|
|
Auteur
|
Message
|
1
|
|
|
|
Bonsoir,
Cela fait une semaine que je me débat avec mon pc et je ne m'en sors pas.
Mon pc c'est ralenti d'un coup la semaine dernière + des tas de fenêtres qui s'ouvraient quand je vais sur le net. Après avoir fait un peu d'avg, d'antivirus, de réinstallation d'ie ... ça s'est un peu arranger du point de vue de la lenteur.
Par contre j'ai toujours :
- des fenetres qui s'ouvrent
- avast qui se déclenche (mais bcp moins qu'avant)
- des difficultés à venir sur le net ( je vais pouvoir venir facilement sur ogame.fr orange.fr mais pas réussir à aller sur yahoo ou google....)
- par moment tout se bloque et je n'ai plus aucune icone sur le bureau...
- des messages ' la mémoire ne peut pas être read" et tout se bloque
je ne sais pas si tout ça est lié, mais j'ai aussi l'alerte de sécurité qui m'indique que les maj de windows n'est pas activée, par contre si je vais pour l'activer elle est activée...
Si quelqu'un pouvait m'aider ça serait sympa car là je ne sais plus quoi faire
Merci
-->Message édité par Isa89 le 14/06/2008 12:21:28<--
|
|
Imagine ...
|
|
|
 Isa89
Quel est ton outil système ? XP, Vista, etc ...
|
|
|
|
Imagine ...
|
|
|
Isa89
Fais un clic droit sur ce lien Navilog1 (par IL-MAFIOSO)
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Sinon, double-clique sur le raccourci Navilog1 présent sur le bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valide.
(Ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message : *** Analyse Termine le ..... ***
Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes.
PS : le rapport est, aussi, sauvegardé à la racine du disque dur C:\fixnavi.txt
|
|
|
|
|
Voila ce que ça a donné.
Search Navipromo version 3.5.8 commencé le 07/06/2008 à 19:50:05.62
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Propriétaire"
Mise à jour le 06.06.2008 à 18h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS
Recherche executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\Florine\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\Florine\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\Florine\menudm~1\progra~1" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINDOWS\system32" *
* Recherche dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\Florine\locals~1\applic~1" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINDOWS\system32" :
* Dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" :
* Dans "C:\DOCUME~1\Florine\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche fichiers connus :
C:\WINDOWS\system32\LloprXyb.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
*** Analyse terminée le 07/06/2008 à 20:04:45.12 ***
|
|
Imagine ...
|
|
|
Isa89
Télécharger VundoFix.exe (par Atribune) sur ton Bureau.
* Double-clique VundoFix.exe pour le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique "YES".
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique "OK".
* Redémarre ton PC.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt
Note : Il est possible que VundoFix soit confronté à un fichier qu'il
ne peut supprimer.
Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut
simplement suivre les instructions ci-haut, à partir de "clique sur le
bouton Scan for Vundo".
Télécharge VirtumondeBegone
Lance VitumondeBegone.exe puis, suis les instructions.
Une fois son travail terminé, redémarre puis poste le rapport.
|
|
|
|
|
Le lien pour Vundo ne me donnait rien. Du coup j'ai télécharger VundoFix de clubic, l'éditeur étant aussi atribune je pense que c'était pareil.
VundoFix V6.5.4
Checking Java version...
Java version is 1.5.0.8
Old versions of java are exploitable and should be removed.
Scan started at 13:35:35 08/06/2008
Listing files found while scanning....
No infected files were found.
Beginning removal...
[06/08/2008, 13:39:51] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Propriétaire\Bureau\VirtumundoBeGone.exe" )
[06/08/2008, 13:40:00] - Detected System Information:
[06/08/2008, 13:40:00] - Windows Version: 5.1.2600, Service Pack 2
[06/08/2008, 13:40:00] - Current Username: Propriétaire (Admin)
[06/08/2008, 13:40:00] - Windows is in NORMAL mode.
[06/08/2008, 13:40:00] - Searching for Browser Helper Objects:
[06/08/2008, 13:40:00] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[06/08/2008, 13:40:00] - BHO 2: {6F8DDADA-D71B-450C-B894-D86251EEC844} ()
[06/08/2008, 13:40:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/08/2008, 13:40:00] - Checking for HKLM\...\Winlogon\Notify\pmnmmMET
[06/08/2008, 13:40:00] - Found: HKLM\...\Winlogon\Notify\pmnmmMET - This is probably Virtumundo.
[06/08/2008, 13:40:00] - Assigning {6F8DDADA-D71B-450C-B894-D86251EEC844} MSEvents Object
[06/08/2008, 13:40:00] - BHO list has been changed! Starting over...
[06/08/2008, 13:40:00] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[06/08/2008, 13:40:01] - BHO 2: {6F8DDADA-D71B-450C-B894-D86251EEC844} (MSEvents Object)
[06/08/2008, 13:40:01] - ALERT: Found MSEvents Object!
[06/08/2008, 13:40:01] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/08/2008, 13:40:01] - BHO 4: {93FE53B1-839A-42AB-BF10-532A609EE05A} ()
[06/08/2008, 13:40:01] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/08/2008, 13:40:01] - Checking for HKLM\...\Winlogon\Notify\byXrpolL
[06/08/2008, 13:40:01] - Key not found: HKLM\...\Winlogon\Notify\byXrpolL, continuing.
[06/08/2008, 13:40:01] - BHO 5: {d18627c4-a784-431e-8829-1f897d9b2f66} ()
[06/08/2008, 13:40:01] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/08/2008, 13:40:02] - Checking for HKLM\...\Winlogon\Notify\yeqbusgg
[06/08/2008, 13:40:02] - Key not found: HKLM\...\Winlogon\Notify\yeqbusgg, continuing.
[06/08/2008, 13:40:02] - Finished Searching Browser Helper Objects
[06/08/2008, 13:40:02] - *** Detected MSEvents Object
[06/08/2008, 13:40:02] - Trying to remove MSEvents Object...
[06/08/2008, 13:40:03] - Terminating Process: IEXPLORE.EXE
[06/08/2008, 13:40:04] - Terminating Process: RUNDLL32.EXE
[06/08/2008, 13:40:05] - Disabling Automatic Shell Restart
[06/08/2008, 13:40:05] - Terminating Process: EXPLORER.EXE
[06/08/2008, 13:40:06] - Suspending the NT Session Manager System Service
[06/08/2008, 13:40:06] - Terminating Windows NT Logon/Logoff Manager
[06/08/2008, 13:40:07] - Re-enabling Automatic Shell Restart
[06/08/2008, 13:40:07] - File to disable: C:\WINDOWS\system32\pmnmmMET.dll
[06/08/2008, 13:40:07] - Renaming C:\WINDOWS\system32\pmnmmMET.dll -> C:\WINDOWS\system32\pmnmmMET.dll.vir
[06/08/2008, 13:40:09] - File successfully renamed!
[06/08/2008, 13:40:09] - Removing HKLM\...\Browser Helper Objects\{6F8DDADA-D71B-450C-B894-D86251EEC844}
[06/08/2008, 13:40:09] - Removing HKCR\CLSID\{6F8DDADA-D71B-450C-B894-D86251EEC844}
[06/08/2008, 13:40:09] - Adding Kill Bit for ActiveX for GUID: {6F8DDADA-D71B-450C-B894-D86251EEC844}
[06/08/2008, 13:40:10] - Deleting ATLEvents/MSEvents Registry entries
[06/08/2008, 13:40:11] - Removing HKLM\...\Winlogon\Notify\pmnmmMET
[06/08/2008, 13:40:11] - Searching for Browser Helper Objects:
[06/08/2008, 13:40:11] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[06/08/2008, 13:40:11] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/08/2008, 13:40:11] - BHO 3: {93FE53B1-839A-42AB-BF10-532A609EE05A} ()
[06/08/2008, 13:40:12] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/08/2008, 13:40:12] - Checking for HKLM\...\Winlogon\Notify\byXrpolL
[06/08/2008, 13:40:12] - Key not found: HKLM\...\Winlogon\Notify\byXrpolL, continuing.
[06/08/2008, 13:40:12] - BHO 4: {d18627c4-a784-431e-8829-1f897d9b2f66} ()
[06/08/2008, 13:40:12] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/08/2008, 13:40:12] - Checking for HKLM\...\Winlogon\Notify\yeqbusgg
[06/08/2008, 13:40:12] - Key not found: HKLM\...\Winlogon\Notify\yeqbusgg, continuing.
[06/08/2008, 13:40:12] - Finished Searching Browser Helper Objects
[06/08/2008, 13:40:12] - Finishing up...
[06/08/2008, 13:40:12] - A restart is needed.
[06/08/2008, 13:40:22] - Attempting to Restart via STOP error (Blue Screen!)
|
|
Imagine ...
|
|
|
Isa89
Fais un scan HijackThis et poste le rapport.
|
|
|
|
|
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:26:02, on 08/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\Program Files\USB Storage RW\shwicon.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\hp center\137903\Program\BackWeb-137903.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr7.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr7.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr7.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program Files\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WCOLOREAL] "C:\Program Files\Coloreal\coloreal.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [BM37abf21b] Rundll32.exe "C:\WINDOWS\system32\ndnquiry.dll",s
O4 - HKLM\..\Run: [3498c187] rundll32.exe "C:\WINDOWS\system32\nwpbblqj.dll",b
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O12 - Plugin for .bmp: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.pcdigital.fr/jsp-examples/photoconcept/utilisateurs/telecharger/Im(...)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{282232B9-E1D1-490C-A7BD-1DD7DFDEFAAE}: NameServer = 80.10.246.1 81.253.149.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{282232B9-E1D1-490C-A7BD-1DD7DFDEFAAE}: NameServer = 80.10.246.1 81.253.149.2
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
--
End of file - 9490 bytes
|
|
Imagine ...
|
|
|
...
(si ce n’ est déjà fait) Télécharge CCleaner …
("Download Latest Version", sur la droite) et laisse-toi guider.
Ne coche pas "Ajouter la barre d' outils Yahoo".
Laisse-le s’ installer tel que …
Télécharge OTMoveIt1 (de Old_Timer) sur ton bureau...
-------
Ferme toutes les fenêtres et applications.
Relance HijackThis et clique sur > Do a system scan only puis, coche
les cases devant les lignes qui suivent (et uniquement ces lignes), si tjrs présentes :
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [BM37abf21b] Rundll32.exe "C:\WINDOWS\system32\ndnquiry.dll",s
O4 - HKLM\..\Run: [3498c187] rundll32.exe "C:\WINDOWS\system32\nwpbblqj.dll",b
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
Ensuite, clique sur > Fix checked et valide par "Yes". Referme HijackThis.
Double-clique sur OTMoveIt.exe pour le lancer.
Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!
Copie le texte qui se trouve dans la citation, ci-dessous, et colle-le dans le cadre
de gauche de OTMoveIt nommé Paste Standard List of Files/Folders to move.
C:\WINDOWS\system32\ndnquiry.dll
C:\WINDOWS\system32\nwpbblqj.dll
Clique sur MoveIt! pour lancer la suppression.
Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.
Copie-colle le rapport dans ta réponse :
Il est situé sur --> C:\_OTMoveIt\MovedFiles.
Il te sera peut-être demandé de redémarrer le PC pour achever la suppression.
Si c'est le cas, attends la fin de la procédure pour redémarrer.
Lance CCleaner ...
Clique sur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
(re)Lance le nettoyage et (re)confirme par OK.
-------
Télécharge GenProc (de narco4 & jean-chretien1) sur ton bureau.
Dézippe le dossier ; double-clique sur GenProc.bat ![[:jean-chretien1:3]](/data/globaldata/usmilies/jeanchretien1-3.gif "[:jean-chretien1:3]") … et poste
le contenu du rapport qui s'ouvre (que tu découvres une procédure ou pas !).
![[:Poulbot:6]](/data/globaldata/usmilies/poulbot-6.gif "[:Poulbot:6]") Aide en images
-------
Fais un scan avec Malwarebytes Anti-malware et poste le rapport.
PS : pour supprimer les infections, choisis l'option Supprimer la sélection
ou clique sur le bouton Remove Selected (version anglaise) en bas à gauche.
-------
Poste les rapports OTMoveIt, GenProc et Malwarebytes.
|
|
|
|
|
DllUnregisterServer procedure not found in C:\WINDOWS\system32\ndnquiry.dll
C:\WINDOWS\system32\ndnquiry.dll NOT unregistered.
C:\WINDOWS\system32\ndnquiry.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\nwpbblqj.dll
C:\WINDOWS\system32\nwpbblqj.dll NOT unregistered.
C:\WINDOWS\system32\nwpbblqj.dll moved successfully.
OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 06082008_195942
Rapport GenProc 1.970 [1] effectué le 08/06/2008 à 20:09:07.09 - Windows XP
Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
# Etape 1/ Télécharge :
- VundoFix.exe (Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau
- combofix.exe (sUBs) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau
- SDfix (Andy Manchesta) http://downloads.andymanchesta.com/RemovalTools/SDFix.exe et sauvegarde le sur ton Bureau. Double clique sur SDFix.exe et choisis Install pour l'extraire dans C:\.
- MSNFix.zip (!aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau.
***** Copie la suite de la procédure dans un fichier texte et redémarre en mode sans échec comme indiqué ici http://www.pcloisirs.eu/mode_sans_echec.htm (choisis ta session courante "Propriétaire") *****
# Etape 2/
* Double-clique VundoFix.exe afin de le lancer, puis clique sur le bouton "Scan for Vundo". Lorsque le scan est complété, clique sur le bouton "Fix Vundo", une invite te demandera si tu veux supprimer les fichiers, clique YES : le Bureau disparaîtra un moment lors de la suppression des fichiers. Tu verras une invite qui t'annonce que ton PC va redémarrer : clique OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo
* Double clique combofix.exe. Tape sur la touche Y (Yes) pour démarrer le scan ; lorsque le scan sera complété, un rapport apparaîtra.
# Etape 3/
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer, fais-le pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
# Etape 4/
Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.
# Etape 5/
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
# Etape 6/
Redémarre normalement et poste, dans la même réponse :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
- Le contenu du rapport situé dans C:\vundofix.txt ;
- Le contenu du rapport situé dans C:\Combofix.txt ;
- Le contenu du fichier Report.txt ;
- Le contenu du rapport MSNfix situé sur le Bureau ;
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
la suite arrive
-->Message édité par Isa89 le 08/06/2008 20:11:30<--
|
|
Imagine ...
|
|
|
...
Mets la procédure en application.
Une fois achevée, poste tous les rapports.
Bon courage.
|
|
|
|
|
Il faut que j'applique la procédure de gen proc... j'avais cru bétement que je postais juste ce que cela me disait..
Bon je m'y mets alors.
|
|
|
|
|
Je n'arrive pas à avoir un rapport sur Malwarebytes car il me met une erreur "erreur d'exécution 9 indice en dehors de la plage"
Sinon j'ai aussi une erreur au démarrage du pc qui me dit que ndnquiry.dll est manquant
|
|
|
|
|
Bonjour Kmisole,
Voici les 3 rapports. Malwarebytes a réussi à se finir en mode normal et non pas en mode sans echec comme c'était dit. Au redémarrage je n'avais plus le message consernant ndnquiry.dll comme je le signalais précédemment.
1er rapport OTMovelt
DllUnregisterServer procedure not found in C:\WINDOWS\system32\ndnquiry.dll
C:\WINDOWS\system32\ndnquiry.dll NOT unregistered.
C:\WINDOWS\system32\ndnquiry.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\nwpbblqj.dll
C:\WINDOWS\system32\nwpbblqj.dll NOT unregistered.
C:\WINDOWS\system32\nwpbblqj.dll moved successfully.
OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 06082008_195942
2ème rapport Genproc
Rapport GenProc 1.970 [1] effectué le 08/06/2008 à 20:09:07.09 - Windows XP
Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
# Etape 1/ Télécharge :
- VundoFix.exe (Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau
- combofix.exe (sUBs) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau
- SDfix (Andy Manchesta) http://downloads.andymanchesta.com/RemovalTools/SDFix.exe et sauvegarde le sur ton Bureau. Double clique sur SDFix.exe et choisis Install pour l'extraire dans C:\.
- MSNFix.zip (!aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau.
***** Copie la suite de la procédure dans un fichier texte et redémarre en mode sans échec comme indiqué ici http://www.pcloisirs.eu/mode_sans_echec.htm (choisis ta session courante "Propriétaire") *****
# Etape 2/
* Double-clique VundoFix.exe afin de le lancer, puis clique sur le bouton "Scan for Vundo". Lorsque le scan est complété, clique sur le bouton "Fix Vundo", une invite te demandera si tu veux supprimer les fichiers, clique YES : le Bureau disparaîtra un moment lors de la suppression des fichiers. Tu verras une invite qui t'annonce que ton PC va redémarrer : clique OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo
* Double clique combofix.exe. Tape sur la touche Y (Yes) pour démarrer le scan ; lorsque le scan sera complété, un rapport apparaîtra.
# Etape 3/
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer, fais-le pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
# Etape 4/
Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.
# Etape 5/
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
# Etape 6/
Redémarre normalement et poste, dans la même réponse :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
- Le contenu du rapport situé dans C:\vundofix.txt ;
- Le contenu du rapport situé dans C:\Combofix.txt ;
- Le contenu du fichier Report.txt ;
- Le contenu du rapport MSNfix situé sur le Bureau ;
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
3ème rapport Malwarebytes
Malwarebytes' Anti-Malware 1.15
Version de la base de données: 841
21:44:08 09/06/2008
mbam-log-6-9-2008 (21-44-01).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 118030
Temps écoulé: 30 minute(s), 59 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
C:\WINDOWS\system32\byXrpolL.dll (Trojan.Vundo) -> No action taken.
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5d4e3ee5-4093-49c5-879a-2216cc6b22ea} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{5d4e3ee5-4093-49c5-879a-2216cc6b22ea} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM37abf21b (Trojan.Agent) -> No action taken.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\byxrpoll -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\byxrpoll -> No action taken.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\byXrpolL.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\LloprXyb.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\LloprXyb.ini2 (Trojan.Vundo) -> No action taken.
C:\Program Files\mIRC\backup\mirc.exe (Backdoor.Bot) -> No action taken.
C:\System Volume Information\_restore{8D6833F1-1F7B-454C-B4ED-6FDAD5C47F10}\RP1190\A0194100.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{8D6833F1-1F7B-454C-B4ED-6FDAD5C47F10}\RP1191\A0194143.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\rqRiHwVN.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\vtUkICSi.dll (Trojan.vundo) -> No action taken.
|
|
Imagine ...
|
|
|
Isa89
N' oublie pas de poster tous les rapports de la procédure GenProc !
Pour Malwarebytes, as-tu bien fais ceci ...
pour supprimer les infections, choisis l'option Supprimer la sélection
ou clique sur le bouton Remove Selected (version anglaise) en bas à gauche.
|
|
|
|
|
Bonsoir
Pour Malwarebytes j'ai bien fait la suppression mais il y a eu un message qui indiquait que tout n'était pas supprimé et que ça pourrait l'être au redémarrage.
Après le redémarrage j'ai relancé malwarebytes pour voir s'il trouvait denouveau des infections et il en a trouvé mais je n'ai pas laissé aller au bout.
Rapports GenProc
VundoFix V6.5.4
Checking Java version...
Java version is 1.5.0.8
Old versions of java are exploitable and should be removed.
Scan started at 13:35:35 08/06/2008
Listing files found while scanning....
No infected files were found.
Beginning removal...
VundoFix V6.5.4
Checking Java version...
Java version is 1.5.0.8
Old versions of java are exploitable and should be removed.
Scan started at 00:38:04 09/06/2008
Listing files found while scanning....
No infected files were found.
ComboFix 08-06-08.2 - Propriétaire 2008-06-09 0:50:47.1 - NTFSx86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.786 [GMT 1:00]Endroit: C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\BM37abf21b.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\byXOiJYs.dll
C:\WINDOWS\system32\byXRkHYq.dll
C:\WINDOWS\system32\cfnosqqv.dll
C:\WINDOWS\system32\cxjrtwpr.dll
C:\WINDOWS\system32\dbqerrgy.dll
C:\WINDOWS\system32\ddcYQGvu.dll
C:\WINDOWS\system32\dlodptlb.ini
C:\WINDOWS\system32\dqoxrldf.dll
C:\WINDOWS\system32\fccdAQKa.dll
C:\WINDOWS\system32\houftuff.dll
C:\WINDOWS\system32\huacdide.ini
C:\WINDOWS\system32\hyvnikns.ini
C:\WINDOWS\system32\jbvlijnn.dll
C:\WINDOWS\system32\jqlbbpwn.ini
C:\WINDOWS\system32\kkkwqgpb.ini
C:\WINDOWS\system32\lfmgobfe.dll
C:\WINDOWS\system32\lkndghwp.dll
C:\WINDOWS\system32\LloprXyb.ini
C:\WINDOWS\system32\LloprXyb.ini2
C:\WINDOWS\system32\lyibxygx.dll
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\nncecphy.ini
C:\WINDOWS\system32\nnnkIyXR.dll
C:\WINDOWS\system32\onkqlndw.dll
C:\WINDOWS\system32\ouokijna.dll
C:\WINDOWS\system32\oxvserrj.ini
C:\WINDOWS\system32\qkdhjiwc.dll
C:\WINDOWS\system32\qoMDvTKe.dll
C:\WINDOWS\system32\qoMFXool.dll
C:\WINDOWS\system32\selwvgne.ini
C:\WINDOWS\system32\tujdipbo.dll
C:\WINDOWS\system32\vjknupdf.dll
C:\WINDOWS\system32\wkbuwdts.dll
C:\WINDOWS\system32\xxyxUnnm.dll
C:\WINDOWS\system32\yeqbusgg.dll
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-09 to 2008-06-09 ))))))))))))))))))))))))))))))))))))
.
2008-06-09 00:26 . 2008-06-08 02:23 <REP> d-------- C:\SDFix
2008-06-08 20:22 . 2008-06-08 20:22 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-08 20:21 . 2008-06-08 20:22 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-08 20:21 . 2008-06-05 16:04 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-08 20:21 . 2008-06-05 16:04 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-08 19:59 . 2008-06-08 19:59 <REP> d-------- C:\_OTMoveIt
2008-06-08 15:23 . 2008-06-08 15:23 96,256 --a------ C:\WINDOWS\system32\yysbinhx.dll
2008-06-08 13:35 . 2008-06-08 13:35 <REP> d-------- C:\VundoFix Backups
2008-06-07 19:46 . 2008-06-07 20:04 <REP> d-------- C:\Program Files\Navilog1
2008-06-07 13:58 . 2008-06-07 13:58 91,136 --a------ C:\WINDOWS\system32\lkalvgre.dll
2008-06-06 22:16 . 2008-06-06 22:37 <REP> d-------- C:\WINDOWS\system32\CatRoot2
2008-06-04 00:39 . 2008-06-04 00:39 <REP> d-------- C:\Program Files\Trend Micro
2008-06-03 22:23 . 2008-06-03 22:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-06-03 22:23 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-06-02 23:49 . 2008-06-02 23:49 <REP> d-------- C:\Program Files\CCleaner
2008-05-31 22:15 . 2008-06-06 19:45 67 --a------ C:\WINDOWS\Kit.ini
2008-05-30 22:01 . 2008-06-02 18:16 1,314 ---hs---- C:\WINDOWS\system32\glfqneau.ini
2008-05-30 19:28 . 2008-05-30 19:28 <REP> d-------- C:\kav
2008-05-30 00:36 . 2008-05-30 00:36 <REP> d-------- C:\Program Files\Kaspersky Lab
2008-05-30 00:36 . 2008-06-01 16:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-05-30 00:36 . 2008-06-01 17:22 713,248 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-30 00:36 . 2008-06-01 17:22 23,328 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-05-30 00:36 . 2008-06-01 17:22 10,628 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-30 00:36 . 2008-06-01 17:22 3,260 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-05-29 17:44 . 2008-05-29 17:44 278,528 --a------ C:\WINDOWS\system32\byXrpolL.dll
2008-05-29 17:39 . 2008-05-29 17:39 28,160 --a------ C:\WINDOWS\system32\pmnmmMET.dll.vir
2008-05-26 20:11 . 2008-05-26 20:11 30,208 --a------ C:\WINDOWS\system32\rqRiHwVN.dll
2008-05-26 18:05 . 2008-05-26 18:05 30,208 --a------ C:\WINDOWS\system32\vtUkICSi.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-08 23:32 --------- d-----w C:\Program Files\Wanadoo
2008-06-01 16:21 --------- d-----w C:\Program Files\Alwil Software
2008-05-29 22:37 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-05-14 21:55 --------- d-----w C:\Program Files\World of Warcraft
2008-04-28 22:26 --------- d-----w C:\Program Files\Ef
2008-04-26 22:13 --------- d-----w C:\Program Files\SpeedSim
2008-04-26 20:43 --------- d---a-w C:\Documents and Settings\All Users\Application Data\rkfree
2008-04-26 20:43 --------- d-----w C:\Program Files\RKFree
2008-04-23 17:39 --------- d-----w C:\Documents and Settings\Florine\Application Data\vlc
2008-04-17 22:08 --------- d-----w C:\Program Files\mIRC
2008-04-16 22:40 --------- d-----w C:\Program Files\Microsoft Money
1999-04-06 12:27 99,840 ----a-w C:\Program Files\Fichiers communs\IRAABOUT.DLL
1998-12-09 02:53 70,144 ----a-w C:\Program Files\Fichiers communs\IRAMDMTR.DLL
1998-12-09 02:53 48,640 ----a-w C:\Program Files\Fichiers communs\IRALPTTR.DLL
1998-12-09 02:53 31,744 ----a-w C:\Program Files\Fichiers communs\IRAWEBTR.DLL
1998-12-09 02:53 186,368 ----a-w C:\Program Files\Fichiers communs\IRAREG.DLL
1998-12-09 02:53 17,920 ----a-w C:\Program Files\Fichiers communs\IRASRIAL.DLL
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{31F8423C-B6EA-4027-9F1A-3CB4D7992F55}]
2008-05-29 17:44 278528 --a------ C:\WINDOWS\system32\byXrpolL.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9785a5b1-a9cf-45e1-a808-c5da01ebcf68}]
2008-06-08 15:23 96256 --a------ C:\WINDOWS\system32\yysbinhx.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe" [2004-08-06 14:33 2502656]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 23:04 52736]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2002-10-16 13:18 155648]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2002-10-16 13:05 114688]
"KYE_Showicon"="C:\Program Files\USB Storage RW\shwicon.exe" [2002-10-25 22:33 69632]
"KBD"="C:\HP\KBD\KBD.EXE" [2003-03-31 02:50 61440]
"StorageGuard"="C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" [2002-06-18 14:01 155648]
"WCOLOREAL"="C:\Program Files\Coloreal\coloreal.exe" [2002-11-27 00:14 131072]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2002-09-14 04:42 212992]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2003-05-23 08:46 20480]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\TaskbarIcon.exe" [2003-05-23 08:46 53248]
"Microsoft Works Update Detection"="C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-18 15:36 28672]
"WooCnxMon"="C:\PROGRA~1\Wanadoo\CnxMon.exe" [2003-05-23 08:46 24576]
"SpeedTouch USB Diagnostics"="C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" [2002-06-06 10:15 861184]
"MessagerStarter Wanadoo"="C:\PROGRA~1\MESSAG~1\StartMessager.exe" [2003-04-04 16:47 32768]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe" [2006-07-26 03:03 49263]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-10-22 12:22 86016 C:\WINDOWS\system32\nvmctray.dll]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-12-31 12:18 185896]
"LogitechCommunicationsManager"="C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 16:33 563984]
"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam\Quickcam.exe" [2007-10-25 16:37 2178832]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 00:19 79224]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]
"BM37abf21b"="C:\WINDOWS\system32\ndnquiry.dll" [ ]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegedit"= 0 (0x0)
"NoFind"= 0 (0x0)
"NoRun"= 0 (0x0)
"NoDesktop"= 0 (0x0)
"NoClose"= 0 (0x0)
"StartMenuLogOff"= 0 (0x0)
"HideClock"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogOff"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= L3codecp.acm
"vidc.div3"= DivXc32.dll
"vidc.div4"= DivXc32f.dll
"vidc.ap41"= DivXc32f.dll
"msacm.divxa32"= DivXa32.acm
"vidc.yv12"= yv12vfw.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\byXrpolL
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Program Files\\hp center\\137903\\Program\\BackWeb-137903.exe"=
"C:\\Program Files\\mIRC\\mirc.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\StubInstaller.exe"=
"C:\\Program Files\\LimeWire\\LimeWire.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\World of Warcraft\\WoW-1.12.0-frFR-downloader.exe"=
"C:\\Program Files\\World of Warcraft\\WoW-1.12.x-to-2.0.1-frFR-patch-downloader.exe"=
"C:\\Program Files\\World of Warcraft\\WoW-2.0.3-frFR-downloader.exe"=
"C:\\Program Files\\World of Warcraft\\WoW-2.0.3.6299-to-2.0.7.6383-frFR-downloader.exe"=
"C:\\Program Files\\World of Warcraft\\WoW-2.0.7.6383-to-2.0.8.6403-frFR-downloader.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
"C:\\Program Files\\World of Warcraft\\BackgroundDownloader.exe"=
"C:\\Program Files\\World of Warcraft\\WoW-2.0.8.6403-to-2.0.10.6448-frFR-downloader.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"6112:TCP"= 6112:TCP:Blizzard Downloader
R0 agpex;agpex;C:\WINDOWS\system32\drivers\agpex.sys [2008-04-01 18:50]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 00:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 00:16]
S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys [2008-06-05 16:04]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-04 06:58]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 08:08]
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2004-02-10 22:44:11 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1055798047.job"
- C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
"2008-06-09 00:04:03 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-09 01:04:57
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\byXrpolL.dll
-> C:\HP\KBD\hkmodule.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\hp center\137903\Program\BackWeb-137903.exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\PROGRA~1\Yahoo!\MESSEN~1\Ymsgr_tray.exe
C:\Program Files\Fichiers communs\LogiShrd\LQCVFX\COCIManager.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-09 1:16:29 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-09 00:16:07
Pre-Run: 5,571,272,704 octets libres
Post-Run: 5,131,292,672 octets libres
230 --- E O F --- 2008-05-27 23:22:13
SDFix: Version 1.189
Run by Propri‚taire on 09/06/2008 at 17:59
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting
Checking Files :
No Trojan Files Found
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-09 18:17:23
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe:*:Enabled:Yahoo! Messenger"
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\\Program Files\\hp center\\137903\\Program\\BackWeb-137903.exe"="C:\\Program Files\\hp center\\137903\\Program\\BackWeb-137903.exe:*:Disabled:BackWeb-137903"
"C:\\Program Files\\mIRC\\mirc.exe"="C:\\Program Files\\mIRC\\mirc.exe:*:Enabled:mIRC"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\StubInstaller.exe"="C:\\StubInstaller.exe:*:Enabled:LimeWire swarmed installer"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\World of Warcraft\\WoW-1.12.0-frFR-downloader.exe"="C:\\Program Files\\World of Warcraft\\WoW-1.12.0-frFR-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\\Program Files\\World of Warcraft\\WoW-1.12.x-to-2.0.1-frFR-patch-downloader.exe"="C:\\Program Files\\World of Warcraft\\WoW-1.12.x-to-2.0.1-frFR-patch-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\\Program Files\\World of Warcraft\\WoW-2.0.3-frFR-downloader.exe"="C:\\Program Files\\World of Warcraft\\WoW-2.0.3-frFR-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\\Program Files\\World of Warcraft\\WoW-2.0.3.6299-to-2.0.7.6383-frFR-downloader.exe"="C:\\Program Files\\World of Warcraft\\WoW-2.0.3.6299-to-2.0.7.6383-frFR-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\\Program Files\\World of Warcraft\\WoW-2.0.7.6383-to-2.0.8.6403-frFR-downloader.exe"="C:\\Program Files\\World of Warcraft\\WoW-2.0.7.6383-to-2.0.8.6403-frFR-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Program Files\\World of Warcraft\\BackgroundDownloader.exe"="C:\\Program Files\\World of Warcraft\\BackgroundDownloader.exe:*:Enabled:Blizzard Downloader"
"C:\\Program Files\\World of Warcraft\\WoW-2.0.8.6403-to-2.0.10.6448-frFR-downloader.exe"="C:\\Program Files\\World of Warcraft\\WoW-2.0.8.6403-to-2.0.10.6448-frFR-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
Remaining Files :
Files with Hidden Attributes :
Sat 4 Oct 2003 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sat 4 Oct 2003 401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv13.bak"
Sun 25 Nov 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Tue 22 Nov 2005 59,904 A..H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL0004.tmp"
Tue 6 Jan 2004 50,688 A..H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL0005.tmp"
Mon 26 Jul 2004 73,728 A..H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL0006.tmp"
Sat 25 Sep 2004 77,312 A..H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL0007.tmp"
Fri 10 Dec 2004 92,672 A..H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL0008.tmp"
Thu 21 Apr 2005 141,312 A..H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL0009.tmp"
Wed 27 Apr 2005 143,872 A..H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL0010.tmp"
Sun 29 Oct 2006 93,696 ...H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL0011.tmp"
Tue 7 Nov 2006 97,792 ...H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL0012.tmp"
Fri 10 Mar 2006 90,624 A..H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL0115.tmp"
Wed 4 May 2005 148,992 A..H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL0387.tmp"
Sun 18 Jun 2006 51,200 ...H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL0791.tmp"
Fri 16 Dec 2005 69,632 A..H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL0893.tmp"
Thu 21 Sep 2006 78,336 ...H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL0915.tmp"
Sat 24 Jun 2006 51,200 ...H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL0924.tmp"
Mon 22 May 2006 49,152 A..H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL0938.tmp"
Mon 17 Oct 2005 46,080 A..H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL1212.tmp"
Mon 19 Dec 2005 69,632 A..H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL1249.tmp"
Fri 12 Aug 2005 28,672 A..H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL1922.tmp"
Fri 27 Aug 2004 73,728 A..H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL1990.tmp"
Sun 14 Oct 2007 152,576 ...H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL1996.tmp"
Thu 6 Oct 2005 40,448 A..H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL2552.tmp"
Tue 17 Jan 2006 74,752 A..H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL2569.tmp"
Wed 19 Jul 2006 58,880 ...H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL2726.tmp"
Wed 3 Mar 2004 54,272 A..H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL2769.tmp"
Wed 29 Aug 2007 144,384 ...H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL3105.tmp"
Wed 7 May 2008 76,288 ...H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL3250.tmp"
Wed 6 Dec 2006 109,568 ...H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL3356.tmp"
Sat 3 Sep 2005 32,768 A..H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL3744.tmp"
Thu 6 Jul 2006 51,712 ...H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL3913.tmp"
Finished!
MSNFix 1.720-1
C:\Documents and Settings\Propri‚taire\Bureau\MSNFix
Fix exécuté le 09/06/2008 - 18:35:19.28 By Propri‚taire
mode sans échec
************************ Recherche les fichiers présents
... C:\WINDOWS\system32\IALMCOIN.DLL
************************ Recherche les dossiers présents
Aucun dossier trouvé
************************ Suppression des fichiers
.. OK ... C:\WINDOWS\system32\IALMCOIN.DLL
************************ Nettoyage du registre
Les fichiers encore présents seront supprimés au prochain redémarrage
Aucun Fichier trouvé
************************ Fichiers suspects
Aucun Fichier trouvé
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 09062008_184304.73.zip
************************ HKLM\...\Winlogon\Userinit
Userinit = C:\WINDOWS\system32\userinit.exe,
Important : http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------
--------------------------------------------- END ---------------------------------------------
Je pense que j'avais pas fait de rapport hijackthis après la procédure GenProc, du coup je sais pas si c'est utile mais je viens d'en faire un nouveau.[/g]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:01:45, on 10/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\USB Storage RW\shwicon.exe
C:\HP\KBD\KBD.EXE
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\hp center\137903\Program\BackWeb-137903.exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Java\jre1.5.0_08\bin\jucheck.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr7.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.co | | |
Jules Renard