min...j ai essaye de les elever a la main etc...bref...echec..
j ai donc essaye votre methode ( SDFIX et cleaner)...et voici mon . LOG..Ca a l'air regle parcontre si j'ai bien compris j'a encore un ROOTKIT au cul ?! brefff...je vais me demerder....merci les mecs!!!

SDFix: Version 1.101

Run by alr on 02/09/2007 at 05:03

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services: 

Name:
NtmlSvc
runtime
xpdx

ImagePath:
%SystemRoot%\System32\svchost.exe -k netsvcs
\??\C:\WINDOWS\System32\driversuntime.sys 
\??\C:\WINDOWS\system32\xpdx.sys 

NtmlSvc - Deleted
runtime - Deleted
xpdx - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

Trojan Files Found:

C:\WINDOWS\b122.exe  - Deleted
C:\WINDOWSetadpu1000520.exe  - Deleted
C:\WINDOWS\system32\4_exception.nls  - Deleted
C:\WINDOWS\Temp\startdrv.exe  - Deleted
C:\WINDOWS\system32\xpdx.sys - Deleted


Folder C:\Temp\fse - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

Remaining Services:
------------------


[COLOR=RED][B]Rootkit runtime2 Found, Use a Rootkit scanner ![/COLOR][/B]

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Disabled:iTunes"
"C:\Program Files\BitTorrent\bittorrent.exe"="C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Messenger\MSMSGS.EXE"="C:\Program Files\Messenger\MSMSGS.EXE:*:Enabled:Windows Messenger"
"C:\Program Files\Electronic Arts\Battlefield 2142\BF2142.exe"="C:\Program Files\Electronic Arts\Battlefield 2142\BF2142.exe:*:Enabled:Battlefield 2"
"C:\WINDOWS\System32\PnkBstrA.exe"="C:\WINDOWS\System32\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\WINDOWS\System32\PnkBstrB.exe"="C:\WINDOWS\System32\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\Program Files\id Software\Enemy Territory - QUAKE Wars Beta 2\etqw.exe"="C:\Program Files\id Software\Enemy Territory - QUAKE Wars Beta 2\etqw.exe:*:Enabled:Enemy Territory - QUAKE Wars(TM) Beta 2"
"C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:æTorrent"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\Program Files\Trend Micro\Internet Security 14\Quarantine\2.tmp

                                 Finished

Lyonnais92 · Answer

Bonjour,

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace 
Procèdes comme ceci : 
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm 

A bientôt

IZL · Answer

je te donne une expérience que j'ai fais moi même!!!
j'avais WINDOWS XP PACK2 , j'avais se problème là de Trojan RX , bah je suis allez chez un ami il ma donné Son WINDOWS du programme File , je l'es remplacé par le mien et depuis plus entendu parlé de se Trojan!

Infection Win32.Trojan.RX

39 réponses

Discussions similaires

Newsletters