Trojan.win32.Agent.aoy (résolu)

Bonjour,

Mon anti vrus a détecté un virus trojan.win.32.agent.aoy suite à une vidéo qu' une personne a voulu m' envoyé sur msn.
Celà me dit que le virus a été renommé sous local setting/temp/miwrbki.exe.
Je suis donc allée voir dans les dossiers et l' ai trouvé. Je l' ai supprimé dans le dossier et dans la corbeille. Seulement, mon anti virus à présent me dit qu' il a éé renommé dans le dossier recycler sous igufbcxn.exe.Je suis allée voir, mais je pense qu' en le supprimant, c' est une chaine sans fin.
Merci de bien vouloir m' aider s' il vous plait. Salutations.

Loly.

bonjour,

1/ Télécharge et installe CCleaner
Guide d'utilisation de CleanUp! : http://mickael.barroux.free.fr/securite/ccleaner.php

Note : Lors de l'installation, sur l'écran "Options d'installation", décocher la case située devant "Ajouter la barre d'outils Yahoo! CCleaner"

Lance CCleaner puis bouton Analyse ensuite Bouton Lancer le Nettoyage

2/ Télécharge HijackThis, renomme le scanner et mets-le dans un dossier nommé hijackthis dans tes program files ! (C:\Program Files\HijackThis)

pour voir comment faire, regarde cette petite vidéo : http://mickael.barroux.free.fr/securite/preparation_hijackthis.avi

Clique alors sur "Do a system scan and save a logfile"
Le scan se fait très rapidement, puis un bloc-note apparaît
(le "logfile")
Dans ce bloc-note, va dans "Edition", puis "Selectionner Tout",
le texte est alors séléctionné, retourne dans "Edition" toujours
en laissant le texte séléctionné, et clique sur copier.
Colle le contenu ici dans ta prochaine réponse !

si tu sais pas comment faire pour scanner avec hijackthis, regarde cette petite vidéo : http://pageperso.aol.fr/balltrap34/demohijack.htm

bon après midi

Merci de m' avoir répondu naheulbeuk...

Je fais comme tu me dis.

Re-Kikou Naheulbeuk !

J' ai enfin trouver un peu de temps pour mettre en application tes précieux conseils. J' ai téléchargé ccleaner et lancé l' analyse et le netoyage.

Par contre, je suis coincée avec Hijackthis. Je l' ai téléchargé, mais je n' arrive pas à visionner la première vidéo qui explique comment renommer le scanner. Voici ce que çà me dit :

Le Lecteur Windows Media ne peut pas lire le fichier. Il est possible que le lecteur ne prenne pas en charge le type du fichier ou le codec utilisé pour la compression de ce dernier.

Merci de bien vouloir me faire part comment poursuivre, s' il te plait...

Au niveau virus, je suis envahie par toutes sortes de trojans. Des trojans de tous noms, en veux-tu en voilà. Je sens que mon ordi râme pas mal, même lorsque je tape ce message, il y a des lettres qui n' apparaissent pas. Je suis obligée de m' y reprendre à 2 fois !

Enfin voilà, c' est pas la joie.. .

Merci d' être là.

bonsoir, voici la vidéo :
http://mickael.barroux.free.fr/securite/preparation_hijackthis.wmv

bonne soirée

Voici le logfile naheulbeuk !

Logfile of HijackThis v1.99.1
Scan saved at 12:11:32, on 04/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Program\fspex.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\program\fsbwsys.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fssm32.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSMB32.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Securitoo\Av_Fw\Common\FCH32.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Securitoo\Av_Fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsav32.exe
C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Visage\PDF Printer\vspdfprsrv.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Securitoo\Av_Fw\FSGUI\ispnews.exe
C:\Program Files\Securitoo\Av_Fw\FSGUI\fsguiexe.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\vsnpstd2.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\QuickZip4\QuickZip.exe
C:\Program Files\hijackthis\scanner.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chat-land.org/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/search?q=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\system32\cquggckl.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {F3878E47-4CA2-4921-BFD9-89C735E8856A} - C:\WINDOWS\system32\jkkjg.dll
O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - C:\WINDOWS\system32\xxyxvvt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Program Files\Visage\PDF Printer\vspdfprsrv.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\Av_Fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\Securitoo\Av_Fw\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\Securitoo\Av_Fw\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\Av_Fw\Anti-Spyware\fsaswreg.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\vbjuduob.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [Livecom] "C:\PROGRA~1\Livecom\APPLIC~1\CommunicationAgent\CommunicationAgent.exe" -ICom_StartNoSplashScreen
O4 - HKCU\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Digimax Viewer 1.0.lnk = ?
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Program Files\IncrediMail\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZSzed001YYFR_ZZz(...)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBIn(...)
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by121fd.bay121.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/telecharger.php?id=2&version=
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.221.188.118:81/activex/AxisCamControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://caebmm.imgag.com/imgag/cp/install/crusher-cae.cab
O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (MediaBar) - http://sib1.od2.com/common/musicmanager/installation/MusicManagerPlugin.CAB
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: jkkjg - C:\WINDOWS\system32\jkkjg.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: xxyxvvt - C:\WINDOWS\SYSTEM32\xxyxvvt.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Securitoo Antivirus Firewall (BackWeb Plug-in - 8520111) - Unknown owner - C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\Av_Fw\backweb\8520111\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Microsoft Genuine Advantage - Unknown owner - C:\WINDOWS\system32\dllcache\winmga.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

bonjour,

suis cette procédure stp :
http://mickael.barroux.free.fr/securite/vundo.php#desinfection

puis repost moi un nouveau rapport hijackthis quand ce sera fait

bon appétit

Re naheulbeuk ! J' espère que tu as bien mangé.

Voici le rapport que m' a sorti VirtumundoBeGone :


[07/04/2007, 14:22:26] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\GENIN Linda\Bureau\VirtumundoBeGone.exe" )
[07/04/2007, 14:22:34] - Detected System Information:
[07/04/2007, 14:22:34] - Windows Version: 5.1.2600, Service Pack 2
[07/04/2007, 14:22:34] - Current Username: GENIN Linda (Admin)
[07/04/2007, 14:22:34] - Windows is in NORMAL mode.
[07/04/2007, 14:22:34] - Searching for Browser Helper Objects:
[07/04/2007, 14:22:34] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[07/04/2007, 14:22:34] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[07/04/2007, 14:22:35] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[07/04/2007, 14:22:35] - BHO 4: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[07/04/2007, 14:22:35] - BHO 5: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[07/04/2007, 14:22:35] - BHO 6: {F3878E47-4CA2-4921-BFD9-89C735E8856A} ()
[07/04/2007, 14:22:35] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/04/2007, 14:22:35] - Checking for HKLM\...\Winlogon\Notify\jkkjg
[07/04/2007, 14:22:35] - Key not found: HKLM\...\Winlogon\Notify\jkkjg, continuing.
[07/04/2007, 14:22:35] - Finished Searching Browser Helper Objects
[07/04/2007, 14:22:35] - Finishing up...
[07/04/2007, 14:22:35] - Nothing found! Exiting...

Je continue les instructions.

A tt !

Voici le combofix.txt du bloc notes :
"GENIN Linda" - 2007-07-04 14:43:49 - ComboFix 07-07-03.9 - Service Pack 2


(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\eegdmpam.exe


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOCUME~1\ALLUSE~1\APPLIC~1.\TEMP


((((((((((((((((((((((((( Files Created from 2007-06-04 to 2007-07-04 )))))))))))))))))))))))))))))))


2007-07-04 14:42 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-04 13:52 <REP> d-------- C:\VundoFix Backups
2007-07-03 20:07 <REP> d-------- C:\Program Files\CCleaner
2007-07-02 11:14 209,453 --a------ C:\winznd.exe
2007-06-18 00:53 2,944 --a------ C:\WINDOWS\system32\mbmiodrvr.sys
2007-06-17 21:59 <REP> d-------- C:\Program Files\RamBoost XP
2007-06-09 22:28 <REP> d--h----- C:\WINDOWS\msdownld.tmp
2007-06-09 22:11 <REP> d-------- C:\WINDOWS\network diagnostic
2007-06-09 21:55 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google Updater


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-04 12:50:14 -------- d-----w C:\Program Files\Wanadoo
2007-06-17 23:34:09 -------- d-----w C:\Program Files\Lavalys
2007-06-10 21:33:56 -------- d-----w C:\DOCUME~1\GENINL~1\APPLIC~1\Google
2007-06-09 20:56:51 -------- d-----w C:\Program Files\Google
2007-06-09 12:37:17 -------- d-----w C:\Program Files\Navilog1
2007-05-23 10:05:53 623,092 ----a-w C:\WINDOWS\system32\perfh00C.dat
2007-05-23 10:05:53 105,988 ----a-w C:\WINDOWS\system32\perfc00C.dat
2007-05-21 15:41:15 -------- d-----w C:\Program Files\Fichiers communs\Oberon Media
2007-05-20 12:59:37 1,156 ----a-w C:\WINDOWS\mozver.dat
2007-05-16 15:13:53 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-14 14:57:25 -------- d---a-w C:\Program Files\FunWebProducts
2007-05-14 14:57:19 -------- d-----w C:\Program Files\MSN Messenger
2007-05-09 09:58:02 -------- d-----w C:\Program Files\Pinnacle
2007-05-09 09:56:44 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-05-08 22:31:20 -------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2
2007-05-04 08:28:34 -------- d-----w C:\Program Files\Magentic
2007-04-25 14:22:35 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:14:18 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-16 20:44:20 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll
2007-04-16 20:44:18 208,248 ----a-w C:\WINDOWS\system32\muweb.dll
2007-04-11 13:38:44 725,067 ----a-w C:\WINDOWS\system32\Magentic Screensaver.scr


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}]
C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2004-12-14 01:56 63136 --a------ C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2007-03-14 03:43 501400 --a------ C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
2007-06-09 22:56 2436160 -ra------ c:\program files\google\googletoolbar2.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
2007-06-16 00:19 325048 --a------ C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F3878E47-4CA2-4921-BFD9-89C735E8856A}]
C:\WINDOWS\system32\jkkjg.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2004-05-27 10:09 C:\WINDOWS\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" []
"vspdfprsrv.exe"="C:\Program Files\Visage\PDF Printer\vspdfprsrv.exe" [2003-06-17 14:24]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 15:49]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 17:55]
"F-Secure Manager"="C:\Program Files\Securitoo\Av_Fw\Common\FSM32.exe" [2004-12-22 10:28]
"F-Secure TNB"="C:\Program Files\Securitoo\Av_Fw\TNB\TNBUtil.exe" [2004-09-17 11:59]
"F-Secure Startup Wizard"="C:\Program Files\Securitoo\Av_Fw\FSGUI\FSSW.exe" [2005-03-16 15:45]
"News Service"="C:\Program Files\Securitoo\Av_Fw\FSGUI\ispnews.exe" [2004-05-06 14:21]
"FSASWREG"="C:\Program Files\Securitoo\Av_Fw\Anti-Spyware\fsaswreg.exe" [2004-11-04 12:03]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"RealTray"="C:\Program Files\Real\RealPlayer\RealPlay.exe" []
"SoundMan"="SOUNDMAN.EXE" [2003-08-15 16:34 C:\WINDOWS\SOUNDMAN.EXE]
"SweetIM"="C:\Program Files\Macrogaming\SweetIM\SweetIM.exe" [2006-12-27 17:53]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-02-16 10:54]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-03-14 19:05]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
"WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [2004-08-23 15:50]
"Livecom"="C:\PROGRA~1\Livecom\APPLIC~1\CommunicationAgent\CommunicationAgent.exe" []
"SweetIM"="C:\Program Files\Macrogaming\SweetIM\SweetIM.exe" [2006-12-27 17:53]
"msnmsgr"="~C:\Program Files\MSN Messenger\msnmsgr.exe" []
"Magentic"="C:\PROGRA~1\Magentic\bin\Magentic.exe" [2007-04-11 15:39]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-09 21:55]


Contents of the 'Scheduled Tasks' folder
2007-07-01 09:43:00 C:\WINDOWS\tasks\AppleSoftwareUpdate.job
2007-07-04 10:00:08 C:\WINDOWS\tasks\HPpromotions journeysoftware.job
2007-07-04 09:04:13 C:\WINDOWS\tasks\Scheduled scanning task.job

**************************************************************************

catchme 0.3.914 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-04 14:53:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-04 15:01:46 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-04 15:01

--- E O F ---


Je fais le rapport hijackthis.

Le voici :

Logfile of HijackThis v1.99.1
Scan saved at 15:14, on 2007-07-04
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Program\fspex.exe
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\program\fsbwsys.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fssm32.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Securitoo\Av_Fw\Common\FCH32.EXE
C:\Program Files\Securitoo\Av_Fw\Common\FAMEH32.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Visage\PDF Printer\vspdfprsrv.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Securitoo\Av_Fw\FSGUI\ispnews.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Program Files\Securitoo\Av_Fw\FSGUI\fsguiexe.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\ComboFix\catchme.cfexe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\hijackthis\scanner.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/search?q=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {F3878E47-4CA2-4921-BFD9-89C735E8856A} - C:\WINDOWS\system32\jkkjg.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Program Files\Visage\PDF Printer\vspdfprsrv.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\Av_Fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\Securitoo\Av_Fw\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\Securitoo\Av_Fw\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\Av_Fw\Anti-Spyware\fsaswreg.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [Livecom] "C:\PROGRA~1\Livecom\APPLIC~1\CommunicationAgent\CommunicationAgent.exe" -ICom_StartNoSplashScreen
O4 - HKCU\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Digimax Viewer 1.0.lnk = ?
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Program Files\IncrediMail\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZSzed001YYFR_ZZz(...)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBIn(...)
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by121fd.bay121.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/telecharger.php?id=2&version=
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.221.188.118:81/activex/AxisCamControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://caebmm.imgag.com/imgag/cp/install/crusher-cae.cab
O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (MediaBar) - http://sib1.od2.com/common/musicmanager/installation/MusicManagerPlugin.CAB
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Securitoo Antivirus Firewall (BackWeb Plug-in - 8520111) - Unknown owner - C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\Av_Fw\backweb\8520111\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Microsoft Genuine Advantage - Unknown owner - C:\WINDOWS\system32\dllcache\winmga.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe


Dois-je cocher des cases sur le scan ?

C' est pas fini, j' ai encore des trojan qui sont détecté par mon "anti-virus" !!! que dois-je faire ??? STP !!!

re, c'est beaucoup mieux !

fais ceci dans l'ordre et en entier :

Note: Cette procédure a été créée spécifiquement pour cet utilisateur ! Si vous n'êtes pas cet utilisateur en question, ne suivez pas ces instructions au risque d'endommager votre PC !!!

1/ relance hijackthis et coche les cases devant ces lignes (si présentes) :



Puis ferme toutes les autres fenêtres autres que hijackthis et clic sur "fix checked"

2/ ferme hijackthis

3/ vas dans le menu démarrer -> executer et tu tapes : services.msc

Cherche le service suivant : Microsoft Genuine Advantage
Double clic dessus : dans le champs "Status du service" met le sur "arrêté"
dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok"
Quitte les services.
Passe par hijackthis :" Misc Tools Section"=> "Delete an NT service" et tu rentre le nom du service dans la case: Microsoft Genuine Advantage et tu cliques sur "ok".

4/ Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip

Aide pour clean : http://mickael.barroux.free.fr/securite/clean.php

Une fois sur le bureau, tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu clics sur extrait tout ou extraire ici.
Cela va créer un dossier clean.
Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
Clean va travailler.
Un rapport Va etre généré, colle le contenu entier ici.

bonne soirée

Kikou !

Voici le rapport de Clean :



2007-07-05 a 13:14:16.79

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\funwebproducts\" FOUND
"C:\Program Files\Save\" FOUND
"C:\Program Files\VVSN\" FOUND
*** Fin du rapport !

Bon appêtit !

bonjour,

Redémarre ton PC en mode sans échec :
http://forum.telecharger.01net.com/telecharger/virus_et_assimiles/failles_de_(...)

Aide pour clean : http://mickael.barroux.free.fr/securite/clean.php

Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.
Clean va travailler.
Un rapport Va etre généré, envoie le moi dans ta prochaine réponse !

bon après midi

Voici le rapport clean :

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 2007-07-05 a 21:45:18.95

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32

*** Suppression des fichiers dans C:\Program Files
tentative de suppression de "C:\Program Files\funwebproducts\"
tentative de suppression de "C:\Program Files\Save\"
tentative de suppression de "C:\Program Files\VVSN\"

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

Bonne soirée !

Bonjour
Moi aussi, je sui infecté par des chevaux de troie
EDITION MODERATEUR : Règle du forum à respecter :

Crée toi ton propre sujet !

Veuillez lire l'article suivant :
http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/a_(...)

Merci d'en prendre connaissance.

Kikou
Effectivement, les problèmes continuent pour moi. J' ai aussi le virus
backdoor:W32/A dans c:/système volume information qui est détecté à chaque moment, et ce matin, en allumant mon pc, un cadre est apparu en spécifiant qu' un code dangereux a été detecté dans le sytème volume...
J' espère que nous allons arriver à nous débarrasser de toutes ces bestioles !
Une amie m' a assuré que pour celà, faudra que je désinstalle et réinstalle tout mon ordi... Est ce vrai ?

bonjour,

absolument pas
reformater résoudrait le souci certainement mais supprimer toutes ses données juste pour un virus parce que l'on ne sait pas comment le désinfecter, autant venir ici pour que l'on vous aide à nettoyer votre pc

Télécharge la version d'essai d'AVG Anti-Spyware 7.5 ici :

http://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches(...)

et installe-le.

Son tuto : http://mickael.barroux.free.fr/securite/avg_as.php

- Redémarre en mode sans échec, si tu sais pas comment on fait lis ceci

- Ouvre AVG Anti-Spyware et clic sur l'onglet Analyse, puis le sous-onglet Paramètres
- Sélectionne dans Comment Réagir ? Quarantine. (voir l'aide l'aide AVG Anti-Spyware)
- Reviens au sous-onglet Analyser puis clique sur Analyse complète du système.
---> Le scan démarre.

A la fin clique sur Appliquer toutes les actions, les éléments doivent alors être déplacés en quarantaine.
Puis clique sur Enregistrer le rapport d'analyse et enregistre le rapport sur le Bureau.
Post moi ensuite ce rapport dans ton prochain message !

bon après midi

Olala naheulbeuck ! Tu m' rassures !
C' est vrai que ce forum est génial et ce n' est pas la première fois que je vous demande de l' aide ! Et celà a toujours été concluant.

Voici donc le rapport du scan demandé :
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 16:19 2007-07-06

+ Résultat de l'analyse:



C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP582\A0187933.DLL -> Adware.FunWeb : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP590\A0189662.DLL -> Adware.FunWeb : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP598\A0195182.DLL -> Adware.FunWeb : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Sunbelt Software\CounterSpy\Quarantine\3B1F1773-F43A-48CC-9001-871F67\F3198041-1F43-489C-9B7D-42AB5E -> Adware.P2PNet : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\GENIN Linda\Cookies\genin_linda@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\GENIN Linda\Cookies\genin_linda@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\GENIN Laurent\Cookies\genin laurent@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\GENIN Linda\Cookies\genin_linda@doubleclick[2].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\GENIN Linda\Cookies\genin_linda@ehg-danieljouvance.hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\GENIN Linda\Cookies\genin_linda@hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\GENIN Linda\Cookies\genin_linda@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\GENIN Linda\Cookies\genin_linda@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\GENIN Linda\Cookies\genin_linda@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\GENIN Linda\Cookies\genin_linda@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Program Files\TeamScripT V3.8\NukeNabber\Report.exe -> Trojan.Nuker.nukenabber.a : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

Euh...j' ai omis de faire la mise à jour avant le scan...aurais-je dû ?

Bonne soirée.

oui, il faut le mettre à jour avant de scanner (très important !!!)

donc je suis dsl mais il faut recommencer...

@+

Bonsoir naheulbeuk,

Impossible d' effectuer la mise à jour...
Lorsque je clike sur "commencer la mise à jour" celà me met ceci :

erreur impossible de se connecter au serveur updateasfreeinfo.gri...

Que puis-je faire ?
Merci et bonne soirée.

bonjour,

ok pas grave

Fais un scan BitDefender en ligne (avec Internet Explorer pas avec Firefox !)
(clique à gauche sur scan online).
et post moi le rapport de ce scan ici une fois terminé !

bon dimanche

Kikou naheulbeuk !

Je suis en train de faire le scan avec bitdefender, mais je me pose bien des questions... Devais-je fermer mon anti-virus perso (sécuritoo) pour faire le scan ? Car lors de ce scan, justement, mon anti-virus se déclenche, m' annonçant des virus comme ces 3 là :

Trojan.win32.obfuscated.en
Trojan.downloader.win32.tiny.id
Backdoor.win32.vambot.dk

En sachat que ces virus sont détecté et retransforms en fichiers dans le programme système volume (qui venanit juste d' être analysé...
J' ai l' impression que c' est une chaine sans fin...
Bon, je continues, mais s' il faut fermer mon anti-virus, alors tant pis, je recommencerai...
Je te mets tout de même le premier scan.
Merci de me dire si mes suspicions sont bonnes !
Bonne fin d' aprem !

BitDefender Online Scanner



Rapport d'analyse généré à: Mon, Jul 09, 2007 - 18:15:27





Voie d'analyse: C:\;D:\;F:\;







Statistiques

Temps
01:51:08

Fichiers
265084

Directoires
9089

Secteurs de boot
2

Archives
12199

Paquets programmes
9501




Résultats

Virus identifiés
7

Fichiers infectés
17

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
19




Info sur les moteurs

Définition virus
637771

Version des moteurs
AVCORE v1.0 (build 2410) (i386) (Jun 12 2007 21:08:27)

Analyse des plugins
14

Archive des plugins
38

Unpack des plugins
6

E-mail plugins
6

Système plugins
1




Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
*;

Excludez les extensions


Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui




Fichier analysé
Statut

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP584\A0188207.DLL
Détecté avec: Adware.Mywebsearch.G

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP584\A0188207.DLL
Echec de la désinfection

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP584\A0188207.DLL
Supprimé

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP590\A0189717.DLL
Détecté avec: Adware.Mywebsearch.G

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP590\A0189717.DLL
Echec de la désinfection

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP590\A0189717.DLL
Supprimé

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP598\A0195247.DLL
Détecté avec: Adware.Mywebsearch.G

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP598\A0195247.DLL
Echec de la désinfection

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP598\A0195247.DLL
Supprimé

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP648\A0215614.dll
Infecté par: MemScan:Trojan.Virtumod.AMA

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP648\A0215614.dll
Echec de la désinfection

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP648\A0215614.dll
Supprimé

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP648\A0215615.dll
Infecté par: MemScan:Trojan.Virtumod.ALX

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP648\A0215615.dll
Echec de la désinfection

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP648\A0215615.dll
Supprimé

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP648\A0215616.dll
Infecté par: MemScan:Trojan.Virtumod.AMA

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP648\A0215616.dll
Echec de la désinfection

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP648\A0215616.dll
Supprimé

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP648\A0215617.dll
Infecté par: MemScan:Trojan.Virtumod.AMA

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP648\A0215617.dll
Echec de la désinfection

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP648\A0215617.dll
Supprimé

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP648\A0215633.dll
Infecté par: Trojan.JuanSearch.A

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP648\A0215633.dll
Echec de la désinfection

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP648\A0215633.dll
Supprimé

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP651\A0215985.exe
Infecté par: Generic.Adw.SaveNow.56AD4696

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP651\A0215985.exe
Echec de la désinfection

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP651\A0215985.exe
Supprimé

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP651\A0216031.0xe=>(AutoIT)
Infecté par: Trojan.Virtumod.IZ

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP651\A0216031.0xe=>(AutoIT)
Echec de la désinfection

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP651\A0216031.0xe=>(AutoIT)
Supprimé

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP651\A0217063.exe
Infecté par: Trojan.Nuker.Nukenabber.A

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP651\A0217063.exe
Echec de la désinfection

C:\System Volume Information\_restore{EB5088A6-9268-4173-B022-840AC304B366}\RP651\A0217063.exe
Supprimé

C:\VundoFix Backups\cquggckl.dll.bad
Infecté par: Trojan.JuanSearch.A

C:\VundoFix Backups\cquggckl.dll.bad
Echec de la désinfection

C:\VundoFix Backups\cquggckl.dll.bad
Supprimé

C:\VundoFix Backups\fccawwv.dll.bad
Infecté par: MemScan:Trojan.Virtumod.AMA

C:\VundoFix Backups\fccawwv.dll.bad
Echec de la désinfection

C:\VundoFix Backups\fccawwv.dll.bad
Supprimé

C:\VundoFix Backups\jkkjg.dll.bad
Infecté par: MemScan:Trojan.Virtumod.ALX

C:\VundoFix Backups\jkkjg.dll.bad
Echec de la désinfection

C:\VundoFix Backups\jkkjg.dll.bad
Supprimé

C:\VundoFix Backups\pmnnnnm.dll.bad
Infecté par: MemScan:Trojan.Virtumod.AMA

C:\VundoFix Backups\pmnnnnm.dll.bad
Echec de la désinfection

C:\VundoFix Backups\pmnnnnm.dll.bad
Supprimé

C:\VundoFix Backups\xxyxvvt.dll.bad
Infecté par: MemScan:Trojan.Virtumod.AMA

C:\VundoFix Backups\xxyxvvt.dll.bad
Echec de la désinfection

C:\VundoFix Backups\xxyxvvt.dll.bad
Supprimé

C:\winznd.0xe=>(AutoIT)
Infecté par: Trojan.Virtumod.IZ

C:\winznd.0xe=>(AutoIT)
Echec de la désinfection

C:\winznd.0xe=>(AutoIT)
Supprimé

bonsoir, tu n'as plus de souci ?

Bonsoir,

Ben si, justement... Ce fichu backdoor est toujours là. Sécuritoo, mon "anti-virus" à la gomme me fait toujours une alerte sur sa présence. Il me dit qu' il se trouve dans le dossier volume système... Cette alerte apparait généralement lorsque l' ordi est mis en veille. Même lors du scan, les alertes étaient encore nombreuses . C' est à n' y rien comprendre... Les trojans, le backdoor...
Que peut-on faire stp ?
Merci.
Bonne nuit.

salut, il est dans la restauration système le vilain

Désactives ta restauration systeme :

Clic droit poste de travail / propriétés / onglet restauration du systeme : COCHES la case "désactiver la restauration systeme sur tous les lecteurs."
Clic sur "Appliquer", et "ok".

Puis,
Réactives ta restauration systeme :

Clic droit poste de travail / propriétés / onglet restauration du systeme : DECOCHES la case "désactiver la restauration systeme sur tous les lecteurs."
Clic sur "Appliquer", et "ok".

Ensuite,
Crée un nouveau point de restauration :
Menu démarrer / tous les programmes / accessoires / outils système / restauration du système / "créer un nouveau point de restauration"

voila là c'est bon ?

Je viens d' effectuer ce que tu viens de m' indiquer.
Je vais bien voir. J' croise les doigts.
Dans tous les cas, je viendrai te dire si tout va bien ou non, donc à plus tard.
Bon app !!! (et merci)

Cher naheulbeuk,

Cà a l' air d' être ok ! Je tiens à te remercier, beaucoup beaucoup !
Votre forum est génial ! Merci d' avoir été là, çà n' a pas été simple !

Enfin, tranquille !

Passe une bonne journée naheulbeuk et bonnes vacances (si c' est le cas)

ps : je mets résolu dans le premier sujet ?

bonjour, je suis content pour toi !

Désinstalle et supprime la totalité des programmes que je t'ai fais installé (sauf certains si tu souhaite les garder pour les utiliser régulièrement comme AVG AS, CCleaner...).

Supprime tous les rapports qui sont apparus lors des divers scans

Edite ton premier post avec et mets [resolu] devant le titre de ton sujet.

Voici quelques liens pour des conseils en sécurité :

Mon site Web sur la sécurité informatique !
Comment protéger son PC pour éviter d'être infecté ?

Prends le temps de les lire car elles sont très enréchissantes.

Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapport ton infection :

- Voir les règles de Malware-Complaints
- Enregistre sur le forum à partir du bouton register en haut :
Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age
Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age

Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10&sid=0ea0981a2025873f(...)

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10

au plaisir et bonnes vacances à toi

Voilà qui est fait cher naheulbeuk.
Merci encore à toi d' avoir été aussi efficace !!!
Bravo à toi, bravo à ce forum.
Et encore bonnes vacances !