01net    Web


Actuellement en ligne : 757 Utilisateurs dont 99 dans Sécurité, virus et assimilés >S'inscrire      >S'identifier      >Recherche      >Aide  
modéré par A.Ouloube, naheulbeuk, Mérillym, bibou0007, Malekal_morte, IL-MAFIOSO  
01net > Forum de 01net > Sécurité, virus et assimilés > Trojan et spywares
> Infecté par Virusisolator
Passionné(e) d'internet, de logiciels, de forums ? 01net recrute...
Auteur
Message
 
<     1       >
Seb1412
  
   
      ?   @     Posté le 12/05/2008 19:28:10  
Voter pour ce message
Bonjour,

j'ai été infecté par ce que l'on appelle un rogue.
Ce programme ouvre des fenêtre sur votre ordinateur pour vous dire qu'il est infecté et qu'il faut acheté leur antivirus "Virusisolator". J'ai fait quelques recherches sur le net pour voir quelles étaient les possibilités pour retirer ce rogue et je n'ai rien trouvé à part Spyhunter qui n'a pas marché (peut-être un autre trojan d'ailleurs...).

J'ai vu sur ce forum que certaines personnes pouvaient en aider d'autres à partir du rapport fait par le programme Hijackthis.

Alors voilà, j'ai fait un copier-coller du rapport ci-dessous.

Y-a-t-il quelqu'un pour m'aider?


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:52:45, on 24/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
EDITION MODERATEUR : Règle du forum à respecter :

Pas de rapport avant qu'il n'en soit demandé un ! :o

Veuillez lire l'article suivant :
http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/a_(...)

Merci d'en prendre connaissance.

-->Message édité par bibou0007 le 12/05/2008 19:32:42<--
kmisol
  Imagine ...
  :-)
      ?   @     Posté le 12/05/2008 19:38:14  
Voter pour ce message
:hello: Seb1412

Télécharge et installe SmitFraudFix (par S!Ri)

Double-clique sur SmitfraudFix.exe
Dans le menu, fais le choix 1 et appuie sur "Entrée" pour créer un
rapport que tu trouveras à la racine du disque système C:\rapport.txt

Poste-le.
-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !" ;) Jules Renard
La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/jemengage/ -> http://malamp
Seb1412
  
   
      ?   @     Posté le 13/05/2008 13:27:45  
Voter pour ce message
Bonjour kmisol et la modération,

j'avais mis un rapport HijackThis d'entrée de jeu pour gagner du temps car je n'arrive plus à me connecter à internet à cause de mon rogue.

Je suis obliger de me connecter au boulot ou alors dans un cyber-café pour régler mes problèmes.

kmisol, les rapport de SmitFraudFix sont différents de ceux de HijackThis?

Demain je ramène un CD au boulot pour prendre SmitFraudFix, je fait le rapport et après-demain je publie le rapport.

Merci pour ton aide.
Seb1412
  
   
      ?   @     Posté le 15/05/2008 12:24:44  
Voter pour ce message
Bonjour,

le rapport ce trouve ci-dessous.

J'espère qu'il sera utile.

Merci d'avance.

SmitFraudFix v2.320

Rapport fait à 22:44:50,86, 14/05/2008
Executé à partir de D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Bureau\pocketnav\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» D:\


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Courtois.COURTOIS-C9C4EB


»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» D:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="D:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

kmisol
  Imagine ...
  :-)
      ?   @     Posté le 16/05/2008 00:56:03  
Voter pour ce message
:hello: Seb1412

Sur ton bureau, télécharge GenProc (de narco4 & jean-chretien1)

Dézippe le dossier ; double-clique sur GenProc.bat [:jean-chretien1:3] … et poste
le contenu du rapport qui s'ouvre (que tu découvres une procédure ou pas !).

[:Poulbot:6] Aide en images

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !" ;) Jules Renard
La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/jemengage/ -> http://malamp
Seb1412
  
   
      ?   @     Posté le 16/05/2008 11:32:03  
Voter pour ce message
Bonjour kmisol,

je télécharge aujourd'hui GenProc au boulot et je l'installe chez moi ce soir.

J'irai peut-être dans un cyber-café ce soir pour poster le rapport.

N'hésite pas à me donner d'autres noms de programmes comme ça je les télécharge tous le même jour pour gagner du temps.

Merci pour ton aide :super: .
Seb1412
  
   
      ?   @     Posté le 17/05/2008 19:48:03  
Voter pour ce message
Bonjour kmisol,

ci-dessous le rapport GenProc.

Est-ce que je dois suivre les indications de celui-ci?

Rapport GenProc 1.951 [1] effectué le 16/05/2008 à 22:22:57,83 - Windows XP

# Etape 1/ Télécharge :

- CCleaner http://www.ccleaner.com/download/builds/downloading-slim
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

- VundoFix.exe (par Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau

- combofix.exe (par sUBs) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau

- SmitfrauFix de S!Ri: Moe et Balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.exe
* double-clique sur le fichier "smitfraudfix.exe" et choisis l’option 1, il va lister tous les éléments nuisibles dans un rapport : poste le maintenant.

- MSNFix.zip (de !aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau.


***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici http://www.pcloisirs.eu/mode_sans_echec.htm (choisis ta session courante "Courtois") *****


# Etape 2/

* Double-clique VundoFix.exe afin de le lancer, puis clique sur le bouton "Scan for Vundo".
Lorsque le scan est complété, clique sur le bouton "Fix Vundo", une invite te demandera si tu veux supprimer les fichiers, clique YES : le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer : clique OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo

* Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra

# Etape 3/

Double-clique sur le fichier "SmitfraudFix.exe" et choisis l'option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.

# Etape 4/

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.

# Etape 5/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 6/

Redémarre normalement et poste, dans la même réponse :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
- Le contenu du rapport situé dans D:\vundofix.txt ;
- Le contenu du rapport situé dans D:\Combofix.txt ;
- Le rapport SmitfraudFix que tu as sauvegardé sur ton bureau ;
- Le contenu du rapport MSNfix situé sur le Bureau ;


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
kmisol
  Imagine ...
  :-)
      ?   @     Posté le 17/05/2008 23:38:32  
Voter pour ce message
:hello: Seb1412

Oui. Tu suis la procédure et tu postes les rapports.

Bon courage ;) .
-->Message édité par kmisol le 17/05/2008 23:38:56<--
-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !" ;) Jules Renard
La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/jemengage/ -> http://malamp
Seb1412
  
   
      ?   @     Posté le 18/05/2008 20:00:34  
Voter pour ce message
Bonjour kmisol,

j'ai suivi la procédure. Tout les rapports se trouvent ci-dessous.

Le résultat des opérations est mitigé. Mon ordinateur est presque désinfecté: fini les programmes qui prennent toutes les ressources mais j'ai encore une bulle en bas à droite de l'écran qui s'ouvre de temps en temps pour me faire croire que mon ordinateur est infecté suivi par l'ouverture d'internet explorer.

Mon ordinateur a l'air d'être pas mal dépouillé: carte sans fil inutilisable et windows en version simplifiée (gris).

Globalement, je trouve que le résultat est pas mal pour pouvoir sauver mes données puis réinstaller Windows. Mais j'opterai pour cette solution lorsque que je serai sur que mon "rogue" ne va pas aller s'installer sur mon disque dur externe lors de la sauvegarde.

Donc voilà la question: puis-je sauvegarder mes données sans risque d'infections par la suite ou faut-il vraiment tout bien nettoyer avant?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:42:31, on 18/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\S24EvMon.exe
D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\WINDOWS\system32\drivers\CDAC11BA.EXE
D:\Program Files\NetLimiter 2 Pro\nlsvc.exe
D:\WINDOWS\system32\RegSrvc.exe
D:\WINDOWS\system32\ZCfgSvc.exe
D:\WINDOWS\system32\1XConfig.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Program Files\Dell\QuickSet\quickset.exe
D:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
D:\Program Files\Dell\Media Experience\PCMService.exe
D:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
D:\Program Files\Microsoft Hardware\Mouse\point32.exe
D:\WINDOWS\system32\rundll32.exe
D:\Program Files\iTunes\iTunesHelper.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Microsoft ActiveSync\wcescomm.exe
D:\WINDOWS\system32\sdcpyveh.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\PROGRA~1\MI3AA1~1\rapimgr.exe
D:\Program Files\iPod\bin\iPodService.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00EBE035-E08F-4632-92C2-99D1BB52747F} - D:\WINDOWS\system32\mlJYrpMG.dll (file missing)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Explorer - {7348D74C-731B-DECE-9F8A-A37D8214708E} - D:\WINDOWS\system32\wlcstp32.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Program Files\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [SigmaTel StacMon] D:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] D:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dell QuickSet] D:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [Apoint] D:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "D:\Program Files\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [DVDLauncher] "D:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] D:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Free Download Manager] D:\Program Files\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [MySpaceIM] D:\Program Files\MySpace\IM\MySpaceIM.exe
O4 - HKCU\..\Run: [qjwxksph] D:\WINDOWS\system32\sdcpyveh.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [322DQeTTQ0] D:\Documents and Settings\All Users.WINDOWS\Application Data\mvilixez\atwdwpqh.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logiciel de Synchronisation Orange.lnk = ?
O8 - Extra context menu item: Download all with Free Download Manager - file://D:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://D:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://D:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll (file missing)
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.taatu.com
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://s.tf1.fr/mmdia/static/rawflow/clients/5.3.1.0/Rawflow.cab
O16 - DPF: {4EFE4BE8-8771-4649-B3EF-D97374C8D2C2} (KeybHunterWebInterface Class) - https://particuliers.secure.lcl.fr/everest/S/UWDL/UWDLSTATIQUE/UWDLPUB/acc/v_1(...)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O21 - SSODL: DriveWin - {e9003f56-f077-48fc-acd7-c85875489032} - D:\WINDOWS\Resources\DriveWin.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe (file missing)
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - D:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - D:\Program Files\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: RegSrvc - Intel Corporation - D:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - D:\WINDOWS\system32\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Program Files\Spyware Doctor\swdsvc.exe

--
End of file - 9643 bytes

VundoFix V7.0.3

Scan started at 11:33:45 18/05/2008

Listing files found while scanning....

No infected files were found.


Beginning removal...

ComboFix 08-05-15.3 - Courtois 2008-05-18 11:50:39.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.685 [GMT 2:00]
Endroit: D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Bureau\Error Cleaner.url
D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Bureau\Privacy Protector.url
D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Bureau\Spyware&Malware Protection.url
D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Bureaublackbird.jpg
D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\BureauEditorFKWP1.5.exe
D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\BureauEditorFKWP2.0.exe
D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Bureaufilemanagerclient.exe
D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Bureaufkwp1.5.exe
D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Bureaufkwp2.0.exe
D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Bureaufwebd.exe
D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\BureauFWebdEditor.exe
D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\BureauTrojan.Win32.BlackBird.exe
D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Bureauvirii
D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Favoris\Error Cleaner.url
D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Favoris\Privacy Protector.url
D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Favoris\Spyware&Malware Protection.url
D:\Program Files\version.txt
D:\WINDOWS\Downloaded Program Files\setup.inf
D:\WINDOWS\Installer\{9f555324-43c0-466e-82c7-382a1b63e574}\zip.dll
D:\WINDOWS\system32\GMprYJlm.ini
D:\WINDOWS\system32\GMprYJlm.ini2
D:\WINDOWS\system32\mcrh.tmp
D:\WINDOWS\system32\vtUmKBSm.dll
D:\WINDOWS\system32bdn.com
D:\WINDOWS\system32hxiwlgpm.dat
D:\WINDOWS\system32ssvchost.com
D:\WINDOWS\system32taack.dat
D:\WINDOWS\system32VBIEWER.OCX

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-18 to 2008-05-18 ))))))))))))))))))))))))))))))))))))
.

2008-05-18 11:33 . 2008-05-18 11:33 <REP> d-------- D:\VundoFix Backups
2008-05-18 11:27 . 2008-05-18 11:27 <REP> d-------- D:\Program Files\CCleaner
2008-05-18 11:24 . 2008-05-18 11:24 268 --ah----- D:\sqmdata10.sqm
2008-05-18 11:24 . 2008-05-18 11:24 244 --ah----- D:\sqmnoopt10.sqm
2008-05-14 23:03 . 2008-05-14 23:03 268 --ah----- D:\sqmdata09.sqm
2008-05-14 23:03 . 2008-05-14 23:03 244 --ah----- D:\sqmnoopt09.sqm
2008-05-14 22:55 . 2008-05-14 22:55 <REP> d-------- D:\WINDOWS\resources
2008-05-14 21:05 . 2008-05-14 21:05 <REP> d-------- D:\Documents and Settings\Administrateur\Application Data\vlc
2008-05-14 20:50 . 2007-03-17 21:32 <REP> d--h----- D:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-05-14 20:50 . 2007-03-17 21:32 <REP> d--h----- D:\Documents and Settings\Administrateur\Voisinage d'impression
2008-05-14 20:50 . 2007-03-17 20:39 <REP> d--h----- D:\Documents and Settings\Administrateur\ModŠles
2008-05-14 20:50 . 2007-03-17 21:32 <REP> d-------- D:\Documents and Settings\Administrateur\Mes documents
2008-05-14 20:50 . 2007-03-17 21:32 <REP> dr------- D:\Documents and Settings\Administrateur\Menu D‚marrer
2008-05-14 20:50 . 2007-03-17 21:32 <REP> d-------- D:\Documents and Settings\Administrateur\Favoris
2008-05-14 20:50 . 2007-03-17 21:32 <REP> d-------- D:\Documents and Settings\Administrateur\Bureau
2008-05-14 20:50 . 2008-05-14 20:50 <REP> d-------- D:\Documents and Settings\Administrateur
2008-05-14 20:50 . 2008-05-18 11:49 1,024 --ah----- D:\Documents and Settings\Administrateur\ntuser.dat.LOG
2008-05-14 20:30 . 2008-05-14 20:30 268 --ah----- D:\sqmdata08.sqm
2008-05-14 20:30 . 2008-05-14 20:30 244 --ah----- D:\sqmnoopt08.sqm
2008-05-14 20:24 . 2008-05-14 22:44 3,732 --a------ D:\WINDOWS\system32\tmp.reg
2008-05-14 20:22 . 2007-09-06 00:22 289,144 --a------ D:\WINDOWS\system32\VCCLSID.exe
2008-05-14 20:22 . 2006-04-27 17:49 288,417 --a------ D:\WINDOWS\system32\SrchSTS.exe
2008-05-14 20:22 . 2008-04-24 08:10 86,528 --a------ D:\WINDOWS\system32\VACFix.exe
2008-05-14 20:22 . 2008-04-28 08:03 82,944 --a------ D:\WINDOWS\system32\IEDFix.exe
2008-05-14 20:22 . 2008-04-28 08:03 82,944 --a------ D:\WINDOWS\system32\404Fix.exe
2008-05-14 20:22 . 2003-06-05 21:13 53,248 --a------ D:\WINDOWS\system32\Process.exe
2008-05-14 20:22 . 2004-07-31 18:50 51,200 --a------ D:\WINDOWS\system32\dumphive.exe
2008-05-14 20:22 . 2007-10-04 00:36 25,600 --a------ D:\WINDOWS\system32\WS2Fix.exe
2008-05-14 20:18 . 2008-05-18 12:02 54,156 --ah----- D:\WINDOWS\QTFont.qfn
2008-05-14 20:18 . 2008-05-14 20:18 1,409 --a------ D:\WINDOWS\QTFont.for
2008-05-12 12:29 . 2008-05-12 12:29 268 --ah----- D:\sqmdata07.sqm
2008-05-12 12:29 . 2008-05-12 12:29 244 --ah----- D:\sqmnoopt07.sqm
2008-05-11 14:17 . 2008-05-11 14:17 268 --ah----- D:\sqmdata06.sqm
2008-05-11 14:17 . 2008-05-11 14:17 244 --ah----- D:\sqmnoopt06.sqm
2008-05-10 16:38 . 2008-05-10 16:38 268 --ah----- D:\sqmdata05.sqm
2008-05-10 16:38 . 2008-05-10 16:38 244 --ah----- D:\sqmnoopt05.sqm
2008-05-10 16:23 . 2008-05-10 16:23 268 --ah----- D:\sqmdata04.sqm
2008-05-10 16:23 . 2008-05-10 16:23 244 --ah----- D:\sqmnoopt04.sqm
2008-05-01 02:44 . 2008-05-01 02:44 268 --ah----- D:\sqmdata03.sqm
2008-05-01 02:44 . 2008-05-01 02:44 244 --ah----- D:\sqmnoopt03.sqm
2008-04-25 00:30 . 2008-04-25 00:31 148 --a------ D:\WINDOWS\wininit.ini
2008-04-24 22:28 . 2008-04-24 23:03 <REP> d-------- D:\Program Files\Spyware Doctor
2008-04-24 22:28 . 2008-04-24 22:28 <REP> d-------- D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Application Data\PC Tools
2008-04-24 22:28 . 2007-08-14 17:02 82,248 --a------ D:\WINDOWS\system32\drivers\iksyssec.sys
2008-04-24 22:28 . 2007-08-14 17:02 57,672 --a------ D:\WINDOWS\system32\drivers\iksysflt.sys
2008-04-24 22:28 . 2007-08-14 17:02 40,264 --a------ D:\WINDOWS\system32\drivers\ikfilesec.sys
2008-04-24 22:28 . 2007-08-14 17:02 29,000 --a------ D:\WINDOWS\system32\drivers\kcom.sys
2008-04-24 22:27 . 2005-09-23 07:29 626,688 --a------ D:\WINDOWS\system32\msvcr80.dll
2008-04-24 22:25 . 2008-04-24 22:48 <REP> d-------- D:\Program Files\RogueRemover FREE
2008-04-24 22:04 . 2008-04-24 22:04 <REP> d-------- D:\Program Files\Lavasoft
2008-04-24 22:03 . 2008-04-24 22:10 <REP> d-------- D:\Documents and Settings\All Users.WINDOWS\Application Data\Lavasoft
2008-04-24 21:56 . 2008-04-24 21:57 <REP> d-------- D:\Program Files\Fichiers communs\Wise Installation Wizard
2008-04-24 21:50 . 2008-04-24 21:50 <REP> d-------- D:\Program Files\Safer Networking
2008-04-24 21:48 . 2008-04-24 21:48 <REP> d-------- D:\Program Files\Spybot - Search & Destroy
2008-04-24 21:48 . 2008-04-24 21:56 <REP> d-------- D:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2008-04-18 18:54 . 2008-04-24 22:41 <REP> d-------- D:\Program Files\Internet Spy Filter

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-18 10:03 --------- d-----w D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Application Data\Skype
2008-05-18 09:24 --------- d-----w D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Application Data\Free Download Manager
2008-05-01 01:45 --------- d-----w D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Application Data\TmpRecentIcons
2008-04-16 16:56 --------- d-----w D:\Program Files\Fichiers communs\Panda Software
2008-04-16 00:19 --------- d-----w D:\Program Files\IMVU
2008-04-15 22:41 38,968 ----a-w D:\WINDOWS\system32\drivers\ShlDrv51.sys
2008-04-15 22:41 178,872 ----a-w D:\WINDOWS\system32\drivers\PavProc.sys
2008-04-15 22:23 --------- d-----w D:\Documents and Settings\All Users.WINDOWS\Application Data\sentinel
2008-04-15 22:20 --------- d--h--w D:\Program Files\InstallShield Installation Information
2008-04-15 22:20 --------- d-----w D:\Program Files\Panda Security
2008-04-15 21:56 --------- d-----w D:\Program Files\Kaspersky Lab
2008-04-15 21:56 --------- d-----w D:\Documents and Settings\All Users.WINDOWS\Application Data\Kaspersky Lab
2008-04-15 21:51 53,271,344 ----a-w D:\Program Files\L2008promonetPandaFrancia_FR.exe
2008-04-15 19:00 --------- d-----w D:\Documents and Settings\All Users.WINDOWS\Application Data\mvilixez
2008-04-15 18:07 81,920 ----a-w D:\WINDOWS\rtqmekwg.exe
2008-04-15 18:07 106,496 ----a-w D:\WINDOWS\npqtsrak.exe
2008-04-14 18:25 31,194,490 ----a-w D:\Program Files\kav7.0.1.325.fr.01NET(3).exe
2008-04-14 17:47 31,194,490 ----a-w D:\Program Files\kav7.0.1.325.fr.01NET(2).exe
2008-04-14 15:56 31,194,490 ----a-w D:\Program Files\kav7.0.1.325.fr.01NET(1).exe
2008-04-07 20:49 --------- d-----w D:\Program Files\Windows Live Toolbar
2008-04-07 20:48 --------- d-----w D:\Program Files\Windows Live
2008-04-07 20:41 --------- dcsh--w D:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-04-07 20:13 --------- d-----w D:\Program Files\MSN Messenger
2008-04-07 20:11 --------- d-----w D:\Documents and Settings\All Users.WINDOWS\Application Data\WLInstaller
2008-03-24 23:20 --------- d-----w D:\Program Files\Java
2008-03-12 18:08 31,194,490 ----a-w D:\Program Files\kav7.0.1.325.fr.01NET.exe
2008-02-10 18:40 33,203,392 ----a-w D:\Program Files\kis7.0.1.321.fr.01NET.exe
2008-01-05 08:56 24,802,086 ----a-w D:\Program Files\kav7.0.0.125.fr.01NET.exe
2007-12-03 21:12 26,766,242 ----a-w D:\Program Files\kis700123fr_1644(3).exe
2007-10-24 19:46 26,766,242 ----a-w D:\Program Files\kis700123fr_1644(2).exe
2007-10-01 13:26 79,856 ----a-w D:\Program Files\MySpaceIM_Setup.exe
2007-09-17 10:54 20,256,064 ----a-w D:\Program Files\QuickTimeInstaller.exe
2007-09-16 16:30 299,288 ----a-w D:\Program Files\GmailInstaller.exe
2007-09-16 14:25 26,766,242 ----a-w D:\Program Files\kis700123fr_1644(1).exe
2007-08-18 22:18 9,393,352 ----a-w D:\Program Files\msn-messenger-7-5_msn_messenger_7.5.0324_francais_13499.EXE
2007-08-18 16:51 210,416 ----a-w D:\Program Files\zaSetup_fr.exe
2007-08-14 22:17 26,766,242 ----a-w D:\Program Files\kis700123fr_1644.exe
2007-08-14 19:25 2,631,631 ----a-w D:\Program Files\nl_209_pro.exe
2007-07-30 20:15 73,257,705 ----a-w D:\Program Files\VideoImpression2_trial.exe
2007-03-18 13:02 80,090 ----a-w D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Application Data\SMBIOSSP.exe
2007-03-17 19:24 17,548,889 ----a-w D:\Program Files\HBOffPlus403.exe
2006-11-10 10:19 8,753,929 ----a-w D:\Program Files\av-i386-cumul.zip
2006-10-07 12:35 25,816,576 ----a-w D:\Program Files\R106669.EXE
2005-03-28 09:40 238,080 ----a-w D:\Program Files\nss features matrix v25.xls
2005-03-04 09:36 449,909 ----a-w D:\Program Files\setup.ibt
2005-01-26 09:47 727,552 ----a-w D:\Program Files\dreset.msi
2004-07-28 15:05 3,398 ----a-w D:\Program Files\readme.txt
2004-03-24 07:41 431 ----a-w D:\Program Files\setup.iss
2004-01-02 07:00 3,387 ----a-w D:\Program Files\readme_jp.txt
2004-01-02 06:57 3,092 ----a-w D:\Program Files\readme_ko.txt
2004-01-02 06:56 4,092 ----a-w D:\Program Files\readme_sp.txt
2004-01-02 06:53 2,246 ----a-w D:\Program Files\readme_ct.txt
2004-01-02 06:51 2,245 ----a-w D:\Program Files\readme_cs.txt
2004-01-02 06:47 3,651 ----a-w D:\Program Files\readme_pb.txt
2004-01-02 06:46 4,189 ----a-w D:\Program Files\readme_ge.txt
2004-01-02 06:46 4,057 ----a-w D:\Program Files\readme_fr.txt
2003-11-10 17:55 459,544 ----a-w D:\Program Files\engine32.cab
2000-11-27 17:23 166,400 ----a-w D:\Program Files\Setup.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{00EBE035-E08F-4632-92C2-99D1BB52747F}]
D:\WINDOWS\system32\mlJYrpMG.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7348D74C-731B-DECE-9F8A-A37D8214708E}]
2008-04-15 21:01 10240 --a------ D:\WINDOWS\system32\wlcstp32.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-19 21:57 15360]
"MsnMsgr"="D:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"Skype"="D:\Program Files\Skype\Phone\Skype.exe" [2007-05-10 16:09 23395880]
"Free Download Manager"="D:\Program Files\Free Download Manager\fdm.exe" [2006-08-21 00:24 2068527]
"H/PC Connection Agent"="D:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 14:07 1289000]
"MySpaceIM"="D:\Program Files\MySpace\IM\MySpaceIM.exe" [2007-08-14 02:04 5562368]
"qjwxksph"="D:\WINDOWS\system32\sdcpyveh.exe" [2008-04-15 21:00 114688]
"SpybotSD TeaTimer"="D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SigmaTel StacMon"="D:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe" [2004-04-29 15:15 90169]
"PRONoMgr.exe"="D:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe" [2003-12-19 12:49 86016]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 18:24 28672 D:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-07-16 22:00 335872]
"Dell QuickSet"="D:\Program Files\Dell\QuickSet\quickset.exe" [2004-05-16 21:18 528384]
"Apoint"="D:\Program Files\Apoint\Apoint.exe" [2004-02-02 16:32 155648]
"SunJavaUpdateSched"="D:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"PCMService"="D:\Program Files\Dell\Media Experience\PCMService.exe" [2004-04-11 21:15 290816]
"DVDLauncher"="D:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe" [2004-04-11 12:43 53248]
"POINTER"="point32.exe" []
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 21:56 110592 D:\WINDOWS\system32\bthprops.cpl]
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="D:\Program Files\Google\Gmail Notifier\gnotify.exe" [2005-07-15 23:48 479232]
"QuickTime Task"="D:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24 286720]
"iTunesHelper"="D:\Program Files\iTunes\iTunesHelper.exe" [2007-09-26 14:42 267064]
"Adobe Reader Speed Launcher"="D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"AVP"="D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 21:57 15360]
"MySpaceIM"="D:\Program Files\MySpace\IM\MySpaceIM.exe" [2007-08-14 02:04 5562368]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"322DQeTTQ0"= D:\Documents and Settings\All Users.WINDOWS\Application Data\mvilixez\atwdwpqh.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"DriveWin"= {e9003f56-f077-48fc-acd7-c85875489032} - D:\WINDOWS\Resources\DriveWin.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
D:\WINDOWS\system32\LgNotify.dll 2004-01-13 16:17 110592 D:\WINDOWS\system32\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Program Files\\EA GAMES\\Battlefield 2 Demo\\BF2.exe"=
"D:\Program Files\Microsoft ActiveSync\rapimgr.exe"= D:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"D:\Program Files\Microsoft ActiveSync\wcescomm.exe"= D:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"D:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= D:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"D:\\Program Files\\Internet Explorer\\iexplore.exe"=
"D:\\Program Files\\iTunes\\iTunes.exe"=
"D:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"D:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"D:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 nltdi;nltdi;D:\WINDOWS\system32\drivers\nltdi.sys [2006-09-14 00:01]
S3 klim5;Kaspersky Anti-Virus NDIS Filter;D:\WINDOWS\system32\DRIVERS\klim5.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\LaunchU3.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-02-23 15:11:04 D:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- D:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-18 12:01:42
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: D:\WINDOWS\system32\winlogon.exe
-> D:\WINDOWS\system32\Ati2evxx.dll
.
------------------------ Other Running Processes ------------------------
.
D:\WINDOWS\system32\ati2evxx.exe
D:\WINDOWS\system32\S24EvMon.exe
D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\WINDOWS\system32\drivers\CDAC11BA.EXE
D:\Program Files\NetLimiter 2 Pro\nlsvc.exe
D:\WINDOWS\system32\RegSrvc.exe
D:\WINDOWS\system32\ZCfgSvc.exe
D:\WINDOWS\system32\1XConfig.exe
D:\WINDOWS\system32\ati2evxx.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\NetLimiter 2 Pro\NLClient.exe
D:\Program Files\Microsoft Hardware\Mouse\point32.exe
D:\WINDOWS\system32\rundll32.exe
D:\Program Files\Orange\Logiciel de Synchronisation Orange\Voxsync.exe
D:\PROGRA~1\MI3AA1~1\rapimgr.exe
D:\Program Files\Orange\Logiciel de Synchronisation Orange\SyncManager.exe
D:\Program Files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-18 12:06:05 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-18 10:06:02

Pre-Run: 836,763,648 octets libres
Post-Run: 1,584,951,296 octets libres

268 --- E O F --- 2008-04-09 20:06:47


SmitFraudFix v2.320

Rapport fait à 12:09:11,29, 18/05/2008
Executé à partir de D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

MSNFix 1.716

D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Bureau\MSNFix\MSNFix
Fix exécuté le 18/05/2008 - 12:13:51,15 By Courtois
mode normal

************************ Recherche les fichiers présents

... D:\WINDOWS\system32\tmp.txt

************************ Recherche les dossiers présents

Aucun dossier trouvé




************************ Suppression des fichiers

.. OK ... D:\WINDOWS\system32\tmp.txt



************************ Nettoyage du registre



Les fichiers encore présents seront supprimés au prochain redémarrage


Aucun Fichier trouvé



************************ Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

[D:\WINDOWS\system32\Wint351.exe] 81E6A16BBD2F41A44F8794CA269AC66A

==> SVP merci d'envoyer le fichier D:\DOCUME~1\COURTO~1.COU\Bureau\Upload_Me.zip sur http://upload.changelog.fr



Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 18052008_12174845.zip

************************ HKLM\...\Winlogon\Userinit

Userinit = D:\WINDOWS\system32\userinit.exe,


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------




-->Message édité par Seb1412 le 19/05/2008 13:09:15<--
kmisol
  Imagine ...
  :-)
      ?   @     Posté le 18/05/2008 21:46:25  
Voter pour ce message
:hello: Seb1412

faut-il vraiment tout bien nettoyer avant?

Il vaut mieux ...

----------
Télécharge OTMoveIt1 (de Old_Timer) sur ton bureau...

----------
Ferme toutes les fenêtres et applications.
Relance HijackThis et clique sur > Do a system scan only puis, coche
les cases devant les lignes qui suivent (et uniquement ces lignes), si tjrs présentes :

O2 - BHO: (no name) - {00EBE035-E08F-4632-92C2-99D1BB52747F} - D:\WINDOWS\system32\mlJYrpMG.dll (file missing)
O2 - BHO: Explorer - {7348D74C-731B-DECE-9F8A-A37D8214708E} - D:\WINDOWS\system32\wlcstp32.dll
O4 - HKLM\..\Run: [PRONoMgr.exe] D:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Dell QuickSet] D:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [qjwxksph] D:\WINDOWS\system32\sdcpyveh.exe
O4 - HKLM\..\Policies\Explorer\Run: [322DQeTTQ0] D:\Documents and Settings\All Users.WINDOWS\Application Data\mvilixez\atwdwpqh.exe
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll (file missing)

Ensuite, clique sur > Fix checked et valide par "Yes". Referme HijackThis.

Double-clique sur OTMoveIt.exe pour le lancer.
Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!
Copie le texte qui se trouve dans la citation, ci-dessous, et colle-le dans le cadre
de gauche de OTMoveIt nommé Paste Standard List of Files/Folders to move.

D:\WINDOWS\system32\wlcstp32.dll
D:\WINDOWS\system32\sdcpyveh.exe
D:\Documents and Settings\All Users.WINDOWS\Application Data\mvilixez

Clique sur MoveIt! pour lancer la suppression.
Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.
Copie-colle le rapport dans ta réponse :
Il est situé sur --> C:\_OTMoveIt\MovedFiles.

Il te sera peut-être demandé de redémarrer le PC pour achever la suppression.
Si c'est le cas, attends la fin de la procédure pour redémarrer.

Lance CCleaner ...
Clique sur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
(re)Lance le nettoyage et (re)confirme par OK.

Fais un scan avec Malwarebytes Anti-malware et poste le rapport.

PS : pour supprimer les infections, choisis l'option Supprimer la sélection
ou clique sur le bouton Remove Selected (version anglaise) en bas à gauche.
-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !" ;) Jules Renard
La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/jemengage/ -> http://malamp
Seb1412
  
   
      ?   @     Posté le 24/05/2008 20:30:58  
Voter pour ce message
Bonjour kmisol,

j'ai suivi la procédure et les rapports se trouvent ci dessous.

Est-ce les problèmes sont définitivement finis?

LoadLibrary failed for D:\WINDOWS\system32\wlcstp32.dll
D:\WINDOWS\system32\wlcstp32.dll NOT unregistered.
D:\WINDOWS\system32\wlcstp32.dll moved successfully.
D:\WINDOWS\system32\sdcpyveh.exe moved successfully.
File/Folder D:\WINDOWS\Documents and Settings\All Users.WINDOWS\Application Data\mvilixez not found.

OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 05242008_184417

Malwarebytes' Anti-Malware 1.12
Version de la base de données: 722

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 110089
Temps écoulé: 37 minute(s), 19 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7348d74c-731b-dece-9f8a-a37d8214708e} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\Software\uninstall (Fake.Dropped.Malware) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
D:\Documents and Settings\All Users.WINDOWS\Application Data\mvilixez\atwdwpqh.exe (Trojan.FakeAlert) -> No action taken.
D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Bureau\backups\backup-20080524-183703-397.dll (Spyware.Agent) -> No action taken.
D:\QooBox\Quarantine\D\WINDOWS\system32\vtUmKBSm.dll.vir (Trojan.Vundo) -> No action taken.
D:\WINDOWS\rtqmekwg.exe (Trojan.FakeAlert) -> No action taken.
D:\_OTMoveIt\MovedFiles\05242008_184417\WINDOWS\system32\sdcpyveh.exe (Trojan.FakeAlert) -> No action taken.
D:\_OTMoveIt\MovedFiles\05242008_184417\WINDOWS\system32\wlcstp32.dll (Spyware.Agent) -> No action taken.
D:\WINDOWS\npqtsrak.exe (Trojan.FakeAlert) -> No action taken.
D:\Program Files\Setup.exe (Rogue.Installer) -> No action taken.

kmisol
  Imagine ...
  :-)
      ?   @     Posté le 25/05/2008 01:10:32  
Voter pour ce message
...

Est-ce les problèmes sont définitivement finis?
Non !

Relance le scan Malwarebytes' Anti-Malware !

Pour supprimer les infections, choisis l'option Supprimer la sélection
ou clique sur le bouton Remove Selected (version anglaise) en bas à gauche.

Poste le rapport.

-->Message édité par kmisol le 25/05/2008 01:12:01<--
-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !" ;) Jules Renard
La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/jemengage/ -> http://malamp
Seb1412
  
   
      ?   @     Posté le 25/05/2008 11:56:30  
Voter pour ce message
Bonjour kmisol,

en fait j'ai effacé tout ces vilains fichiers après avoir fait le rapport mais j'ai quand même refait une analyse aujourd'hui et mbam m'en a trouver un nouveau(j'écris depuis mon portable donc j'ai recopié le fichier du rapport:
Clé du registre infectée:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7348d74c-731b-dece-9f8a-a37d8214708e} (Trojan.BHO) ->Quarantined and deleted successfully

Alors,est-ce les problèmes sont définitivement finis et est-ce que je peux sauvegarder mes données sur mon disque externe sans risque?
Mérillym
  Modérateur/Helper
   
      ?   @     Posté le 25/05/2008 16:56:22  
Voter pour ce message
:hello: Bonjour,

Suite à la demande de Kmisol, je vais m'assurer que tout est ok de ton côté :)

Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.

N.B : Si pendant le téléchargement et/ou l’installation tu reçois une alerte de ton antivirus, ignore-là. Certains composants de dss scan peuvent être détectés comme un virus par certains antivirus.

NB : Tu dois être connecté avec des droits d'Administrateur.
  • ferme toutes les applications et fenêtres
  • double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
    Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
  • s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
  • tu devras cliquer 2 fois sur le OK des boîtes de dialogue
    Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
  • quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
    main.txt <- ouvert en premier plan et en plein écran
    extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
    S'il s'agit d'une utilisation supplémentaire de DSS :
  • tu n'auras pas de boîte de dialogue (pas de OK)
  • quand le traitement est terminé, un fichier texte s'affiche :
    main.txt <- ouvert en premier plan et en plein écran

  • copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post
  • copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)
  • n'oublie pas de réactiver les protections si elles ont été stoppées.



    Ce que fait DSS :
  • crée un point de restauration dans Windows XP et Vista
  • nettoie les fichiers temporaires, DPF-Downloaded Program Files et le Cache Internet, vide la Corbeille de tous les lecteurs
  • vérifie quelques zones importantes de ton système et établit un rapport pour examen par ton conseiller en sécurité. DSS lance automatiquement HijackThis pour toi; il va aussi créer un raccourci HijackThis sur ton Bureau si tu n'as pas déjà HijackThis d'installé.

    ;)
    -------
    Dossier prévention>à lire
    Si vous vous faites déjà aider sur un autre forum, merci de me le dire !
    • Seb1412
      
       
          ?   @     Posté le 25/05/2008 19:15:38  
    Voter pour ce message
    Bonjour Mérillym,

    ci-dessous, le rapport.

    Tout va bien?

    Deckard's System Scanner v20071014.68
    Run by Courtois on 2008-05-25 18:54:47
    Computer is in Normal Mode.
    --------------------------------------------------------------------------------

    -- System Restore --------------------------------------------------------------

    Successfully created a Deckard's System Scanner Restore Point.


    -- Last 5 Restore Point(s) --
    15: 2008-05-25 16:54:54 UTC - RP299 - Deckard's System Scanner Restore Point
    14: 2008-05-25 14:31:08 UTC - RP298 - Point de vérification système
    13: 2008-05-18 14:14:03 UTC - RP297 - Installé Logiciel de Synchronisation Orange
    12: 2008-05-18 09:49:01 UTC - RP296 - ComboFix created restore point
    11: 2008-04-24 20:01:47 UTC - RP295 - Installé Ad-Aware 2007


    -- First Restore Point --
    1: 2008-04-16 23:20:52 UTC - RP285 - Kaspersky Anti-Virus 7.0 est installé.


    Backed up registry hives.
    Performed disk cleanup.

    System Drive D: has 1.44 GiB (less than 15%) free.


    -- HijackThis (run as Courtois.exe) --------------------------------------------

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:56:15, on 25/05/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16640)
    Boot mode: Normal

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\Ati2evxx.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\S24EvMon.exe
    D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    D:\WINDOWS\system32\drivers\CDAC11BA.EXE
    D:\Program Files\NetLimiter 2 Pro\nlsvc.exe
    D:\WINDOWS\system32\RegSrvc.exe
    D:\WINDOWS\system32\ZCfgSvc.exe
    D:\WINDOWS\system32\1XConfig.exe
    D:\WINDOWS\system32\Ati2evxx.exe
    D:\WINDOWS\Explorer.EXE
    D:\WINDOWS\system32\wscntfy.exe
    D:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
    D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    D:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    D:\Program Files\Dell\Media Experience\PCMService.exe
    D:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
    D:\Program Files\Microsoft Hardware\Mouse\point32.exe
    D:\WINDOWS\system32\rundll32.exe
    D:\WINDOWS\system32\ctfmon.exe
    D:\Program Files\Microsoft ActiveSync\wcescomm.exe
    D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    D:\PROGRA~1\MI3AA1~1\rapimgr.exe
    D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Bureau\dss.exe
    D:\DOCUME~1\COURTO~1.COU\Bureau\Courtois.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {00EBE035-E08F-4632-92C2-99D1BB52747F} - (no file)
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Program Files\Free Download Manager\iefdmcks.dll
    O4 - HKLM\..\Run: [SigmaTel StacMon] D:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [Apoint] D:\Program Files\Apoint\Apoint.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [PCMService] "D:\Program Files\Dell\Media Experience\PCMService.exe"
    O4 - HKLM\..\Run: [DVDLauncher] "D:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
    O4 - HKLM\..\Run: [POINTER] point32.exe
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] D:\Program Files\Google\Gmail Notifier\gnotify.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Free Download Manager] D:\Program Files\Free Download Manager\fdm.exe -autorun
    O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Program Files\Microsoft ActiveSync\wcescomm.exe"
    O4 - HKCU\..\Run: [MySpaceIM] D:\Program Files\MySpace\IM\MySpaceIM.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Logiciel de Synchronisation Orange.lnk = D:\Program Files\Orange\Logiciel de Synchronisation Orange\Voxsync.exe
    O8 - Extra context menu item: Download all with Free Download Manager - file://D:\Program Files\Free Download Manager\dlall.htm
    O8 - Extra context menu item: Download selected with Free Download Manager - file://D:\Program Files\Free Download Manager\dlselected.htm
    O8 - Extra context menu item: Download with Free Download Manager - file://D:\Program Files\Free Download Manager\dllink.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O15 - Trusted Zone: http://www.taatu.com
    O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://s.tf1.fr/mmdia/static/rawflow/clients/5.3.1.0/Rawflow.cab
    O16 - DPF: {4EFE4BE8-8771-4649-B3EF-D97374C8D2C2} (KeybHunterWebInterface Class) - https://particuliers.secure.lcl.fr/everest/S/UWDL/UWDLSTATIQUE/UWDLPUB/acc/v_1(...)
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O21 - SSODL: DriveWin - {e9003f56-f077-48fc-acd7-c85875489032} - D:\WINDOWS\Resources\DriveWin.dll (file missing)
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe (file missing)
    O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - D:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NetLimiter (nlsvc) - Locktime Software - D:\Program Files\NetLimiter 2 Pro\nlsvc.exe
    O23 - Service: RegSrvc - Intel Corporation - D:\WINDOWS\system32\RegSrvc.exe
    O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - D:\WINDOWS\system32\S24EvMon.exe
    O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Program Files\Spyware Doctor\svcntaux.exe
    O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Program Files\Spyware Doctor\swdsvc.exe

    --
    End of file - 8507 bytes

    -- HijackThis Fixed Entries (D:\DOCUME~1\COURTO~1.COU\Bureau\backups\) ---------

    backup-20080524-183703-143 O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    backup-20080524-183703-397 O2 - BHO: Explorer - {7348D74C-731B-DECE-9F8A-A37D8214708E} - D:\WINDOWS\system32\wlcstp32.dll
    backup-20080524-183703-414 O4 - HKLM\..\Policies\Explorer\Run: [322DQeTTQ0] D:\Documents and Settings\All Users.WINDOWS\Application Data\mvilixez\atwdwpqh.exe
    backup-20080524-183703-645 O4 - HKLM\..\Run: [PRONoMgr.exe] D:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
    backup-20080524-183703-677 O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
    backup-20080524-183703-826 O4 - HKCU\..\Run: [Skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    backup-20080524-183703-844 O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll (file missing)
    backup-20080524-183703-855 O4 - HKLM\..\Run: [Dell QuickSet] D:\Program Files\Dell\QuickSet\quickset.exe
    backup-20080524-183703-886 O2 - BHO: (no name) - {00EBE035-E08F-4632-92C2-99D1BB52747F} - D:\WINDOWS\system32\mlJYrpMG.dll (file missing)
    backup-20080524-183703-890 O4 - HKCU\..\Run: [qjwxksph] D:\WINDOWS\system32\sdcpyveh.exe
    backup-20080524-183703-944 O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"

    -- File Associations -----------------------------------------------------------

    .reg - regfile - shell\open\command - regedit.exe "%1" %*
    .scr - scrfile - shell\open\command - "%1" %*


    -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

    R1 nltdi - d:\windows\system32\drivers\nltdi.sys <Not Verified; Locktime Software; NetLimiter 2>
    R1 OMCI (OMCI WDM Device Driver) - d:\windows\system32\drivers\omci.sys <Not Verified; Dell Inc; OMCI Driver>
    R2 CdaC15BA - d:\windows\system32\drivers\cdac15ba.sys
    R2 MDC8021X (AEGIS Protocol (IEEE 802.1x) v2.2.1.0) - d:\windows\system32\drivers\mdc8021x.sys <Not Verified; Meetinghouse Data Communications; AEGIS Client 2.2>
    R2 s24trans (WLAN Transport) - d:\windows\system32\drivers\s24trans.sys <Not Verified; Intel Corporation; Intel Wireless LAN Packet Driver>
    R3 pfc (Padus ASPI Shell) - d:\windows\system32\drivers\pfc.sys <Not Verified; Padus, Inc.; Padus(R) ASPI Shell>

    S0 kl1 - d:\windows\system32\drivers\kl1.sys (file missing)
    S1 klif - d:\windows\system32\drivers\klif.sys (file missing)
    S3 klim5 (Kaspersky Anti-Virus NDIS Filter) - d:\windows\system32\drivers\klim5.sys (file missing)
    S3 vsdatant - d:\windows\system32\vsdatant.sys (file missing)


    -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

    R2 Apple Mobile Device - "d:\program files\fichiers communs\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service>
    R2 C-DillaCdaC11BA - d:\windows\system32\drivers\cdac11ba.exe <Not Verified; C-Dilla Ltd; SafeCast Windows NT>
    R2 nlsvc (NetLimiter) - "d:\program files\netlimiter 2 pro\nlsvc.exe" <Not Verified; Locktime Software; NetLimiter 2 Pro>
    R2 RegSrvc - d:\windows\system32\regsrvc.exe <Not Verified; Intel Corporation; RegSrvc Module>

    S2 AVP (Kaspersky Anti-Virus 7.0) - "d:\program files\kaspersky lab\kaspersky anti-virus 7.0\avp.exe" -r (file missing)


    -- Device Manager: Disabled ----------------------------------------------------

    Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
    Description: Modem PCI
    Device ID: PCI\VEN_8086&DEV_24C6&SUBSYS_542214F1&REV_01\3&61AAA01&0&FE
    Manufacturer:
    Name: Modem PCI
    PNP Device ID: PCI\VEN_8086&DEV_24C6&SUBSYS_542214F1&REV_01\3&61AAA01&0&FE
    Service:

    Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
    Description: Kaspersky Anti-Virus NDIS Miniport
    Device ID: ROOT\KL_KLIM5MP\0000
    Manufacturer: Kaspersky Lab
    Name: Windows Mobile-based Internet Sharing Device - Kaspersky Anti-Virus NDIS Miniport
    PNP Device ID: ROOT\KL_KLIM5MP\0000
    Service: klim5

    Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
    Description: Kaspersky Anti-Virus NDIS Miniport
    Device ID: ROOT\KL_KLIM5MP\0001
    Manufacturer: Kaspersky Lab
    Name: Intel(R) PRO/Wireless 2200BG Network Connection - Kaspersky Anti-Virus NDIS Miniport
    PNP Device ID: ROOT\KL_KLIM5MP\0001
    Service: klim5

    Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
    Description: Kaspersky Anti-Virus NDIS Miniport
    Device ID: ROOT\KL_KLIM5MP\0002
    Manufacturer: Kaspersky Lab
    Name: Broadcom 440x 10/100 Integrated Controller - Kaspersky Anti-Virus NDIS Miniport
    PNP Device ID: ROOT\KL_KLIM5MP\0002
    Service: klim5

    Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
    Description: Kaspersky Anti-Virus NDIS Miniport
    Device ID: ROOT\KL_KLIM5MP\0003
    Manufacturer: Kaspersky Lab
    Name: Miniport réseau étendu (IP) - Kaspersky Anti-Virus NDIS Miniport
    PNP Device ID: ROOT\KL_KLIM5MP\0003
    Service: klim5


    -- Scheduled Tasks -------------------------------------------------------------

    2008-02-23 17:11:04 284 --a------ D:\WINDOWS\Tasks\AppleSoftwareUpdate.job


    -- Files created between 2008-04-25 and 2008-05-25 -----------------------------

    2008-05-25 14:58:07 0 dr-h----- D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Recent
    2008-05-24 18:49:35 0 d-------- D:\Documents and Settings\Courtois.COURTOIS-C9C4EB\Application Data\Malwarebytes
    2008-05-24 18:49:29 0 d-------- D:\Documents and Settings\All Users.WINDOWS\Application Data\Malwarebytes
    2008-05-24 18:49:28 0 d-------- D:\Program Files\Malwarebytes' Anti-Malware
    2008-05-18 12:59:07 0 d-------- D:\WINDOWS\system32\NtmsData
    2008-05-18 11:48:32 161792 --a------ D:\WINDOWS\swreg.exe <Not Verified; SteelWerX; SteelWerX Registry Editor>
    2008-05-18 11:48:31 68096 --a------ D:\WINDOWS\zip.exe
    2008-05-18 11:48:31 49152 --a------ D:\WINDOWS\VFind.exe
    2008-05-18 11:48:31 212480 --a------ D:\WINDOWS\swxcacls.exe <Not Verified; SteelWerX; SteelWerX Extended Configurator ACLists>
    2008-05-18 11:48:31 136704 --a-