[Microsoft Word] Probleme de memoireFermé

Question

Salut a tous,
Depuis quelque jours j'ai un probléme sur mon pc, chaque fois que je démarre le Word, il est trés lent pendant que j'y travail dessus, il occupe trop de memoire et 
quand je fait appel au gestionnaire des taches je trouve qu'il occupe jusqu'à 16 dans la colonne processeur et meme plus que 16 parfois. 
Juste pour l'information, le probleme a commencer quand le pc a été infecté par deux trojans, le premier je ne rapelle plus son nom, le deuxième et antihost.exe, 
celui dernier seul kaspersky a detecté, en fait j'utilise nod32, mais en voyant un processus etranger "ahr.exe" que nod32 n'as pâs detecter comme malware,
j'ai essayé de rescanner avec Kaspersky en me basant sur le log de HijackThis, en bas vous avez le dernier en date.
Le pc parait clean maintnan, j'ai essayé de desinsstallé le Microsoft Office deux fois dejà (celui que j'utilise et le 2003) et chaque fois j'ai nettoyer meme le registre 
mais le probléme perciste toujours.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\Eset
od32kui.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Program Files\Xi\NetXfer\NXIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Program Files\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec NetXfer - C:\Program Files\Xi\NetXfer\NXAddList.html
O8 - Extra context menu item: Télécharger avec NetXfer - C:\Program Files\Xi\NetXfer\NXAddLink.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcappcapd.exe" -d -f "%ProgramFiles%\WinPcappcapd.ini (file missing)
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
J'éspère que qq1 de vous pourra me donner une solution et merci.

afideg · Answer

Bonjour boujadi, Peux-tu faire ceci SVP: 1°- Télécharge cet antivirus ANTIVIR ici : http://www.commentcamarche.net/download/telecharger-55-antivir Avec son tuto ici : < http://speedweb1.free.fr/frames2.php?page=tuto5 > , à compléter par ce mode d'emploi en français d'antivir presque à jour : < http://tutopat.hostonet.org/viewtopic.php?t=2417 > qui prend en compte la case Rootkit. Installe-le et lance l'analyse complète ( désactive "nod32" durant ce scan ) Poste son rapport à la fin. 2°- Télécharge Combofix.exe (par sUBs) sur ton Bureau Télécharger la Beta < http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe > Double clique combofix.exe et suis les invites. Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse . 3°- Si tu veux réaliser des mises à jour d'Office 2003, voici la page de démarrage : http://office.microsoft.com/fr-fr/downloads/maincatalog.aspx. Ensuite tout se fait automatiquement, par rapport à ce que tu as d'installé. PS: Pour les rapports, ne modifie pas la police de caractères . Pas de majuscule, pas d'italique, pas de gras ! Merci. Bonne chance Al. Patience-Vigilance-Amour.

boujadi · Answer

Salut afideg, merci pour ta réponse, c très gentille de ta part j'ai fait un scan avec ANTIVIR comme tu m'a demander et j'ai eu le rapport ci-dessous: /////////// AntiVir PersonalEdition Classic Report file date: samedi 16 juin 2007 04:38 Scanning for 827769 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 1) [5.1.2600] Username: angel Computer name: HANNIBAL Version information: BUILD.DAT : 247 14437 Bytes 10/05/2007 11:55:00 AVSCAN.EXE : 7.0.4.15 282664 Bytes 20/04/2007 11:37:14 AVSCAN.DLL : 7.0.4.4 33832 Bytes 27/03/2007 11:31:54 LUKE.DLL : 7.0.4.11 143400 Bytes 27/03/2007 11:26:04 LUKERES.DLL : 7.0.4.0 10280 Bytes 19/03/2007 11:18:59 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 13:08:58 ANTIVIR1.VDF : 6.38.1.170 5569024 Bytes 21/05/2007 02:33:45 ANTIVIR2.VDF : 6.38.2.24 492032 Bytes 12/06/2007 02:33:45 ANTIVIR3.VDF : 6.39.0.22 133632 Bytes 15/06/2007 02:33:45 AVEWIN32.DLL : 7.4.0.32 2478592 Bytes 16/06/2007 02:33:45 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26 AVPREF.DLL : 7.0.2.1 24616 Bytes 27/03/2007 11:31:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24 AVPACK32.DLL : 7.3.0.12 360488 Bytes 16/06/2007 02:33:45 AVREG.DLL : 7.0.1.2 31784 Bytes 15/03/2007 08:05:08 AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27/03/2007 11:16:05 AVARKT.DLL : 1.0.0.17 278568 Bytes 02/05/2007 10:32:26 NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42 RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13/03/2007 09:46:18 RCTEXT.DLL : 7.0.45.0 86056 Bytes 19/03/2007 11:42:42 Configuration settings for the scan: Jobname..........................: Manual Selection Configuration file...............: C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\PROFILES\folder.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: off Scan boot sector.................: on Boot sectors.....................: C:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: All files Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Macro heuristic..................: on File heuristic...................: medium Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR, Start of the scan: samedi 16 juin 2007 04:38 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'usnsvc.exe' - '1' Module(s) have been scanned Scan process 'winamp.exe' - '1' Module(s) have been scanned Scan process 'IEMonitor.exe' - '1' Module(s) have been scanned Scan process '_IDMan.exe' - '1' Module(s) have been scanned Scan process 'notepad.exe' - '1' Module(s) have been scanned Scan process 'firefox.exe' - '1' Module(s) have been scanned Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned Scan process 'nod32krn.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 26 processes with 26 modules were scanned Start scanning boot sectors: Boot sector 'C:\' [NOTE] No virus was found! Starting to scan the registry. The registry was scanned ( '6' files ). Starting the file scan: Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! C:\Documents and Settings\angel\Bureau\SpeedUpMyPC.3.5.rar [0] Archive type: RAR --> Crack.rar [1] Archive type: RAR --> ubvarsm.dll [DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Repacked). Please verify the origin of the file --> ubvarsm2.dll [DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Repacked). Please verify the origin of the file [INFO] The file was deleted! C:\Documents and Settings\angel\Bureau\Flash\All password tools\Asterisk Logger v1.02.zip [0] Archive type: ZIP --> astlog.exe [DETECTION] Contains signature of the SPR/AsteriskLogger program [INFO] The file was deleted! C:\Documents and Settings\angel\Bureau\Flash\All password tools\ipscan.rar [0] Archive type: RAR --> ipscan.exe [DETECTION] Contains signature of the SPR/Tool.Angry program [INFO] The file was deleted! C:\Documents and Settings\angel\Bureau\Flash\All password tools\Network Pass Recovery v1.03.zip [0] Archive type: ZIP --> netpass.exe [DETECTION] Contains signature of the SPR/PSW.NetPass.B.4 program [INFO] The file was deleted! C:\Documents and Settings\angel\Bureau\Flash\All password tools\Protected Storage PassView v1.63.zip [0] Archive type: ZIP --> pspv.exe [DETECTION] Contains signature of the SPR/PSW.PassView.B program [INFO] The file was deleted! C:\Documents and Settings\angel\Bureau\Flash\All password tools\SniffPass v1.00.zip [0] Archive type: ZIP --> SniffPass.exe [DETECTION] Contains signature of the SPR/PSW.SniffPass program [INFO] The file was deleted! C:\Documents and Settings\angel\Bureau ele\AdvancedBloodScroller.zip [0] Archive type: ZIP --> Advanced Blood Scroller.exe [DETECTION] Contains signature of the SPR/Tool.Agent.M program [INFO] The file was moved to '46e95195.qua'! C:\Documents and Settings\angel\Bureau ele\bitchinthreads.zip [0] Archive type: ZIP --> =Bitchin Threads=.exe [DETECTION] Is the Trojan horse TR/Bitchin [INFO] The file was moved to '46e751bb.qua'! C:\Documents and Settings\angel\Bureau ele\mspass.zip [0] Archive type: ZIP --> mspass.exe [DETECTION] Contains signature of the SPR/PSW.Messen.103.4 program [INFO] The file was moved to '46e351e9.qua'! C:\Documents and Settings\angel\Bureau ele\Nouveau dossier\sup3rsc4n.zip [0] Archive type: ZIP --> superscan.exe [DETECTION] Contains signature of the SPR/Hackt.SuperScan program [1] Archive type: CAB SFX (self extracting) --> \scanner.exe [DETECTION] Contains signature of the SPR/Tool.SuperScan program --> \ws2check.exe [DETECTION] Contains signature of the SPR/Tool.SuperSca.B program [INFO] The file was moved to '46e35223.qua'! C:\Documents and Settings\angel\Bureau ele\pass\brutus.zip [0] Archive type: ZIP --> BrutusA2.exe [DETECTION] Contains signature of the SPR/Brutus program [INFO] The file was moved to '46e85223.qua'! C:\Documents and Settings\angel\Bureau ele\port scanner\bitchinthreads.zip [0] Archive type: ZIP --> =Bitchin Threads=.exe [DETECTION] Is the Trojan horse TR/Bitchin [INFO] The file was moved to '46e75373.qua'! C:\Documents and Settings\angel\Bureau ele\port scanner\bluesprtscn.zip [0] Archive type: ZIP --> BluesPortScan.exe [DETECTION] Contains signature of the SPR/Delf.D.3 program [INFO] The file was moved to '46e85383.qua'! C:\Documents and Settings\angel\Bureau ele\port scanner\sup3rsc4n.zip [0] Archive type: ZIP --> superscan.exe [DETECTION] Contains signature of the SPR/Hackt.SuperScan program [1] Archive type: CAB SFX (self extracting) --> \scanner.exe [DETECTION] Contains signature of the SPR/Tool.SuperScan program --> \ws2check.exe [DETECTION] Contains signature of the SPR/Tool.SuperSca.B program [INFO] The file was moved to '46e3543a.qua'! C:\Documents and Settings\angel\Bureau ele\port scanner\superscan4.zip [0] Archive type: ZIP --> SuperScan4.exe [DETECTION] Contains signature of the SPR/Tool.SuperScan.1 program [INFO] The file was moved to '46e35447.qua'! C:\Documents and Settings\angel\Bureau ele r\m0sck3r.zip [0] Archive type: ZIP --> MoSucker 3.0b/runtimes/Runtimes.exe [DETECTION] Contains signature of the backdoor control software BDC/ControlTotal.Cli. --> MoSucker 3.0b/stub/moicons.dll [DETECTION] Contains a signature of the (dangerous) backdoor program BDS/MoSucker.06.T Backdoor server programs [INFO] The file was moved to '46e65425.qua'! C:\Documents and Settings\angel\Bureau ele r\disable anti virus&firewall heef_210.zip [0] Archive type: ZIP --> cgiparam.ini [DETECTION] Contains a signature of the (dangerous) backdoor program BDS/Delf.DY.45 Backdoor server programs [INFO] The file was moved to '46d85492.qua'! C:\Documents and Settings\angel\Bureau ele\web bug scanner\cgis4.zip [0] Archive type: ZIP --> cgis4.exe [DETECTION] Is the Trojan horse TR/Mehm.B [INFO] The file was moved to '46dc5499.qua'! C:\Documents and Settings\angel\Bureau ele\web bug scanner\CGIScan.zip [0] Archive type: ZIP --> CGIScan.exe [DETECTION] Contains signature of the SPR/Delf.C program [INFO] The file was moved to '46bc547d.qua'! C:\Program Files\Bifrost\server.exe [DETECTION] Contains a signature of the (dangerous) backdoor program BDS/Bifrose.NQ.224 Backdoor server programs [WARNING] An error has occurred and the file was not deleted. ErrorID: 16004 [WARNING] The source file could not be found. C:\Program Files\Internet Download Manager\idmldr.exe [DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen [INFO] The file was deleted! End of the scan: samedi 16 juin 2007 06:20 Used time: 1:41:55 min The scan has been done completely. 11928 Scanning directories 482251 Files were scanned 27 viruses and/or unwanted programs were found 0 classified as suspicious: 7 files were deleted 0 files were repaired 13 files were moved to quarantine 0 files were renamed 1 Files cannot be scanned 482224 Files not concerned 1615 Archives were scanned 2 Warnings 0 Notes 0 Hidden objects were found ///////////////////// Aussi j'ai executer ComboFix et il m'a donner le rapport suivant: ///////////////////// ComboFix 07-06-13.7 - C:\Documents and Settings\angel\Bureau\ComboFix.exe "angel" - 2007-06-16 18:25:06 - Service Pack 1 NTFS ((((((((((((((((((((((((( Files Created from 2007-05-16 to 2007-06-16 ))))))))))))))))))))))))))))))) 2007-06-16 06:30 49,152 --a------ C:\WINDOWS ircmd.exe 2007-06-16 04:26 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AntiVir PersonalEdition Classic 2007-06-16 04:05 d-------- C:\Program Files\Smart PC Solutions 2007-06-15 04:43 d-------- C:\WINDOWS\'Full Speed' Internet Booster + Performance Tests 2007-06-15 04:43 d-------- C:\Program Files\'Full Speed' Internet Booster + Performance Tests 2007-06-15 04:43 d-------- C:\aidualc3 2007-06-14 06:32 d-------- C:\Program Files\Internet Download Manager 2007-06-14 04:59 d-------- C:\Program Files\Xi 2007-06-13 02:29 d-------- C:\Program Files\TeamViewer 2007-06-13 02:29 d-------- C:\Program Files\DynGate 2007-06-13 01:59 d-------- C:\DOCUME~1\angel\APPLIC~1\TeamViewer 2007-06-13 01:55 d-------- C:\DOCUME~1\angel emp 2007-06-13 00:48 20,569 --a------ C:\WINDOWS\system32\pxc25pm.dll 2007-06-13 00:48 d-------- C:\Program Files\Fichiers communs\SolidDocuments 2007-06-13 00:47 d-------- C:\Program Files\SolidDocuments 2007-06-13 00:34 d-------- C:\DOCUME~1\angel\APPLIC~1\SolidDocuments 2007-06-12 04:06 d-------- C:\Program Files\Fichiers communs\xing shared 2007-06-12 03:04 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys 2007-06-12 03:04 298,104 --a------ C:\WINDOWS\system32\imon.dll 2007-06-12 03:04 15,424 --a------ C:\WINDOWS\system32\drivers od32drv.sys 2007-06-12 02:19 87,040 --a------ C:\WINDOWS\system32\srvsvc.dll 2007-06-11 10:34 d-------- C:\WINDOWS\SHELLNEW 2007-06-11 10:34 d-------- C:\Program Files\Microsoft.NET 2007-06-11 08:49 d-------- C:\HijackThis 2007-06-11 07:21 d-------- C:\Program Files\Kaspersky Lab 2007-06-11 07:20 d-------- C:\KAV 2007-06-10 04:01 d-------- C:\Program Files\WinPcap 2007-06-09 04:30 d-------- C:\Program Files\Uniblue 2007-06-08 02:58 d-------- C:\Program Files\Selteco 2007-06-07 14:17 d-------- C:\Program Files\Soulseek 2007-06-03 03:26 122,880 --a------ C:\WINDOWS\UnGins.exe 2007-06-03 03:26 d-------- C:\Program Files\ShadowScan 2007-06-02 06:57 d-------- C:\WINDOWS\system32\ReinstallBackups 2007-06-02 06:46 81,920 -ra------ C:\WINDOWS\system32 vclock.dll 2007-06-02 06:46 45,056 -ra------ C:\WINDOWS\system32\memtest.dll 2007-06-02 06:46 40,960 -ra------ C:\WINDOWS\system32\Nvgpio.dll 2007-06-02 06:46 36,864 -ra------ C:\WINDOWS\system32\Nvapi9x.dll 2007-06-02 06:46 36,644 -ra------ C:\WINDOWS\system32\drivers\vgauti.sys 2007-06-02 06:46 36,644 -ra------ C:\WINDOWS\system32\drivers\msicpl.sys 2007-06-02 06:46 278,528 -ra------ C:\WINDOWS\system32\msicpl.dll 2007-06-02 06:46 24,576 -ra------ C:\WINDOWS\system32\msiuins.exe 2007-06-02 00:49 d--h----- C:\WINDOWS\PIF 2007-06-01 04:21 d-------- C:\Program Files\Easy Video Joiner 2007-05-31 05:35 d-------- C:\Program Files\Bifrost 2007-05-30 23:37 41,324 --a------ C:\WINDOWS\system32\winio.sys 2007-05-30 23:36 d-------- C:\DOCUME~1\angel\APPLIC~1\MathWorks 2007-05-30 23:12 d-------- C:\MATLAB701 2007-05-30 01:02 d-------- C:\WINDOWS\system32\NtmsData 2007-05-28 03:44 50,109 -ra------ C:\WINDOWS\system32\drivers\StScsi.sys 2007-05-28 03:38 135,168 --a------ C:\WINDOWS\system32\stmphook.dll 2007-05-28 03:38 d-------- C:\WINDOWS\CMTech 2007-05-28 03:38 d-------- C:\Program Files\Music Box 2007-05-28 03:37 35,282 -ra------ C:\WINDOWS\system32\drivers\Mp3Drv.sys 2007-05-28 02:34 d-------- C:\Program Files\StuffPlug3 2007-05-28 02:25 d-------- C:\Program Files\MSN Webcam Recorder 2007-05-28 00:16 18,916 --a------ C:\WINDOWS\system32 fak.dll 2007-05-27 20:03 71,680 --a------ C:\WINDOWS\ST5UNST.EXE 2007-05-27 20:03 29,696 --a------ C:\WINDOWS\system32\VB5StKit.dll 2007-05-26 18:57 d-------- C:\DOCUME~1\angel\APPLIC~1\Help 2007-05-24 21:37 d-------- C:\Program Files\OpenVideoJoiner 2007-05-24 21:04 d-------- C:\Program Files\uTorrent 2007-05-21 21:40 d-------- C:\Program Files\RealDRAW 2007-05-21 02:00 d-------- C:\Program Files\Data Doctor Recovery - SIM Card (Evaluation) 2007-05-20 23:11 d--h----- C:\Program Files\InstallShield Installation Information 2007-05-20 22:17 d-------- C:\DOCUME~1\angel\jbproject 2007-05-19 23:31 d-------- C:\DOCUME~1\angel\APPLIC~1\Metacafe 2007-05-19 23:30 d-------- C:\Program Files\Metacafe 2007-05-19 23:30 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Metacafe 2007-05-18 02:59 d-------- C:\DOCUME~1\angel\APPLIC~1\IDM 2007-05-17 23:37 d-------- C:\JBuilderX 2007-05-17 01:08 d-------- C:\Program Files\CertExams.com Simulator 2007-05-17 01:07 73,216 --a------ C:\WINDOWS\ST6UNST.EXE (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-16 16:11:32 -------- d-----w C:\DOCUME~1\angel\APPLIC~1\Skype 2007-06-16 04:00:30 -------- d-----w C:\DOCUME~1\angel\APPLIC~1\DMCache 2007-06-15 22:33:39 -------- d-----w C:\DOCUME~1\angel\APPLIC~1\uTorrent 2007-06-15 02:44:07 -------- d-----w C:\Program Files\'Full Speed' Internet Booster + Performance Tests 2007-06-12 23:12:47 0 ----a-w C:\AUTOEXEC.BAT 2007-06-12 02:06:03 -------- d-----w C:\Program Files\Fichiers communs\Real 2007-06-12 00:38:00 73,612 ----a-w C:\WINDOWS\system32\perfc00C.dat 2007-06-12 00:38:00 464,456 ----a-w C:\WINDOWS\system32\perfh00C.dat 2007-06-10 00:05:11 -------- d-----w C:\Program Files\Spyware Doctor 2007-06-09 02:30:51 -------- d-----w C:\DOCUME~1\angel\APPLIC~1\Uniblue 2007-06-07 12:14:14 -------- d-----w C:\DOCUME~1\angel\APPLIC~1\Azureus 2007-06-02 04:24:56 -------- d-----w C:\Program Files\Google 2007-06-02 04:24:30 -------- d-----w C:\Program Files\Fichiers communs\InstallShield 2007-05-28 18:42:12 -------- d-----w C:\Program Files\Real 2007-05-28 00:34:14 -------- d-----w C:\Program Files\MSN Messenger 2007-05-14 15:17:47 -------- d-----w C:\DOCUME~1\angel\APPLIC~1\Camfrog 2007-05-14 15:09:20 -------- d-----w C:\Program Files\Camfrog 2007-05-12 00:24:32 -------- d-----w C:\DOCUME~1\angel\APPLIC~1\Starbase 2007-05-10 04:33:01 -------- d-----w C:\DOCUME~1\angel\APPLIC~1\Google 2007-05-09 22:11:38 -------- d-----w C:\DOCUME~1\angel\APPLIC~1\AdobeUM 2007-05-03 04:59:52 -------- d-----w C:\DOCUME~1\angel\APPLIC~1\PC Tools 2007-05-03 04:46:41 -------- d-----w C:\Program Files\Ahead 2007-05-03 04:45:59 -------- d-----w C:\Program Files\Fichiers communs\Ahead 2007-05-03 00:53:12 -------- d-----w C:\Program Files\Skype 2007-05-02 04:23:37 -------- d-----w C:\DOCUME~1\angel\APPLIC~1\Media Player Classic 2007-05-01 02:20:10 -------- d-----w C:\Program Files\KKE+ 2007-05-01 02:20:08 -------- d-----w C:\DOCUME~1\angel\APPLIC~1\Apple Computer 2007-05-01 02:20:06 -------- d-----w C:\DOCUME~1\angel\APPLIC~1\DivX 2007-05-01 02:20:04 -------- d-----w C:\DOCUME~1\angel\APPLIC~1\WinRAR 2007-05-01 02:20:03 -------- d-----w C:\DOCUME~1\angel\APPLIC~1\Real 2007-05-01 02:20:03 -------- d-----w C:\DOCUME~1\angel\APPLIC~1\MSN6 2007-05-01 00:59:45 -------- d-----w C:\DOCUME~1\angel\APPLIC~1\Macromedia(2) 2007-04-28 13:18:25 -------- d-----w C:\Program Files\K-Lite Codec Pack 2007-04-28 12:41:52 -------- d-----w C:\Program Files\Fichiers communs\Stardock 2007-04-28 12:27:54 -------- d-----w C:\Program Files\Stardock 2007-04-28 11:04:27 -------- d-----w C:\Program Files\QuickTime 2007-04-28 11:04:18 -------- d--h--w C:\Program Files\WindowsUpdate 2007-04-28 11:03:52 -------- d-----w C:\Program Files\Apple Software Update 2007-04-28 10:59:11 -------- d-----w C:\Program Files\Ares 2007-04-27 23:22:24 1,156 ----a-w C:\WINDOWS\mozver.dat 2007-04-26 23:29:07 -------- d-----w C:\Program Files\Services en ligne 2007-04-26 17:14:12 -------- d-----w C:\Program Files\DivX 2007-04-26 13:01:11 0 ----a-w C:\WINDOWS sreg.dat 2007-04-26 12:29:06 -------- d-----w C:\Program Files\Yamicsoft 2007-04-26 12:06:13 -------- d-----w C:\Program Files\Fichiers communs\ODBC 2007-04-26 12:06:10 -------- d-----w C:\Program Files\Fichiers communs\SpeechEngines 2007-04-26 11:49:28 -------- d-----w C:\Program Files\Winamp 2007-04-26 11:35:36 -------- d-----w C:\Program Files\DAMN NFO Viewer 2007-04-26 11:15:50 -------- d-----w C:\Program Files\microsoft frontpage 2007-04-26 11:15:30 0 --sha-r C:\MSDOS.SYS 2007-04-26 11:15:30 0 --sha-r C:\IO.SYS 2007-04-26 11:15:30 0 ----a-w C:\CONFIG.SYS 2007-04-26 11:13:52 -------- d-----w C:\Program Files\Movie Maker 2007-04-26 11:13:28 -------- d-----w C:\Program Files\Fichiers communs\MSSoap 2007-04-26 11:12:44 21,892 ----a-w C:\WINDOWS\system32\emptyregdb.dat 2007-04-26 11:12:18 -------- d-----w C:\Program Files\Messenger 2007-04-26 11:12:14 -------- d-----w C:\Program Files\MSN Gaming Zone 2007-04-26 11:12:11 -------- d-----w C:\Program Files\Windows NT 2007-04-19 13:18:24 26,064 ----a-w C:\WINDOWS\system32\drivers\kcom.sys 2007-04-19 13:18:20 83,536 ----a-w C:\WINDOWS\system32\drivers\iksyssec.sys 2007-04-19 13:18:16 59,984 ----a-w C:\WINDOWS\system32\drivers\iksysflt.sys 2007-04-19 13:18:12 52,304 ----a-w C:\WINDOWS\system32\drivers\ikfilesec.sys 2007-04-19 13:18:08 39,248 ----a-w C:\WINDOWS\system32\drivers\ikfileflt.sys 2007-04-16 00:33:48 1,030 ----a-w C:\WINDOWS\system32 cp-game.reg 2007-04-16 00:32:30 1,030 ----a-w C:\WINDOWS\system32 cp.reg 2007-04-15 14:39:03 1,250 ----a-w C:\WINDOWS\system32\web-game.reg 2007-04-01 01:18:26 766 ----a-w C:\WINDOWS\system32 o-tcp.reg 2007-03-30 04:33:09 1,250 ----a-w C:\WINDOWS\system32\web.reg 2007-03-30 03:20:34 1,030 ----a-w C:\WINDOWS\system32 o-web.reg 2007-03-27 07:55:57 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe 2007-03-27 07:55:48 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll 2007-03-27 07:49:07 73,728 ----a-w C:\WINDOWS\system32\dpl100.dll 2007-03-27 07:48:59 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll 2007-03-27 07:48:58 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll 2007-03-27 07:48:58 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll 2007-03-27 07:48:58 639,066 ----a-w C:\WINDOWS\system32\DivX.dll ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {0055C089-8582-441B-A0BF-17B458C2A3A8}=C:\Program Files\Internet Download Manager\IDMIECC.dll [2007-02-19 16:53] {259F616C-A300-44F5-B04A-ED001A26C85C}=C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll [2005-03-05 08:39] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43] {83B80A9C-D91A-4F22-8DCF-EA7204039F79}=C:\Program Files\Xi\NetXfer\NXIEHelper.dll [2006-09-25 06:22] {AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\program files\google\googletoolbar2.dll [2007-01-19 23:55] {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll [2007-06-08 21:01] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nod32kui"="C:\Program Files\Eset od32kui.exe" [2007-06-12 03:04] "avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-05-28 02:30] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\WBSrv] C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "appinit_dlls"=wbsys.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sdauxservice] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sdcoreservice] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk] backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk] backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Metacafe.lnk] backup=C:\WINDOWS\pss\Metacafe.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^angel^Menu Démarrer^Programmes^Démarrage^Metacafe.lnk] backup=C:\WINDOWS\pss\Metacafe.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares] "C:\Program Files\Ares\Ares.exe" -h [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hide-The-IP] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IDMan] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg wiz] nwiz.exe /install [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ProPort StartUp] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SDTray] C:\Program Files\Spyware Doctor\SDTrayApp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" -osboot [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster2] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "matlabserver"=2 (0x2) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion un-] "ares"="C:\Program Files\Ares\Ares.exe" -h "ctfmon.exe"=C:\WINDOWS\System32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" -osboot "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-16 18:30:17 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-06-16 18:31:04 C:\ComboFix-quarantined-files.txt ... 2007-06-16 18:30 --- E O F --- //////////////////////////// merci une autre fois pour ta réponse, je suis a l'attente de ta prochaine réponse

afideg · Answer

Bonjour boujadi , Je ne suis pas éclairé ; Continue avec ceci SVP 1)- •- Télécharge « clean.zip » http://www.malekal.com/download/clean.zip •- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ". < http://img227.imageshack.us/img227/9384/screenshot149ih1.gif > 2)- Télécharge SDFix sur ton bureau : < http://downloads.andymanchesta.com/RemovalTools/SDFix.exe > 3)- Redémarre en mode sans échec. Tutos: Comment faire pour... à la lettre C < https://forum.pcastuces.com/default.asp > ( note bien ce que tu as à faire, parce que tu n'auras plus accès à IE durant cette procédure ). 4)- Analyses •- Ouvre le dossier « clean » qui se trouve sur ton bureau. - Double-clic sur « clean.cmd ». Une fenêtre noire va apparaître, suis les consignes < http://img483.imageshack.us/img483/6285/screenshot210io7.gif > Choisis l’option 2. Clean va travailler. Il va produire un rapport. •- (Double clique sur l'icône SDFix.exe > [Exécuter] > [Install] > Ouvre le dossier « SDFix », qui vient d'être créé dans le répertoire C:\ > (créer un raccourci sur le bureau)  par Philo2100. Clic droit sur l'icône SDFix.exe > "extraire ici" > ouvrir le dossier "SDFix" apparu sur le bureau > double-clic sur "RunThis.bat" de SDFix Tape Y pour lancer le script. Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire Presse une touche pour redémarrer en mode normal Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche 5) Rapports: - Poste qui se trouve ici C:\rapport_clean.txt. (- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. ) - Ouvre le "dossier SDFix" et copie/colle ici le contenu du fichier "Report.txt" Ensuite : 1)- Télécharge DrWeb ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe La version est automatiquement à jour. Installe le. Lance le. Une analyse des processus se lance. Ensuite, choisis le lecteur à scanner ( C ) et lance l'analyse. Choisis de supprimer ce qu’il trouve Poste le rapport. 2)- Fais ensuite un ScanOnline chez Bitdefender : http://www.bitdefender.fr/bd/site/page.php ou https://www.bitdefender.fr/ ( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX) * En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE" * Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence ) * Accepter et installer le contrôle des ActivesX * La fenêtre change encore, clique sur "Click here to scan" * Les signatures se chargent, etc. (sauvegarder le rapport au format TEXTE svp. merci) Clic sur "Enregistrer sous..." > enregistrer le rapport au format .txt ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier texte" (*.txt) > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum. Aide en image : http://pageperso.aol.fr/rginformatique/mapage/defender.htm MALEKAL_morte < https://www.malekal.com/scan-antivirus-ligne-nod32/ > 3)- Fais un scan en ligne ici ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm > Procédure : "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup. Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId23736 > Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan. ( Mais je crois que tu n'as plus Avast ==> une passoire actuellement ! ) Courage Al cela va nous donner des éléments pour guider nos actions * A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse

afideg · Answer

(suite)

( Je voudrais vérifier quelquechose ) Merci. 

Peux-tu contrôler ces fichiers/dossiers à l'aide de VirusTotal ? 
Pour cela, vas là :< http://www.virustotal.com/en/virustotalx.html > 
•- sur la page qui s'affiche tu cliques sur "parcourir" 
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin des fichiers ( que Virustotal va analyser un par un, à ta demande; puisque tu devras recommencer la procédure "parcourir", fichier par fichier ) ) 
•- c'est-à-dire :
C:\Program Files\Ares\Ares.exe 
C:\WINDOWS\system32\imon.dll 
C:\Program Files\Bifrost 
•- quand tu as trouvé le fichier, tu fais "ouvrir" ( sur cette dernière page affichée) 
•- le fichier se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse 
•- là, tu cliques sur "send" ( au-dessus, à droite de la page de Virustotal ) 
•- et tu attends le résultat ( sois patiente ) 
•- que tu postes sur le forum 
DONC, tu refais la manipulation fichier par fichier. 

Merci pour ta collaboration

boujadi · Answer

Salut afideg,
voila tous les rapports dont tu a besoin:

1/ le rapport de « clean »:

Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 16/06/2007 a 20:12:52,45 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
tentative de suppression de C:\WINDOWS\UnGins.exe 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
tentative de suppression de C:\WINDOWS\system32\msiuins.exe 
 
*** Suppression des fichiers dans C:\Program Files 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport ! 

2/ le rapport de « SDFix »:



SDFix: Version 1.88

Run by angel on 16/06/2007 at 20:22

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services: 






Restoring Windows Registry Values
Restoring Windows Default Hosts File 

Rebooting...


Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\Documents and Settings\angel\Application Data\addon.dat  - Deleted


Folder C:\Program Files\Bifrost - Removed

Removing Temp Files...

ADS Check:

Checking C:\WINDOWS\
C:\WINDOWS
No streams found. 

Checking C:\WINDOWS\system32
C:\WINDOWS\system32
No streams found. 

Checking C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.
 
Checking C:\WINDOWS\system32
toskrnl.exe
C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Listing Files with Hidden Attributes:

C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Outlook Express\MSIMN.EXE
C:\Program Files\Selteco\Bannershop GIF Animator\Setup.exe
C:\Documents and Settings\angel\Application Data\Microsoft\Word\~WRL0504.tmp
C:\Documents and Settings\angel\Application Data\Microsoft\Word\~WRL0519.tmp
C:\Documents and Settings\angel\Application Data\Microsoft\Word\~WRL3319.tmp
C:\WINDOWS\system32\config\default.tmp.LOG
C:\WINDOWS\system32\config\SAM.tmp.LOG
C:\WINDOWS\system32\config\SECURITY.tmp.LOG
C:\WINDOWS\system32\config\software.tmp.LOG
C:\WINDOWS\system32\config\system.tmp.LOG

Listing User Accounts:

comptes d'utilisateurs de \HANNIBAL

Administrateur           angel                    HelpAssistant            
Invit‚                   SUPPORT_388945a0         
La commande s'est termin‚e correctement.


                                 Finished 


3/ le rapport de « DrWeb »:


HideTheIPTrialSetup.exe           D:\My Tools\HideTheIPTrialSetup           Trojan.Ulone           Supprimé.
A0022786.exe                              D:\System Volume Information\_restore{CA933D12-7222-413A-A401-EC9B11F3248B}\RP101           Trojan.Ulone    Supprimé.
pskill.exe                C:\Documents and Settings\angel\Bureau\brico\clean            Tool.ProcessKill.7         
Patcher.exe           C:\Program Files\RealDRAW             Tool.ASEye.2
ShadowScan.exe                 C:\Program Files\ShadowScan            Probablement DLOADER.Trojan     Supprimé.
Process.exe                          C:\SDFix\apps                                           Tool.Prockill
A0022787.exe                       C:\System Volume Information\_restore{CA933D12-7222-413A-A401-EC9B11F3248B}\RP101         Probablement DLOADER.Trojan                          Supprimé.




4/ le rapport de « Bitdefender »:


*BitDefender Online Scanner - Real Time Virus Report*


Generated at: Sun, Jun 17, 2007 - 19:29:47

------------------------------------------------------------------------


*Scan Info*

Scanned Files 921495

Infected Files 1

* *

*Virus Detected*

Trojan.Icqsmiley.E 1

------------------------------------------------------------------------

This summary of the scan process will be used by the BitDefender
Antivirus Lab to create agregate statistics about virus activity around
the world.



5/ le rapport de « Panda »:





Incident                                                                        Statut                        Analyse                                                                                                                                                                                                                                                         

Spyware:Cookie/Xiti                                                             No Désinfecté                 C:\Documents and Settings\angel\Application Data\Mozilla\Firefox\Profiles\11k8h3v5.default\cookies.txt[.xiti.com/]                                                                                                                                              
Spyware:Cookie/Doubleclick                                                      No Désinfecté                 C:\Documents and Settings\angel\Application Data\Mozilla\Firefox\Profiles\11k8h3v5.default\cookies.txt[.doubleclick.net/]                                                                                                                                       
Spyware:Cookie/Overture                                                         No Désinfecté                 C:\Documents and Settings\angel\Application Data\Mozilla\Firefox\Profiles\11k8h3v5.default\cookies.txt[.overture.com/]                                                                                                                                          
Spyware:Cookie/Advertising                                                      No Désinfecté                 C:\Documents and Settings\angel\Application Data\Mozilla\Firefox\Profiles\11k8h3v5.default\cookies.txt[.advertising.com/]                                                                                                                                       
Spyware:Cookie/Statcounter                                                      No Désinfecté                 C:\Documents and Settings\angel\Application Data\Mozilla\Firefox\Profiles\11k8h3v5.default\cookies.txt[.statcounter.com/]                                                                                                                                       
Outil indésirable:Application/Pskill.K                                          No Désinfecté                 C:\Documents and Settings\angel\Bureau\brico\clean\pskill.exe                                                                                                                                                                                                   
Outil indésirable:Application/Pskill.K                                          No Désinfecté                 C:\Documents and Settings\angel\Bureau\brico\clean.zip[clean/pskill.exe]                                                                                                                                                                                        
Outil indésirable:Application/Processor                                         No Désinfecté                 C:\Documents and Settings\angel\Bureau\brico\SDFix.exe[SDFix\apps\Process.exe]                                                                                                                                                                                  
Outil indésirable:Application/NirCmd.A                                          No Désinfecté                 C:\Documents and Settings\angel\Bureau\ComboFix.exe[nircmd.exe]                                                                                                                                                                                                 
Hacktool:DoS/42zip                                                              No Désinfecté                 C:\Documents and Settings\angel\Bureau\Flash\flash
essus-installer-2.2.9.sh[nessus.tar.gz][nessus.tar][nessus-plugins/scripts/smtp_AV_42zip_DoS.nasl][42.zip]                                                                                                  



6/ le scan avec VirusTotal n'a rien detecter dans les trois fichiers

Rq : je suis de sexe masculin, donc tu peut me dire patient a la place de patiente.

merci pour ton aide

afideg · Answer

Bonsoir boujadi,

Bonne fête les papas.
"patiente" provient du fait que des formules sont "prêtes à l'emploi" pour être plus rapide.  ;)

Attention, le rapport BitDefender n'est pas complet  ==> post le rapport complet SVP, pour localiser ce Trojan.Icqsmiley.E 1  . Merci

Connais-tu ceci : C:\Documents and Settings\angel\Bureau\Flash\flash
essus-installer-2.2.9.sh ?
Connais-tu le logiciel Flash installé sur ton bureau ?
Connais-tu ce "nessus-installer-2.2.9.sh" ?   ==> lequel semble infecté.

Fais une analyse de ce nessus-installer-2.2.9.sh qui se situe en C:\Documents and Settings\angel\Bureau\Flash\flash\   avec VirusTotal    s'il te plaît.


Merci
Al.

boujadi · Answer

salut afideg,
dsl pour le derangement,
Pour le rapport de Bitdeffender je crois qu'il est complet car c'est tous ce qu'il m'a affiché.
Pour le dossier Flash et son contenu ne craint rien car je suis son créateur.
Et a propos le fichier nessus.sh ne craint rien aussi car c'est un utilitaire dont j'ai utilisé plusieurs fois.
Nessus est un des logiciels les plus connu au domaine de sécurité informatique puisqu'il est le scanner de vulnérabilité le plus performant et pour l'extension .sh ca indique que c'est une application destiné Linux.
Pour plus d'information tu pourra voir le forum Linux/Unix ou les pages suivantes:
https://fr.wikipedia.org/wiki/Nessus_%28logiciel%29
https://www.tenable.com/products/nessus
Merci

afideg · Answer

Bonjour boujadi, Tu m'étonneras toujours. ( créateur de Flash ==> peux-tu m'en dire davantage SVP ? Est-ce en rapport avec ceci : Flash\All password tools\SniffPass v1.00.zip [0] Archive type: ZIP --> SniffPass.exe ? Merci ) Tu sais me répondre par MP si tu le juges; j'aimerais des détails pour mon compte. Je comprends mieux pourquoi ton Windows est toujours sous SP1. ;) > Mais tu indiques « Nessus est un des logiciels les plus connu au domaine de sécurité informatique puisqu'il est le scanner de vulnérabilité le plus performant » ==> cela explique-t-il pourquoi tu n'estimes pas nécessaire d'installer un pare-feu comme KERIO gratuit par exemple [Bloquer des ports avec Kerio - créer une règle de filtrage < https://www.vulgarisation-informatique.com/bloquer-ports.php >] J'aimerais entendre tes arguments à ce sujet. Et comment se fait-il que ce performant ait "laissé passer un ver" tel que antihost.exe/ahr.exe ? Voici ce que j'ai collecté pour toi : antihost.exe < http://www.malekal.com/Worm.Win32.Delf.ca.php > Worm.Win32.Delf.ca est un vers qui se propage par disques amovibles . Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système. Tu trouveras un lien explicatif sur la propagation de ces infection sur ce lien : < http://forum.malekal.com/ftopic3350.php > Il peut aussi empécher l'ouverture des partitions C; D etc O4 - HKLM\..\Run: [antihost] C:\WINDOWS\system32\ahr.exe ahr.exe = ver W32/Sdbot-SV est un membre de la famille de vers W32/Sdbot-Fam avec des fonctionnalités de porte dérobée via des canaux IRC. W32/Sdbot-SV peut arriver dans une archive auto-extractible avec le nom de fichier buds.exe.Lis également ce topic pour l'avenir < http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/virus-sujet_29187_1.htm > > Quant à nod32, je lui préfèrerais ANTIVIR et pourquoi pas jumelé avec PROCESSGUARD . > J'aimerais que tu relances un ScanOnlineBitDefender et tenter de saisir la localisation de ce Trojan.Icqsmiley.E 1 que la précédente analyse avait détectée . Merci. Relance un Scan complet avec HijackThis en mode normal, et poste son rapport SVP. Merci. Bonne journée Al.

boujadi · Answer

Salut afideg,
Pour le fameux Flash et sniffPass dsl je n'ai pas pu comprendre qu'est ce que tu veux vraiment savoir, mais je te promet de te répondre le message suivant lorsque tu m'éclaire un peut.
Pour nessus je t'est dit qu'il est un scanner de vulnérabilité c'est à dire il te donne un rapport complet sur les failles de votre système ou réseau mais il ne peut pas bloquer des worm ou virus et même pas fermer un port mais il te conseille par exemple de fermer le port x...
Si tu le demande ses actions, comme si tu a demandé a HijackThis de bloquer un processus ou d'effacer un trojan...
Maintenant pour antihost.exe et ahr.exe je  t'informe que dans ce monde il n'y a que Kaspersky et bitdefender
qui les détectes mais ça ne veux pas dire que nod32 n'est pas l'un des meilleurs antivirus.
Enfin, pour Trojan.Icqsmiley.E 1 je ne voit pas ou tu la trouvé, (veut tu me dire ou tu l'a trouvé?) mais je veut te dire que l'autre jour antivir l'a détecter et il l'a supprimé mais je ne comprend pas pourquoi Bitdefender lui a détecter.
voila le rapport de HijackThis et j'attends ta repose, est ce que l'analyse avec bitdeffender est obligatoire ou non.

********************************************************************
Logfile of HijackThis v1.99.1
Scan saved at 17:49:53, on 18/06/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset
od32kui.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Download Manager\_IDMan.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Program Files\Xi\NetXfer\NXIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Program Files\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec NetXfer - C:\Program Files\Xi\NetXfer\NXAddList.html
O8 - Extra context menu item: Télécharger avec NetXfer - C:\Program Files\Xi\NetXfer\NXAddLink.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcappcapd.exe" -d -f "%ProgramFiles%\WinPcappcapd.ini (file missing)
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe

********************************************************************

merci et a bientôt.

afideg · Answer

Re, Rien de spécial dans le log HJT . Nous n'avons pas la même culture d'expression; mais ce n'est rien. Cela fait 64 ans qu'elle me convient, et avec laquelle je communique. 1°- Pour nessus , je sais que Nessus est un scanner de vulnérabilité qui effectue un balayage réseau sur une cible pour chercher des vulnérabilités dans le réseau, comme des erreurs de programmation, des backdoors, etc... Mais je te redemande pourquoi il ne t'a pas signalé l'attaque par un ver" tel que antihost.exe/ahr.exe ; - quant à être détecté par un anti-virus, là n'est pas la question , - et je t'ai livré des liens pour y remédier sans passer nécessairement par anti-virus, par exemple < http://forum.malekal.com/ftopic3350.php > . - Et je ne vois qu'un pare-feu pour t'aider à protéger ton PC ( j'ai Kis6 ). Je t'ai proposé KERIO. 2°- Quant au choix de nod32, c'est ton choix; donc c'est le meilleur. Mais je crois que le couple Antivir/ProcessGuard t'aurait épargné ce souci que je partage par la force des choses. 3°- Maintenant, un peu de natation; ça me fera du bien, je suis natif des Poissons ! -Tu me demandes « Enfin, pour Trojan.Icqsmiley.E 1 je ne voit pas ou tu la trouvé, (veut tu me dire ou tu l'a trouvé?) » -Réponse : Je disais « relance un ScanOnlineBitDefender et tenter de saisir la localisation de ce Trojan.Icqsmiley.E 1 que la précédente analyse avait détectée » -J'ajoute que tu donnes la réponse toi-même « mais je veut te dire que l'autre jour antivir l'a détecter et il l'a supprimé mais je ne comprend pas pourquoi Bitdefender lui a détecter. » ( donc, il n'y a pas que KAV ou BitDefender qui le détectent ) ;) -Mais je ne trouve pas cet ancien log Antivir "de l'autre jour" pour le savoir ; et je ne vois pas le log BitDefender pour pouvoir te donner des explications. - C'est pourquoi je t'ai très clairement demandé de relancer ScanOnline chez Bitdefender ... mais ce n'est pas une obligation ( comment le pourrais-je ? ). 4°- Accepterais-tu ( en plus de BitDefender ) de tester ceci SVP ? Merci. télécharger directement le .exe ici : < http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe > Clique sur navilog1.exe et enregistre-le sur ton bureau. Ensuite double clique sur "Navilog1.exe " pour lancer l'installation. Une fois l'installation terminée, le fix s'exécutera automatiquement. (Si ce n'est pas le cas, vas dans le poste de travail, en double-cliquant sur le fichier Navilog1.bat se trouvant dans %program files%Navilog1). Laisse-toi guider. Au menu principal, choisis 1 et valide. (ne fais pas le choix 2,3 ou 4 sans notre avis/accord) Patiente jusqu'au message : *** Analyse Termine le ..... *** Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir. Copie-colle l'intégralité dans une réponse. Referme le bloc-notes. Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt) Merci Bonne soirée Al.

badidou · Answer

salut mes amis j'ai un probleme avec le virus antihost.exe + ahr.exe je demande de l'aide...j'arrive pas a suisvre la facon de les enlever ....y'a t'il un logiciel qui elimine tout sans passer par ces procedures ....je maitrise pas ...merci....voici le rapport par hijackthis :

--------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 00:42:18, on 07/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\MSI\Bluetooth Software\bin\btwdins.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\FlashGet\FlashGet.exe
C:\PROGRA~1\Grisoft\AVG7\avgwb.dat
C:\Downloads\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/content/public/choosecountry.aspx?c=us&l=en&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dell.com/content/public/choosecountry.aspx?c=us&l=en&s=gen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/fr-fr/windows?Country=00&BrandID=msmsgs&INI=WL_Messengerv1_1.ini&Other=SearchTerm%3d81000378%26H_APP%3dWindows%2520Live%2520Messenger%26S_Text%3dPour%2520obtenir%2520de%2520l%27aide%2520sur%2520Windows%2520Live%2520Messenger%252C%2520s%25E9lectionnez%2520une%2520rubrique%2520%253A%25A0%26ContactUs%3d%26v4%3dDH_FREE&Version=8.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 66.98.136.25 auto.search.msn.com
O1 - Hosts: 66.98.136.25 auto.search.msn.es
O1 - Hosts: 66.98.136.25 auto.search.msn.com
O1 - Hosts: 66.98.136.25 auto.search.msn.es
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32cmoldom.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: (no name) - {634C7583-74C6-4FEF-BD06-9721761A6815} - C:\WINDOWS\system32\cbxyaby.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D25A194C-474B-4024-95A5-6DD363762139} - C:\WINDOWS\system32\vturq.dll (file missing)
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Flashget] "C:\Program Files\FlashGet\FlashGet.exe" /min
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Vimicro USB PC Camera (VC0305)
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\system32\ircvilcl.dll",forkonce
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O4 - Global Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - 
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file://C:\Program Files\Luxor\Images\armhelper.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{6613AD1A-8BEB-492A-A897-CBFFB6CBD686}: NameServer = 208.67.222.222 193.55.10.102
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: cbxyaby - cbxyaby.dll (file missing)
O20 - Winlogon Notify: vturq - C:\WINDOWS\system32\vturq.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

afideg · Answer

Salut badidou, C'est mal de squatter le topic inaché d'un autre internaute ! C'est encore mieux de s'inscrire sur le forum. Guide du forum < ccmforum > Inscription CCM < inscription > Un réponse à ton souci est détaillée au post # 8 Mais je pense qu'il y a d'autres problèmes en sus. A)- Il faut nettoyer tes clefs USB/disques dur externes, (pour cela il faut qu'ils soient branchés): 1°- SURTOUT ne pas double-cliquer sur le disque dans le poste de travail * Ouvre le poste de travail * Clic sur le menu « outils » en haut à droite puis « options des dossiers » * Dans la nouvelle fenêtre, clic sur l'onglet « Affichage » en haut * Coche dans la liste "Afficher les fichiers cachés" * Décoche "masquer les fichiers protégés du système d’exploitation (recommandée)" * Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte, et valide. * Ouvre le poste de travail * Pour chaque disque dans le poste de travail : Fais un clic droit sur le disque dur - surtout ne double-clic pas dessus!!! * Choisis "ouvrir" dans le menu déroulant. * Cherche un fichier « autorun.inf » et des fichiers : « Adober.exe » ou « RavMonE.exe » ou « MS32DLL.DLL.VBS » ou « autorun.vbs » "antihost.exe" ou "ahr.exe" * Si présents, supprime-les en faisant un "clic droit" puis "supprimer". * Répétez l'opération sur tous les disques se trouvant dans le poste de travail (pour cela il faut qu'ils soient branchés). 2°- Télécharge Flash_disinfector de sUBs < http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe > et execute-le , (pour cela il faut que les disques amovibles soient branchés) . Si ton antivirus fait une alerte, désactive-le. (Si tu trouves un rapport, poste-le). Ensuite supprime ce programme ==> vers corbeille, et vide-la. B))- Télécharge VundoFix.exe (par Atribune) sur ton Bureau: http://www.atribune.org/public-beta/VundoFix.exe * Double-clique VundoFix.exe afin de le lancer * Clique sur le bouton Scan for Vundo * Lorsque le scan est complété, clique sur le bouton Remove Vundo * Une invite te demandera si tu veux supprimer les fichiers, clique YES * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK * Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo". C)))- On va vérifier s'il y a d'autres trojans & malwares. Continue avec ceci SVP 1)- •- Télécharge « clean.zip » http://www.malekal.com/download/clean.zip •- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ". < http://img227.imageshack.us/img227/9384/screenshot149ih1.gif > 2)- Télécharge SDFix sur ton bureau : < http://downloads.andymanchesta.com/RemovalTools/SDFix.exe > 3)- Redémarre en mode sans échec. Tutos: Comment faire pour... à la lettre C < https://forum.pcastuces.com/default.asp > ( note bien ce que tu as à faire, parce que tu n'auras plus accès à IE ni à CCM durant cette procédure ). 4)- Analyses •- Ouvre le dossier « clean » qui se trouve sur ton bureau. - Double-clic sur « clean.cmd ». Une fenêtre noire va apparaître, suis les consignes < http://img483.imageshack.us/img483/6285/screenshot210io7.gif > Choisis l’option 2. Clean va travailler. Il va produire un rapport. •- (Double clique sur l'icône SDFix.exe > [Exécuter] > [Install] > Ouvre le dossier « SDFix », qui vient d'être créé dans le répertoire C:\ > (créer un raccourci sur le bureau) Clic droit sur l'icône SDFix.exe > "extraire ici" > ouvrir le dossier "SDFix" apparu sur le bureau > double-clic sur "RunThis.bat" de SDFix Tape Y pour lancer le script. Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire Presse une touche pour redémarrer en mode normal Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche 5) Rapports: - Poste qui se trouve ici C:\rapport_clean.txt. (- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. ) - Ouvre le "dossier SDFix" et copie/colle ici le contenu du fichier "Report.txt" - ... ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse 6)- Termine par scan kaspersky < https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr > Clic sur l'image Kaspersky Online Scanner Clic sur "J'accepte" Installe le ActiveX Tu attends que la mise à jour se termine, une fois terminé, clic sur "Suivant" Clic sur "Paramètres d'analyse " Coche la case "Étendue" > [Ok] Clic sur "Poste de travail" pour faire un "scan complet " Une fois le scan fini à 100%, clic sur « Enregistrer rapport sous... » Enregistrer le rapport au format .txt (en nom tu mets rapport ou ce que tu veux et en type tu choisis fichier texte (*.txt) Tu ouvres le fichier que tu viens de sauvegarder, copie et colle sur le forum. Merci Al.

afideg · Answer

Salut badidou,

Il serait temps de prendre au sérieux la mauvaise santé de ton PC ( à supposer que ce soit bien le tien ).

En effet, plein de misères dont également peut-être HbTools quelque part.
Clic "demarrer" > "panneau de configuration" > "ajout/suppr. de programmes" et dans la liste, vérifie la présence de: HbTools ;   si ce programme est présent désinstalle-le.
Il faudra alors supprimer ces espions :
O1 - Hosts: 66.98.136.25 auto.search.msn.com 
O1 - Hosts: 66.98.136.25 auto.search.msn.es 
O1 - Hosts: 66.98.136.25 auto.search.msn.com 
O1 - Hosts: 66.98.136.25 auto.search.msn.es 

C'est toi qui vois .
Fais d'abord complètement ce qui a été demandé. Merci.
Bonne soirée et à +...
Al.

badidou · Answer

VOILA CHER  AFIDEG

j'ai suivi tes conseils et voici le rapport de vundofix que j'ai actionner 3 fois et celui de hijackthis....a propos je n'ai pas hbtools sur mon ordi 

VundoFix V6.5.4

Checking Java version...

Java version is 1.4.2.3
Old versions of java are exploitable and should be removed.

Scan started at 21:21:06 07/07/2007

Listing files found while scanning....

C:\windows\system32\ircvilcl.dll
C:\WINDOWS\system32\lclivcri.ini
C:\WINDOWS\system32cmoldom.dll
C:\WINDOWS\system32\vturq.dll

Beginning removal...

 Attempting to delete C:\windows\system32\ircvilcl.dll
C:\windows\system32\ircvilcl.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\lclivcri.ini
C:\WINDOWS\system32\lclivcri.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32cmoldom.dll
C:\WINDOWS\system32cmoldom.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.5.4

Checking Java version...

Java version is 1.4.2.3
Old versions of java are exploitable and should be removed.

Scan started at 21:31:31 07/07/2007

Listing files found while scanning....

C:\WINDOWS\system32\qrutv.bak1
C:\WINDOWS\system32\qrutv.bak2
C:\WINDOWS\system32\qrutv.ini
C:\WINDOWS\system32\vturq.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\qrutv.bak1
C:\WINDOWS\system32\qrutv.bak1 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\qrutv.bak2
C:\WINDOWS\system32\qrutv.bak2 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\qrutv.ini
C:\WINDOWS\system32\qrutv.ini Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.5.4

Checking Java version...

Java version is 1.4.2.3
Old versions of java are exploitable and should be removed.

Scan started at 21:43:37 07/07/2007

Listing files found while scanning....

C:\WINDOWS\system32\vturq.dll

hijackthis :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 00:16:39, on 08/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32undll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\VM_STI.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSI\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\MSI\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\MSI\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\FlashGet\flashget.exe
C:\Downloads\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/content/public/choosecountry.aspx?c=us&l=en&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dell.com/content/public/choosecountry.aspx?c=us&l=en&s=gen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/fr-fr/windows?Country=00&BrandID=msmsgs&INI=WL_Messengerv1_1.ini&Other=SearchTerm%3d81000378%26H_APP%3dWindows%2520Live%2520Messenger%26S_Text%3dPour%2520obtenir%2520de%2520l%27aide%2520sur%2520Windows%2520Live%2520Messenger%252C%2520s%25E9lectionnez%2520une%2520rubrique%2520%253A%25A0%26ContactUs%3d%26v4%3dDH_FREE&Version=8.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: (no name) - {634C7583-74C6-4FEF-BD06-9721761A6815} - C:\WINDOWS\system32\cbxyaby.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D25A194C-474B-4024-95A5-6DD363762139} - C:\WINDOWS\system32\vturq.dll (file missing)
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Vimicro USB PC Camera (VC0305)
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O4 - Global Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - 
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file://C:\Program Files\Luxor\Images\armhelper.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{6613AD1A-8BEB-492A-A897-CBFFB6CBD686}: NameServer = 208.67.222.222 193.55.10.102
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: cbxyaby - cbxyaby.dll (file missing)
O20 - Winlogon Notify: vturq - C:\WINDOWS\system32\vturq.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

afideg · Answer

Bonsoir badidou71 •- As-tu réalisé le Post# 12 § A) ?? •- Est-ce toi qui a supprimé : O1 - Hosts: 66.98.136.25 auto.search.msn.com O1 - Hosts: 66.98.136.25 auto.search.msn.es O1 - Hosts: 66.98.136.25 auto.search.msn.com O1 - Hosts: 66.98.136.25 auto.search.msn.es Si oui, comment as-tu fait ? •- Où est le rapport Kaspersky ? Fais ceci SVP ( ne traîne pas ) Avant tout, relance VundoFix 2 à 3 fois de suite. Attention, poste les rapports au fur et à mesure. Ensuite : 1°- - Télécharge DrWeb < ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe > -une fois téléchargé clique dessus le programme va se lancer. -une fois lancé clique sur: tous les disques durs ( branche tous les disques ) -une fois fini mets tous ce qu'il a trouvé en quarantaine 4eme icône à gauche -clique sur la petite cible en haut a gauche -une autre fenêtre vas s'ouvrir c'est le rapport. -clique sur /fichier/enregistre , le rapport est enregistre puis post le. 2°- Télécharge Combofix.exe (par sUBs) sur ton Bureau < http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe > Double clique sur l'icône combofix.exe et suis les invites. Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse + le rapport C:\QOOBOX\---> Quarantine avec un nouveau HijackThis. Merci Al.

badidou71 · Answer

Salut mon ami En se qui concerne ces fichier : O1 - Hosts: 66.98.136.25 auto.search.msn.com O1 - Hosts: 66.98.136.25 auto.search.msn.es O1 - Hosts: 66.98.136.25 auto.search.msn.com O1 - Hosts: 66.98.136.25 auto.search.msn.es C’est avec hijackthis..je les ai fixer…fixcheked Voici le rapport de vundo : Scan started at 13:55:45 10/07/2007 Listing files found while scanning.... C:\WINDOWS\system32\vturq.dll Beginning removal... Performing Repairs to the registry. Done! VundoFix V6.5.4 Checking Java version... Java version is 1.4.2.3 Old versions of java are exploitable and should be removed. Scan started at 13:58:58 10/07/2007 Listing files found while scanning.... C:\WINDOWS\system32\vturq.dll Beginning removal... Performing Repairs to the registry. Done! VundoFix V6.5.4 Checking Java version... Java version is 1.4.2.3 Old versions of java are exploitable and should be removed. Scan started at 14:56:36 10/07/2007 Listing files found while scanning.... C:\WINDOWS\system32\vturq.dll Pour dr web ou si tu veux cureit.exe voici le rapport : Process.exe C:\SDFix\apps Tool.Prockill Quarantaine. A0012627.dll C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP32 Trojan.Virtumod Supprimé. A0013216.dll C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP38 Trojan.Virtumod Supprimé. A0013218.dll C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP38 Trojan.Virtumod Supprimé. A0013398.exe C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP38 Tool.ProcessKill.7 Quarantaine. A0013424.exe C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP38 Tool.Prockill Quarantaine. ircvilcl.dll.bad C:\VundoFix Backups Trojan.Virtumod Supprimé. rcmoldom.dll.bad C:\VundoFix Backups Trojan.Virtumod Supprimé. Et le rapport de combofix.exe : "YAHIAOUI" - 2007-07-10 14:58:09 - ComboFix 07-07-09.7 - Service Pack 2 ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\LEGACY_DOMAINSERVICE ((((((((((((((((((((((((( Files Created from 2007-06-10 to 2007-07-10 ))))))))))))))))))))))))))))))) 2007-07-10 14:57 51,200 --a------ C:\WINDOWS ircmd.exe 2007-07-10 14:03 d-------- C:\DOCUME~1\YAHIAOUI\DoctorWeb 2007-07-09 19:42 d-------- C:\Program Files\PandoBar 2007-07-09 19:38 d-------- C:\Program Files\Pando Networks 2007-07-09 03:00 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe 2007-07-09 03:00 d-------- C:\WINDOWS\system32\PreInstall 2007-07-08 22:24 d-------- C:\Program Files\YouTUBE (TM) movie downloader 2007-07-08 01:11 d-------- C:\WINDOWS\ERUNT 2007-07-07 21:21 d-------- C:\VundoFix Backups 2007-07-07 21:19 26,112 --a------ C:\WINDOWS\system32 ircmd.exe 2007-07-07 01:10 d-------- C:\WINDOWS\pss 2007-07-07 00:11 d-a------ C:\autorun.inf 2007-07-05 14:02 d-------- C:\Program Files\IDA 2007-07-05 14:02 d-------- C:\DOCUME~1\YAHIAOUI\APPLIC~1\Internet Download Accelerator 2007-07-05 01:42 d-------- C:\Program Files\FunPause Atlantis 2007-07-04 21:52 d-------- C:\Program Files\TryMedia 2007-07-04 21:52 d-------- C:\Program Files\PopCap Games 2007-07-04 21:51 0 --a------ C:\WINDOWS\popcinfo.dat 2007-07-04 18:11 d-a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP 2007-07-04 18:09 d-------- C:\Program Files\Luxor 2007-07-04 18:09 d-------- C:\DOCUME~1\YAHIAOUI\APPLIC~1\SpinTop 2007-07-04 16:43 d-------- C:\DOCUME~1\YAHIAOUI\Saved Games 2007-07-04 16:42 d-------- C:\DOCUME~1\YAHIAOUI\APPLIC~1\iWin 2007-07-04 16:41 d-------- C:\Program Files\ReflexiveArcade 2007-07-04 16:41 d-------- C:\Program Files\Jewel Quest 2 2007-07-04 00:59 d-------- C:\Program Files\Real 2007-07-04 00:59 d-------- C:\Program Files\Fichiers communs\Real 2007-07-04 00:58 d-------- C:\DOCUME~1\YAHIAOUI\APPLIC~1\Real 2007-07-01 10:46 17,920 --a------ C:\WINDOWS\system32\mdimon.dll 2007-07-01 10:44 d-------- C:\WINDOWS\SHELLNEW 2007-07-01 10:44 d-------- C:\Program Files\Microsoft.NET 2007-07-01 10:44 d-------- C:\Program Files\Microsoft Works 2007-07-01 10:42 dr-h----- C:\MSOCache 2007-06-23 02:04 73,216 --a------ C:\WINDOWS\ST6UNST.EXE 2007-06-23 02:04 286,720 --------- C:\WINDOWS\Setup1.exe 2007-06-17 22:05 60,273 --a------ C:\WINDOWS\system32\pthreadGC2.dll 2007-06-17 22:05 10,752 --a------ C:\WINDOWS\system32\ff_vfw.dll 2007-06-17 22:05 d-------- C:\Program Files\ffdshow 2007-06-17 21:21 d-------- C:\Program Files\Lonely Cat Games 2007-06-17 00:40 d-------- C:\Program Files\Fichiers communs\LogoManager 2007-06-11 19:09 d-------- C:\WINDOWS\system32\appmgmt 2007-06-11 19:09 d-------- C:\WINDOWS\CatRoot 2007-06-11 19:09 d-------- C:\Program Files\Vimicro 2007-06-11 19:09 d-------- C:\DOCUME~1\YAHIAOUI\Bluetooth Software 2007-06-11 19:08 d--h----- C:\DOCUME~1\YAHIAOUI\Voisinage r‚seau 2007-06-11 19:08 d--h----- C:\DOCUME~1\YAHIAOUI\Voisinage d'impression 2007-06-11 19:08 d-------- C:\WINDOWS\system32\SoftwareDistribution 2007-06-11 19:08 d-------- C:\WINDOWS\system32\InsFiles 2007-06-11 19:08 d-------- C:\WINDOWS\system32\DRVSTORE 2007-06-11 19:08 d-------- C:\Program Files\Fichiers communs\Skype 2007-06-11 19:08 d-------- C:\DOCUME~1\YAHIAOUI\Bureau 2007-06-11 19:08 d-------- C:\DOCUME~1\YAHIAOUI\APPLIC~1\CyberLink 2007-06-11 18:53 524,288 --ah----- C:\DOCUME~1\YAHIAO~1.DGM\NTUSER.DAT 2007-06-11 18:53 d-------- C:\DOCUME~1\YAHIAO~1.DGM\ModŠles 2007-06-11 18:53 d-------- C:\DOCUME~1\YAHIAO~1.DGM\Favoris 2007-06-11 18:48 2,359,296 --a------ C:\DOCUME~1\YAHIAOUI tuser.dat 2007-06-11 12:44 d-------- C:\Downloads 2007-06-11 12:32 d-------- C:\Program Files\RegistryFix 2007-06-10 19:16 85,376 --a------ C:\WINDOWS\system32\drivers\NABTSFEC.sys 2007-06-10 19:16 54,784 --a------ C:\WINDOWS\system32\vfwwdm32.dll 2007-06-10 19:16 5,504 --a------ C:\WINDOWS\system32\drivers\MSTEE.sys 2007-06-10 19:16 19,328 --a------ C:\WINDOWS\system32\drivers\WSTCODEC.SYS 2007-06-10 19:16 17,024 --a------ C:\WINDOWS\system32\drivers\CCDECODE.sys 2007-06-10 19:16 15,360 --a------ C:\WINDOWS\system32\drivers\StreamIP.sys 2007-06-10 19:16 11,136 --a------ C:\WINDOWS\system32\drivers\SLIP.sys 2007-06-10 19:16 10,880 --a------ C:\WINDOWS\system32\drivers\NdisIP.sys 2007-06-10 19:06 91,263 --a------ C:\WINDOWS\system32\drivers\usbVM31b.sys 2007-06-10 19:06 61,440 --a------ C:\WINDOWS\system32\VM31bSTI.dll 2007-06-10 19:06 53,248 --a------ C:\WINDOWS\Vm_sti.exe 2007-06-10 19:06 53,248 --a------ C:\WINDOWS\StillCap.exe 2007-06-10 19:06 49,152 --a------ C:\WINDOWS\amcap.exe 2007-06-10 19:06 307,200 --a------ C:\WINDOWS\vidcap32.Exe 2007-06-10 19:06 24,576 --a------ C:\WINDOWS\system32\RunSetup.dll 2007-06-10 19:06 24,576 --a------ C:\WINDOWS\RunSetup.dll 2007-06-10 19:06 147,456 --a------ C:\WINDOWS\VMCap.exe 2007-06-10 18:49 d-------- C:\Program Files\MSI 2007-06-10 18:25 d---s---- C:\DOCUME~1\YAHIAOUI\UserData 2007-06-10 18:13 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Yahoo! Companion 2007-06-10 17:59 d-------- C:\Program Files\Lavalys 2007-06-10 17:57 95,872 --a------ C:\WINDOWS\system32\AvastSS.scr 2007-06-10 17:57 94,552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-06-10 17:57 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-06-10 17:57 745,600 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-06-10 17:57 43,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-06-10 17:57 26,888 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-06-10 17:57 23,416 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-06-10 17:57 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll 2007-06-10 17:57 d-------- C:\Program Files\Yahoo! 2007-06-10 17:57 d-------- C:\Program Files\CCleaner 2007-06-10 17:57 d-------- C:\Program Files\Alwil Software 2007-06-10 17:56 d-------- C:\DOCUME~1\YAHIAOUI\APPLIC~1\Azureus 2007-06-10 17:55 d-------- C:\Program Files\Azureus 2007-06-10 17:14 d-------- C:\DOCUME~1\YAHIAOUI\APPLIC~1\vlc 2007-06-10 17:13 d-------- C:\Program Files\VideoLAN 2007-06-10 17:10 d-------- C:\Program Files\FileZilla 2007-06-10 17:06 d-------- C:\DOCUME~1\YAHIAOUI\APPLIC~1\Skype 2007-06-10 17:01 d-------- C:\Program Files\Skype 2007-06-10 17:00 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype 2007-06-10 16:57 d-------- C:\DOCUME~1\YAHIAOUI\Contacts 2007-06-10 16:56 d-------- C:\Program Files\MSN Messenger (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-11 17:50:56 -------- d--h--w C:\Program Files\InstallShield Installation Information 2007-06-11 13:19:09 64,484 ----a-w C:\WINDOWS\system32\perfc00C.dat 2007-06-11 13:19:09 446,566 ----a-w C:\WINDOWS\system32\perfh00C.dat 2007-06-10 18:06:14 -------- d-----w C:\Program Files\Fichiers communs\InstallShield 2007-04-16 21:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll 2007-04-16 21:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-04-16 21:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-04-16 21:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-04-16 21:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-04-16 21:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-04-16 21:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-04-16 21:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}] 2005-12-07 14:06 399424 --a------ C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] 2006-10-22 22:08 62080 --a------ C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}] 2007-05-28 13:52 722472 --a------ C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}] 2007-05-16 10:03 94308 --a------ C:\Program Files\FlashGet\jccatch.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{38D3FE60-3D53-4F37-BB0E-C7A97A26A156}] 2007-06-18 12:52 569344 --a------ C:\Program Files\Pando Networks\Pando\PandoIEPlugin.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{634C7583-74C6-4FEF-BD06-9721761A6815}] C:\WINDOWS\system32\cbxyaby.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D25A194C-474B-4024-95A5-6DD363762139}] C:\WINDOWS\system32\vturq.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E3EA4FD1-CADE-4ae5-84F7-086EEE888BE4}] 2007-07-09 19:42 266240 --a------ C:\Program Files\PandoBar\bar\1.bin\PANDOBAR.DLL [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F156768E-81EF-470C-9057-481BA8380DBA}] Et enfin celui de hijackthis : Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 15:10:29, on 10/07/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\Program Files\MSI\Bluetooth Software\bin\btwdins.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Analog Devices\Core\smax4pnp.exe C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe C:\WINDOWS\system32 undll32.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\MSI\Bluetooth Software\BTTray.exe C:\PROGRA~1\MSI\BLUETO~1\BTSTAC~1.EXE C:\WINDOWS\system32 otepad.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE C:\Program Files\FlashGet\flashget.exe C:\Downloads\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/content/public/choosecountry.aspx?c=us&l=en&s=gen R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/fr-fr/windows?Country=00&BrandID=msmsgs&INI=WL_Messengerv1_1.ini&Other=SearchTerm%3d81000378%26H_APP%3dWindows%2520Live%2520Messenger%26S_Text%3dPour%2520obtenir%2520de%2520l%27aide%2520sur%2520Windows%2520Live%2520Messenger%252C%2520s%25E9lectionnez%2520une%2520rubrique%2520%253A%25A0%26ContactUs%3d%26v4%3dDH_FREE&Version=8.1 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Program Files\Pando Networks\Pando\PandoIEPlugin.dll O2 - BHO: (no name) - {634C7583-74C6-4FEF-BD06-9721761A6815} - C:\WINDOWS\system32\cbxyaby.dll (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {D25A194C-474B-4024-95A5-6DD363762139} - C:\WINDOWS\system32\vturq.dll (file missing) O2 - BHO: Pando Toolbar BHO - {E3EA4FD1-CADE-4ae5-84F7-086EEE888BE4} - C:\Program Files\PandoBar\bar\1.bin\PANDOBAR.DLL O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Pando Toolbar - {E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4} - C:\Program Files\PandoBar\bar\1.bin\PANDOBAR.DLL O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader eader_sl.exe O4 - Global Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\MSI\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin pjpi142_03.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin pjpi142_03.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file) O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\MSI\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\MSI\Bluetooth Software\btsendto_ie.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file://C:\Program Files\Luxor\Images\armhelper.ocx O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: cbxyaby - cbxyaby.dll (file missing) O20 - Winlogon Notify: vturq - C:\WINDOWS\system32\vturq.dll (file missing) O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\MSI\Bluetooth Software\bin\btwdins.exe O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

afideg · Answer

Bonsoir badidou71 Patiente, je viens de rentrer. 1°- Télécharge HostsXpert < http://www.funkytoad.com/content/view/13/31/ > sur ton bureau. Dézippe-le sur le bureau; tu obtiens le dossier jaune HostsXpert. Ouvre-le, lance HostsXpert.exe et clique sur "Restore Microsoft's Hosts File". 2°- Je lis ceci : O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin pjpi142_03.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin pjpi142_03.dll -Ce qui semble vouloir dire que ta console Java n'est pas à jour ! -Pour vérifier et corriger cela, vas chez Java Sun < https://www.java.com/fr/download/manual.jsp > et télécharge la dernière version. -Après installation et redémarrage, va dans le panneau de configuration/Ajouter-Supprimer des programmes afin de désinstaller l'ancienne version, (et reste aussi à ôter dans "program files" dans Java le vieux dossier qui n'est pas ôter lors de la désinstallation ) ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans cette ancienne version. -Retourne alors chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. 3°- Pour FlashJet, je lis ceci : « - Selon clubic.com, il comporterait un adware. - Il faut dire que lors de l'installation, il propose d'installer FlashGet shareurl service et il fallait répondre par la négative » . C'est à toi de voir. Est-il vital pour toi ? Sinon, je préconiserais de le désinstaller et de fixer ces lignes HJT : O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe 4°- Idem pour PandoBar, le désinstaller et de fixer ces lignes HJT O2 - BHO: Pando Toolbar BHO - {E3EA4FD1-CADE-4ae5-84F7-086EEE888BE4} - C:\Program Files\PandoBar\bar\1.bin\PANDOBAR.DLL O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized 5°- Ensuite pour FlashJet et PandoBar, faire ceci : - "Démarrer" > "Panneau de configuration" > dans "Ajout/Suppr de programmes" supprimer FlashJet et PandoBar - "Démarrer" > "Poste de travail" > C:\ > "Program Files" et rechercher C:\Program Files\PandoBar C:\Program Files\Pando Networks C:\Program Files\FlashGet ... et supprimer les dossiers en gras. Fais déjà ça SVP, j'arrive avec le reste après être passé à table. Merci Al.

afideg · Answer

badidou71 

Pas de nouvelle ?
Je passe bientôt au lit .
Allo?

Il serait temps; ton PC est une salle d'attente d'hôpital !

Al.

boujadi · Answer

Salut badidou71,

J'étais un peut pris ces derniers jours je n'est pas pu continuer avec afideg (je le remercie de tout mon coeur pour son aide)

voila une procédure qui éliminera le virus antihost.exe (je pense que monsieur afideg n'est pas d'accord):

Installe le NOD32 car les derniers mises à jours permettent de protéger votre PC de antihost.exe et ahr.exe

c'est le seul antivirus qui m'a sorti de ce problème.

aller c trop tard je vais quitter maintenant, bon chance et merci une autre fois pour monsieur afideg

afideg · Answer

Bonjour boujadi,

Content pour toi, et surtout pour ton PC.

Je peux te rappeler ce que tu écrivais toi-même post # 9 : « Maintenant pour antihost.exe et ahr.exe je t'informe que dans ce monde il n'y a que Kaspersky et bitdefender qui les détectes mais ça ne veux pas dire que nod32 n'est pas l'un des meilleurs antivirus. » 

Je n'ai jamais dit de mal sur Nod32; et je suis assez satisfait que cet échange de points de vue t'aie permis de penser à mettre à jour Nod32. Et si tu n'y penses pas, heureusement que Nod32 y pense pour toi. 

Quant à ceci « NOD32 car les derniers mises à jours permettent de protéger votre PC de antihost.exe et ahr.exe » , tu te trompes une fois encore de cible puisqu'aux postes # 8 et 10, j'avais reproché à Nessus, et non pas à Nod32 de les avoir laissé passer ( antihost.exe et ahr.exe ).

Il reste évident qu'en ton absence, ce topic a tourné court.
C'est facile aujourd'hui HANNIBAL de venir faire le ronflant .

As-tu analysé tous tes disques amovibles ?

Merci d'avoir donné des "nouvelles".
Bonne journée tout de même.
Al.

boujadi · Answer

Merci cher  badidou71 pour le lien.
Monsieur Afideg merci pour vos commentaires :
"et je suis assez satisfait que cet échange de points de vue t'aie permis de penser à mettre à jour Nod32. Et si tu n'y penses pas, heureusement que Nod32 y pense pour toi"
"C'est facile aujourd'hui HANNIBAL de venir faire le ronflant ."


Mais je vous informe que je ne suis pas une blonde, je suis un homme Tunisien de race blanche peut être bien comme vous.

Pour Nessus je vous informe que je ne l'est jamais installé dans mon PC dont il y a Windows SP1 (comme vous le saviez), et ça se voit dans l'extension du fichier (.sh) qui est une extension pour Linux, Mais j'utilise Nessus dans l'institut ou j'étudie.
Pour le firewall je possède deux, le premier qui est un firewall intégré dans un modem routeur, et le deuxième est le firewall de Windows.

enfin je vous promet de ne plus posté un message dans cet sujet afin que vous soyez calme avec badidou71.
Et Désolé.

afideg · Answer

As salamo aleikoom boujadi & badidou71, Pour boujadi , 1°- Is mi Afideg. - Me dire Monsieur Afideg laisse penser à de l'arrogance ( c'est ce que j'ai cru en premier réflexe ) ou à la moquerie. Je ne mérite ni l'une ni l'autre. J'ai essayé de t'aider avec mes moyens, ce qui également m'autorise à apprendre autant que je donne. Je regrette que ton topic ait été si vite abandonné. C'est ton choix. 2°- Je regrette que tu n'aies pas répondu à ma dernière question qui était « As-tu analysé tous tes disques amovibles ? » - Je regrette que tu n'aies pas donné suite au post # 8 contenant deux liens déterminants pour ton problème; à savoir : « antihost.exe < http://www.malekal.com/Worm.Win32.Delf.ca.php > Worm.Win32.Delf.ca est un vers qui se propage par disques amovibles . Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système. Tu trouveras un lien explicatif sur la propagation de ces infection sur ce lien : < http://forum.malekal.com/ftopic3350.php > Il peut aussi empêcher l'ouverture des partitions C; D etc O4 - HKLM\..\Run: [antihost] C:\WINDOWS\system32\ahr.exe ahr.exe = ver W32/Sdbot-SV est un membre de la famille de vers W32/Sdbot-Fam avec des fonctionnalités de porte dérobée via des canaux IRC. W32/Sdbot-SV peut arriver dans une archive auto-extractible avec le nom de fichier buds.exe. Lis également ce topic pour l'avenir < http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/virus-sujet_29187_1.htm > » 3°- Quant à ce que tu écris: « je vous informe que je ne suis pas une blonde, je suis un homme Tunisien de race blanche peut être bien comme vous » , je te trouve bien injuste et stupide d'ouvrir un tel débat qui n'a pas lieu d'être; surtout pas sur un forum Security ! Sache cependant que ma nièce a épousé un tunisien de Tunis, et que donc tes suspicions sont infondées; et que chez moi, la famille est respectée. - Je suis content d'avoir pu contribuer à la désinfection de ton PC, en plus que de t'avoir éclairé sur ces infections de disques amovibles ( qui ne se limitent pas à "antihost.exe" ou à "ahr.exe" ) . Pour badidou71, 1°- Shukran pour le lien < https://www.startimes.com/f.aspx?t=4654413 > laissé pour boujadi ; mais il ressemble à ceux de Malekal_morte cités plus haut. Et comme je viens de le préciser, cette infection ne se limite pas à "antihost.exe" ou à "ahr.exe" . Aussi, pour ton DD externe, quel est exactement le problème ? L'accès ? "Clic-droit" puis "ouvrir" qui provoque l'apparition d'une fenêtre "Ouvrir avec" ? - Si c'est bien de celà dont il s'agit, il y a de forte chance qu'un fichier "autorun.inf" traîne encore sur ton DD externe. Dans le cas d'une infection, le fichier "autorun.inf" est sensé ( dès que tu fais double-clic sur l'icône de ton DD, ou avec un clic droit > ouvrir ) provoquer dans ton cas l'exécution automatique d'un autre fichier (sûrement un *.exe (lui aussi présent sur le DD). Si le fichier - sensé être exécuté- n'existe plus (supprimé par ton AV ou toi) alors Windows ne le trouvant pas, détectera l'anomalie et te demandera à chaque tentative pour l'ouvrir, avec quel programme de remplacement tu souhaites le faire, d'où la fenêtre "Ouvrir avec". Avais-tu fais ce que je demandais le samedi 7 juillet 2007 post #12 A) 1° et 2° , ainsi qu'au post #19 ? OUI ou NON ? Avec tes fichiers/dossiers cachés de Windows toujours rendus affichés, recherche ce fichier Autorun.inf, si tu le trouves, ouvre-le et copie/colle ce qu'il contient et poste-le ici. 2°- Et puisqu'il faut avancer dans la désinfection, il faut faire ceci: A)- "Démarrer"> clic droit sur "Poste de Travail"> "Propriétés"> onglet "Restauration du système"> cocher la case "Désactiver la Restauration du système" > [Appliquer] >OK Tu redémarres le PC. Tu refais la même chose, mais à la fin, tu décoches la case "Désactiver la Restauration du système" > [Appliquer] > OK B)- Redémarre le PC en mode sans échec, et désactive éventuellemnt le TeaTimer de Spybot S&D si tu l'as. - Relance HJT « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) coche la case devant ces lignes: O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll O2 - BHO: (no name) - {634C7583-74C6-4FEF-BD06-9721761A6815} - C:\WINDOWS\system32\cbxyaby.dll (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {D25A194C-474B-4024-95A5-6DD363762139} - C:\WINDOWS\system32\vturq.dll (file missing) O2 - BHO: Pando Toolbar BHO - {E3EA4FD1-CADE-4ae5-84F7-086EEE888BE4} - C:\Program Files\PandoBar\bar\1.bin\PANDOBAR.DLL O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin pjpi142_03.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin pjpi142_03.dll O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file) O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe O20 - Winlogon Notify: cbxyaby - cbxyaby.dll (file missing) O20 - Winlogon Notify: vturq - C:\WINDOWS\system32\vturq.dll (file missing) Ensuite ferme tes programmes en cours, SURTOUT LES LOGICIELs AVEC PROTECTION EN TEMPS REEL, (antivirus, tea timer, ewido, ad-watch)... ( seul HijackThis doit être ouvert ) , et ensuite Clic [Fix checked] Redémarre le PC normalement C)- Nettoyage 1)-Télécharge The Avenger par Swandog46 sur le Bureau avec ce lien: < http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ > Click sur Avenger.zip pour ouvrir le fichier; en extraire "avenger.exe" sur votre bureau 2)- Sélectionner ( mettre en surbrillance ) le texte en gras ci-dessous, et appuyer sur les touches(Ctrl+C): Registry keys to delete: HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2F364306-AA45-47B5-9F9D-39A8B94E7EF7} HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{634C7583-74C6-4FEF-BD06-9721761A6815} HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D25A194C-474B-4024-95A5-6DD363762139} Files to delete: C:\Program Files\FlashGet\jccatch.dll C:\WINDOWS\system32\cbxyaby.dll C:\WINDOWS\system32\vturq.dll C:\Program Files\FlashGet\jccatch.dll Folders to delete: C:\Program Files\FlashGet C:\Program Files\Pando Networks C:\Program Files\PandoBar 3)- Double-clic sur l'icône "avenger.exe" du bureau, puis [OK] ( sur le message qui s'affiche ). •- Sous "Script file to execute" cocher le bouton ratio devant "Input Script Manually". < http://img78.imageshack.us/img78/5258/screenshot265wz9.gif > Puis clique sur l'icône " en forme de loupe " qui va ouvrir une nouvelle fenêtre "View/edit script" Dans cette fenêtre colle le texte . Pour cela, pointer la souris dans le coin supérieur gauche de cette fenêtre, et cliquer; puis (CTL+V ) Cliquer Done Ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script Réponds "Yes" deux fois, quand demandé. 4)- The Avenger va automatiquement faire ce qui suit: Il va re-démarrer le système. Pendant le re-démarrage, il apparaîtra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL. Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaître les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt 5)- Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta réponse avec un nouveau rapport HijackThis. D)- Faire analyser ces deux fichiers (en gras) chez VirusTotal C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\fxssvc.exe a)- Assure toi d'avoir accès aux dossiers/fichiers cachés b)- Vas là :< https://www.virustotal.com/gui/ > •- sur la page qui s'affiche tu cliques sur "parcourir" •- tu suis le chemin des fichiers ( que Virustotal va analyser un par un, à ta demande; puisque tu devras recommencer la procédure "parcourir", fichier par fichier ) ) •- c'est-à-dire : C:\WINDOWS\system32\ •- quand tu as trouvé le fichier services.exe, tu fais "ouvrir" ( sur cette dernière page affichée) •- le fichier services.exe se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse •- là, tu cliques sur "send file" ( de la page de Virustotal ) •- et tu attends le résultat ( sois patiente ) •- que tu postes sur le forum DONC, tu refais la manipulation avec fxssvc.exe . Merci pour ta collaboration Essalamou 'alaikoum. Al.

afideg · Answer

( astmrar )

À noter que le rapport ComboFix du post# 18 est incomplet; ce qui m'empêche d'être précis dans la rédaction du script pour The_Avenger .

alhzn
lqd khaba

Al.

[Microsoft Word] Probleme de memoire

23 réponses

Newsletters