01net    Web


Actuellement en ligne : 578 Utilisateurs dont 69 dans Sécurité, virus et assimilés >S'inscrire      >S'identifier      >Recherche      >Aide  
modéré par A.Ouloube, naheulbeuk, bibou0007, totoftotof, IL-MAFIOSO, smilblick  
01net > Forum de 01net > Sécurité, virus et assimilés > Trojan et spywares
> Trojan Vundo.H

  Offre d'emploi : 01net recrute 2 développeurs PHP / MySql
Auteur
Message
 
<     1       >
LORAN67
  d'Alsace
   
      ?   @     Posté le 24/08/2008 16:41:45  
Voter pour ce message
Bonjour à tous, j'ai chopé le trojan Vundo.H et malgré mes recherches sur le net et les differents essais (mode sans echec) et que ce soit avec différents logiciels
Qq'un aurait-il une solution ??
Merci pour vos réponses,
loran67

Ps : ai également scanné mon PC : il trouve un autre trojan win32/Boaxxe.F ??




-->Message édité par LORAN67 le 24/08/2008 17:06:36<--
kmisol
  Imagine ...
  :-)
      ?   @     Posté le 24/08/2008 16:52:26  
Voter pour ce message
:hello: LORAN67

Merci de lire ce qui suit ...
http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/a_(...)

Replaces-toi sur ton message et clique sur < inclued picture >. Une fois dans le message,
tu supprimes le rapport HJT et tu cliques sur > Poster ce message.

Dès que c' est fait, reviens nous le dire.

Merci de ta compréhension.
-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !" ;) Jules Renard
La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/jemengage/ -> http://malamp
LORAN67
  d'Alsace
   
      ?   @     Posté le 24/08/2008 17:08:08  
Voter pour ce message
OK et merci, n'avait pas fait attention..
loran67
kmisol
  Imagine ...
  :-)
      ?   @     Posté le 24/08/2008 17:29:35  
Voter pour ce message
...

:super:

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

* Double-clique sur VundoFix.exe afin de le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique "YES".
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique "OK".
* Redémarre ton PC.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt

Note : il est possible que VundoFix soit confronté à un fichier qu'il ne
peut supprimer.
Si tel est le cas, l'outil se lancera au prochain redémarrage ; il faut
simplement suivre les instructions ci-haut, à partir de "clique sur le
bouton Scan for Vundo".

-------
Télécharge VirtumondeBegone.

* Lance VirtumondeBegone.exe puis, suis les instructions.
* Une fois son travail terminé, redémarre puis, poste le rapport.

-------
Fais un scan avec Malwarebytes Anti-malware et poste le rapport.

PS : pour supprimer les infections, choisis l'option Supprimer la sélection
ou clique sur le bouton Remove Selected (version anglaise) en bas à gauche.

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !" ;) Jules Renard
La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/jemengage/ -> http://malamp
LORAN67
  d'Alsace
   
      ?   @     Posté le 24/08/2008 17:58:42  
Voter pour ce message
Re..

1 - VundoFix n'a trouvé aucune trace d'1 fichier infecté

2 - Virtumond rapport :

08/24/2008, 17:43:12] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\laurent\Mes documents\VirtumundoBeGone.exe" )
[08/24/2008, 17:43:18] - Detected System Information:
[08/24/2008, 17:43:18] - Windows Version: 5.1.2600, Service Pack 2
[08/24/2008, 17:43:18] - Current Username: laurent (Admin)
[08/24/2008, 17:43:19] - Windows is in NORMAL mode.
[08/24/2008, 17:43:19] - Searching for Browser Helper Objects:
[08/24/2008, 17:43:19] - BHO 1: l ()
[08/24/2008, 17:43:19] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/24/2008, 17:43:19] - No filename found. Continuing.
[08/24/2008, 17:43:19] - BHO 2: {18DF081C-E8AD-4283-A596-FA578C2EBDC3} (Adobe PDF Link Helper)
[08/24/2008, 17:43:19] - BHO 3: {1C9E6318-EA51-4C9B-83FB-BEDECBF53A90} ()
[08/24/2008, 17:43:19] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/24/2008, 17:43:19] - Checking for HKLM\...\Winlogon\Notify\jtxnltg
[08/24/2008, 17:43:19] - Key not found: HKLM\...\Winlogon\Notify\jtxnltg, continuing.
[08/24/2008, 17:43:19] - BHO 4: {724d43a9-0d85-11d4-9908-00400523e39a} ()
[08/24/2008, 17:43:19] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/24/2008, 17:43:19] - Checking for HKLM\...\Winlogon\Notify\roboform
[08/24/2008, 17:43:19] - Key not found: HKLM\...\Winlogon\Notify\roboform, continuing.
[08/24/2008, 17:43:19] - BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[08/24/2008, 17:43:19] - Finished Searching Browser Helper Objects
[08/24/2008, 17:43:19] - Finishing up...
[08/24/2008, 17:43:19] - Nothing found! Exiting...

3 - Malwarrebytes fichiers infectés trouvés, mais malgré le re-demarrage non supprimés :

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1078
Windows 5.1.2600 Service Pack 2

17:50:57 2008-08-24
mbam-log-08-24-2008 (17-50-54).txt

Type de recherche: Examen rapide
Eléments examinés: 52903
Temps écoulé: 5 minute(s), 35 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1c9e6318-ea51-4c9b-83fb-bedecbf53a90} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\eftortxw (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1c9e6318-ea51-4c9b-83fb-bedecbf53a90} (Trojan.Vundo.H) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\system32\jtxnltg.dll (Trojan.Vundo.H) -> No action taken.

Merci
loran67


kmisol
  Imagine ...
  :-)
      ?   @     Posté le 24/08/2008 18:01:48  
Voter pour ce message
...

Tu as choisis l'option Supprimer la sélection (ou clique sur le
bouton Remove Selected -si version anglaise- en bas à gauche) ?
-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !" ;) Jules Renard
La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/jemengage/ -> http://malamp
LORAN67
  d'Alsace
   
      ?   @     Posté le 24/08/2008 18:04:17  
Voter pour ce message
Re...
Oui, j'ai fait remove selection, il m'a laissé un message me disant que les fichiers seraient supprimés lors du re-démarrage...mais hélas ils apparaissent à nouveau..
LORAN67
  d'Alsace
   
      ?   @     Posté le 24/08/2008 18:08:22  
Voter pour ce message
Peut-ètre en mode sans echec avec désactivation de la restauration ???
kmisol
  Imagine ...
  :-)
      ?   @     Posté le 24/08/2008 18:12:10  
Voter pour ce message
...

Télécharge OTMoveIt1 (de Old_Timer) sur ton bureau...

Double-clique sur OTMoveIt.exe pour le lancer.
Assures-toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!
Copie le texte qui se trouve dans la citation, ci-dessous, et colle-le dans le cadre
de gauche de OTMoveIt nommé Paste Standard List of Files/Folders to move.

c:\WINDOWS\system32\jtxnltg.dll

Clique sur MoveIt! pour lancer la suppression.
Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.
Copie-colle le rapport dans ta réponse ; tu le trouveras
sous … --> C:\_OTMoveIt\MovedFiles.

Il te sera peut-être demandé de redémarrer le PC pour achever la suppression.
Si c'est le cas, attends la fin de la procédure pour redémarrer.

-------
Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) :

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1c9e6318-ea51-4c9b-83fb-bedecbf53a90}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\eftortxw]
[-HKEY_CLASSES_ROOT\CLSID\{1c9e6318-ea51-4c9b-83fb-bedecbf53a90}]



Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

L'icône de fix.reg doit ressembler à cela < inclued picture >

Quitte Internet et double clique sur fix2.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !" ;) Jules Renard
La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/jemengage/ -> http://malamp
LORAN67
  d'Alsace
   
      ?   @     Posté le 24/08/2008 18:30:13  
Voter pour ce message
J'ai executé, mais lorsque je fait "moveIt" j'ai le message "l'application ou la dll c/windows/system32/meavseww.dll n'est pas une image valide...vérifier avec une disquette d'install"
et ci dessous rapport OTMovIt :

LoadLibrary failed for c:\WINDOWS\system32\jtxnltg.dll
c:\WINDOWS\system32\jtxnltg.dll NOT unregistered.
File move failed. c:\WINDOWS\system32\jtxnltg.dll scheduled to be moved on reboot.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08242008_182442

Files moved on Reboot...
LoadLibrary failed for c:\WINDOWS\system32\jtxnltg.dll
c:\WINDOWS\system32\jtxnltg.dll NOT unregistered.
File move failed. c:\WINDOWS\system32\jtxnltg.dll scheduled to be moved on reboot.

ça devient dur !

kmisol
  Imagine ...
  :-)
      ?   @     Posté le 24/08/2008 18:38:05  
Voter pour ce message
...

(si ce n’ est déjà fait) Télécharge CCleaner
("Download Latest Version", sur la droite) et laisse-toi guider.
Ne coche pas >>> "Ajouter la barre d' outils Yahoo".
Laisse-le s’ installer tel que …

Redémarre le PC en mode sans échec
(méthode F8 de préférence)

--------------------------------------------
Tu n' auras pas accès à Internet pendant le "mode sans échec".
Aussi, copie/colle la procédure dans un fichier texte (word) et mets-la
sur le "bureau" pour l' avoir à ta disposition.
--------------------------------------------

Affiche les fichiers et dossiers cachés
Pour ce faire, tu vas dans un dossier, par ex. "Mes Images".
Ensuite, clique sur > Outils > Options des dossiers ...
clique sur l' onglet « Affichage » et ...
coche --> Afficher les fichiers et dossiers cachés
décoche > Masquer les extensions des fichiers dont le type est connu
décoche > Masquer les fichiers protégés du système d' exploitation (recommandé).
« Appliquer » et « OK ».

Ensuite, va dans > Démarrer > Poste de travail > C:\

et supprime le(s) fichier(s) en gras, ci-dessous, si tu le(s) trouves.

c:\WINDOWS\system32\jtxnltg.dll <--

Vide la Corbeille.

[:lolo 1:7] Remet les fichiers et dossiers cachés comme tu les as trouvés !

Lance CCleaner ...
Clique sur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
(re)Lance le nettoyage et (re)confirme par OK.

Redémarre en mode normal.

------
Si ça ne fonctionne pas, essaie avec Unlocker ...
http://www.tutomaker.com/forum/effacer-fichier-recalcitrant-avec-unlocker-t23(...)


-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !" ;) Jules Renard
La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/jemengage/ -> http://malamp
LORAN67
  d'Alsace
   
      ?   @     Posté le 24/08/2008 19:05:04  
Voter pour ce message
Impossible à supprimer : accès refusé
Idem avec SHredd et Unlocker

Je croit que j'ai gagné au loto !
LORAN67
  d'Alsace
   
      ?   @     Posté le 24/08/2008 19:09:56  
Voter pour ce message
Et j'ai pourtant fait bien attention à la procédure, j'ai recommencé 2 fois au cas ou...
kmisol
  Imagine ...
  :-)
      ?   @     Posté le 24/08/2008 19:31:20  
Voter pour ce message
...

Relance VundoFix et Malwarebytes, puis poste les rapports.
-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !" ;) Jules Renard
La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/jemengage/ -> http://malamp
LORAN67
  d'Alsace
   
      ?   @     Posté le 24/08/2008 19:45:56  
Voter pour ce message
...
Vundoxfix ne trouve toujours rien, par contre anti-malware :

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1078
Windows 5.1.2600 Service Pack 2

19:44:20 2008-08-24
mbam-log-08-24-2008 (19-44-13).txt

Type de recherche: Examen rapide
Eléments examinés: 1381
Temps écoulé: 17 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1c9e6318-ea51-4c9b-83fb-bedecbf53a90} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\eftortxw (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1c9e6318-ea51-4c9b-83fb-bedecbf53a90} (Trojan.Vundo.H) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\system32\jtxnltg.dll (Trojan.Vundo.H) -> No action taken.

Trojan toujours là...
kmisol
  Imagine ...
  :-)
      ?   @     Posté le 24/08/2008 19:53:09  
Voter pour ce message
...

Repasse-le en mode sans échec !
-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !" ;) Jules Renard
La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/jemengage/ -> http://malamp
LORAN67
  d'Alsace
   
      ?   @     Posté le 24/08/2008 20:15:53  
Voter pour ce message
Resultat indentique, pC toujours infecté !!

Merci beaucoup pour ton aide, j'arrète pour ce soir les manips, je reprendrait ce post un autre soir dès que j'aurais le temps..

Merci encore

loran67
kmisol
  Imagine ...
  :-)
      ?   @     Posté le 24/08/2008 22:13:12  
Voter pour ce message
...

Va dans menu Démarrer > Exécuter..., et tape (copie-colle) ce
qui est en citation ...

regsvr32 /u C:\WINDOWS\system32\jtxnltg.dll


... et valide par OK.

Ensuite, ...

Affiche les fichiers et dossiers cachés …

Pour ce faire, tu vas dans un dossier, par ex. "Mes Images".
Ensuite, clique sur > Outils > Options des dossiers ...
clique sur l' onglet « Affichage » et ...
coche --> Afficher les fichiers et dossiers cachés
décoche > Masquer les extensions des fichiers dont le type est connu
décoche > Masquer les fichiers protégés du système d' exploitation (recommandé).
« Appliquer » et « OK ».

Ensuite, va dans > Démarrer > Poste de travail > C:\

et supprime le(s) fichier(s) en gras, ci-dessous, si tu le(s) trouves.

c:\WINDOWS\system32\jtxnltg.dll <--

Vide la Corbeille.

Remet les fichiers et dossiers cachés comme tu les as trouvés !

Lance CCleaner ...
Clique sur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre
qui s' affiche. (re)Lance le nettoyage et (re)confirme par OK.

------
Eventuellement, fais-le en mode sans échec (après avoir affiché
les fichiers et dossiers cachés).

------
Tu peux aussi essayer avec OTMoveIt (tjrs en mode sans echec,
si possible).


-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !" ;) Jules Renard
La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/jemengage/ -> http://malamp
LORAN67
  d'Alsace
   
      ?   @     Posté le 25/08/2008 07:07:02  
Voter pour ce message
...

Hélas, toujours pas bon
En fait, en tapant dans executer : regsvr32... j'ai le message suivant : c/windows... n'est pas un fichier executable

J'ai vraiment attrapé une belle bestiole !

loran67

Ps : encore merci
kmisol
  Imagine ...
  :-)
      ?   @     Posté le 25/08/2008 08:33:25  
Voter pour ce message
:hello: LORAN67

Télécharge SDFix (par AndyManchesta)

Redémarre en mode sans échec (de préférence par F8 au démarrage).

--------------------------------------------
Tu n' auras pas accès à Internet pendant le "mode sans échec".
Aussi, copie/colle la procédure dans un fichier texte (word) et mets-la
sur le "bureau" pour l' avoir à ta disposition.
--------------------------------------------

Double-clique sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur
RunThis.cmd (ou RunThis.bat) pour lancer le script.

Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre des trojans trouvés puis te
demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va
Continuer à s'exécuter et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera "Finished".
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera
Aussi dans le dossier SDFix sous le nom Report.txt.

Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse avec un nouveau
rapport Hijackthis.
-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !" ;) Jules Renard
La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/jemengage/ -> http://malamp
LORAN67
  d'Alsace
   
      ?   @     Posté le 25/08/2008 19:37:48  
Voter pour ce message
Bonsoir...

Raport SDFix :

SDFix: Version 1.219
Run by laurent on 2008-08-25 at 19:18

Microsoft Windows XP [version 5.1.2600]
Running From: C:\Documents and Settings\laurent\Bureau\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found

Rapport Hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:33, on 2008-08-25
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Microsoft Private Folder 1.0\PrfldSvc.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Program Files\BOINC\boincmgr.exe
C:\Program Files\BOINC\boinc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - l - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {1C9E6318-EA51-4C9B-83FB-BEDECBF53A90} - c:\windows\system32\jtxnltg.dll
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: BOINC Manager.lnk = C:\Program Files\BOINC\boincmgr.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} - http://www.mypixmania.com/fr/fr/importer/MypixUploader.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5036.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} - http://www.mypix.com/fr/fr/importer/ImageUploader4.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housec(...)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://copainsdavant.linternaute.com/html_include_bibliotheque/objimageupload(...)
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15030/CTPID.cab
O20 - Winlogon Notify: eftortxw - C:\WINDOWS\SYSTEM32\jtxnltg.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Program Files\Microsoft Private Folder 1.0\PrfldSvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

--
End of file - 8987 bytes


La sale bète est toujours là...c'est pire qu'un Alien !!!

loran67
kmisol
  Imagine ...
  :-)
      ?   @     Posté le 25/08/2008 23:21:52  
Voter pour ce message
:hello: LORAN67

Toutes fenêtres et applications fermées, relance HijackThis ...

> Open the misc tool section > Delete a file on reboot

et copie/colle cette ligne ...

c:\windows\system32\jtxnltg.dll

... dans la fenêtre "Nom de fichier"

Puis, clique sur "Ouvrir". Valide, le PC RED2MARRE.
-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !" ;) Jules Renard
La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/jemengage/ -> http://malamp
LORAN67
  d'Alsace
   
      ?   @     Posté le 26/08/2008 06:29:19  
Voter pour ce message
Ok manip faite, bestiole toujours là.
dois-je te poster un nouveau rapport Hijack ?
a+
kmisol
  Imagine ...
  :-)
      ?   @     Posté le 26/08/2008 21:43:54  
Voter pour ce message
:hello: LORAN67

Avec 1 de ces 3 liens, télécharge Combofix (par sUBs) sur ton bureau :
ComboFix 1, ComboFix 2 ou ComboFix 3.

Puis, démarre en mode sans échec

Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
ComboFix redémarrera ton PC.
Lorsque le scan sera complété, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse et nouveau rapport hijackthis

PS : Le rapport se trouve également ici : C:\Combofix.txt

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !" ;) Jules Renard
La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/jemengage/ -> http://malamp
LORAN67
  d'Alsace
   
      ?   @     Posté le 27/08/2008 07:10:01  
Voter pour ce message
slt,

Rapport comboxfix :

ComboFix 08-08-26.02 - laurent 2008-08-27 6:55:39.3 - NTFSx86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.677 [GMT 2:00]
Endroit: C:\Documents and Settings\laurent\Bureau\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((( Fichiers créés 2008-07-27 to 2008-08-27 ))))))))))))))))))))))))))))))))))))
.

2008-08-25 19:15 . 2008-08-25 19:15 <REP> d-------- C:\WINDOWS\ERUNT
2008-08-24 18:14 . 2008-08-24 18:14 <REP> d-------- C:\_OTMoveIt
2008-08-24 15:57 . 2008-08-24 15:57 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-08-23 18:04 . 2008-08-23 18:04 <REP> d-------- C:\VundoFix Backups
2008-08-23 18:00 . 2008-08-23 18:00 <REP> d-------- C:\Program Files\Trend Micro
2008-08-23 09:49 . 2008-08-23 09:49 <REP> d-------- C:\Documents and Settings\laurent\Application Data\Malwarebytes
2008-08-23 09:48 . 2008-08-23 09:48 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-23 09:48 . 2008-08-23 09:48 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Malwarebytes
2008-08-23 09:48 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-23 09:48 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-20 07:31 . 2008-08-20 07:31 <REP> d-------- C:\Program Files\Gadwin Systems
2008-08-19 07:50 . 2008-08-19 07:50 0 --a------ C:\WINDOWS\system32\SBRC.dat
2008-08-19 07:50 . 2008-08-19 07:50 0 --a------ C:\WINDOWS\system32\SBFC.dat
2008-08-19 07:26 . 1996-08-20 20:37 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe
2008-08-19 07:26 . 2005-09-25 16:37 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys
2008-08-19 07:26 . 2008-08-19 07:26 3,120 --a------ C:\WINDOWS\system32\118290.54
2008-08-19 07:26 . 2008-08-19 07:26 3,120 --a------ C:\WINDOWS\118294.78
2008-08-19 07:26 . 2003-08-13 00:27 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys
2008-08-19 07:25 . 2008-08-23 17:43 <REP> d-------- C:\Program Files\Defenza
2008-08-18 08:06 . 2008-08-21 07:27 2,704 --a------ C:\WINDOWS\system32\settings.aaw
2008-08-18 08:06 . 2008-08-21 07:27 960 --a------ C:\WINDOWS\system32\history.aaw
2008-08-17 18:22 . 2008-06-10 21:22 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-08-17 18:22 . 2008-06-02 15:19 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-08-17 18:22 . 2008-06-02 15:19 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-08-17 18:22 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-08-17 18:21 . 2008-08-26 13:21 <REP> d-------- C:\Program Files\Spyware Doctor
2008-08-17 18:21 . 2008-08-17 18:21 <REP> d-------- C:\Documents and Settings\laurent\Application Data\PC Tools
2008-08-17 17:21 . 2008-08-17 17:21 <REP> d-------- C:\Program Files\Lavasoft
2008-08-17 17:21 . 2008-08-17 17:21 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-08-17 17:21 . 2008-08-17 17:22 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Lavasoft
2008-08-17 16:55 . 2006-10-12 18:31 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-08-17 16:55 . 2006-10-12 18:31 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-08-17 16:55 . 2006-10-12 16:36 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-08-17 16:55 . 2006-10-12 18:31 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-08-17 16:55 . 2006-10-12 18:31 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-08-17 16:55 . 2006-10-12 18:31 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-08-17 16:55 . 2006-10-12 18:31 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-08-17 16:55 . 2008-08-17 16:55 <REP> d-------- C:\Documents and Settings\Administrateur
2008-08-16 07:22 . 2008-08-16 07:25 <REP> d-------- C:\Program Files\RegCleaner
2008-08-15 11:28 . 2008-08-15 12:16 4 --a------ C:\WINDOWS\youyou.SCB5
2008-08-10 09:39 . 2008-08-10 09:39 <REP> d-------- C:\Documents and Settings\laurent\Application Data\BSD Concept
2008-08-10 09:39 . 2008-08-11 19:29 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\BSD
2008-08-02 17:02 . 2008-08-02 18:05 4 --a------ C:\WINDOWS\Super LOLO.SCB5
2008-08-02 16:57 . 2008-08-02 17:01 4 --a------ C:\WINDOWS\Super laurent.SCB5
2008-08-02 16:45 . 2008-08-02 16:56 4 --a------ C:\WINDOWS\XXXXXXXXXXXXXX.SCB5
2008-08-02 11:08 . 2008-08-02 11:21 4 --a------ C:\WINDOWS\LAURENT F..SCB5
2008-08-02 10:20 . 2008-08-02 10:34 4 --a------ C:\WINDOWS\LAURENT.SCB5
2008-08-01 19:53 . 2008-08-21 19:19 336 --a------ C:\WINDOWS\SCORES.CB5
2008-08-01 19:47 . 2008-08-21 19:19 100 --a------ C:\WINDOWS\NAME.SCB5
2008-08-01 19:47 . 2008-08-21 19:19 4 --a------ C:\WINDOWS\lolo.SCB5
2008-08-01 18:38 . 2008-08-01 18:38 <REP> d-------- C:\Program Files\BSD Concept
2008-08-01 18:38 . 2008-08-01 18:38 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\BSD Concept
2008-07-27 15:01 . 2008-07-27 15:01 <REP> d-------- C:\Documents and Settings\NetworkService.AUTORITE NT.001\Application Data\ktazqoao
2008-07-27 07:09 . 2008-07-27 07:09 <REP> d-------- C:\Documents and Settings\laurent\Application Data\ktazqoao

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-27 04:53 --------- d---a-w C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP
2008-08-27 04:52 --------- d-----w C:\Program Files\BOINC
2008-08-23 16:18 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-08-23 15:49 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2008-08-23 09:36 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Apple Computer
2008-08-23 08:13 --------- d-----w C:\Program Files\Fichiers communs\Real
2008-08-23 07:44 --------- d-----w C:\Program Files\Windows Live Safety Center
2008-08-19 05:25 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-17 17:21 --------- d-----w C:\Documents and Settings\laurent\Application Data\Vso
2008-08-17 15:08 --------- d-----w C:\Program Files\Google
2008-08-01 17:46 --------- d-----w C:\Program Files\Micro Application
2008-08-01 16:39 --------- d-----w C:\Documents and Settings\laurent\Application Data\Micro Application
2008-07-25 15:17 --------- d-----w C:\Program Files\DivX
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-06 17:45 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\NOS
2008-07-06 17:43 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
.

((((((((((((((((((((((((((((( snapshot@2008-08-23_18.36.12.40 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-08-25 17:15:33 4,820,992 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat
+ 2008-08-25 17:15:33 409,600 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-08-25 17:15:31 4,820,992 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\ntuser.dat
+ 2008-08-25 17:15:32 409,600 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1C9E6318-EA51-4C9B-83FB-BEDECBF53A90}]
2004-08-05 14:00 105472 --a------ c:\windows\system32\jtxnltg.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RoboForm"="C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [2008-08-15 07:37 160592]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008]
"ISTray"="C:\Program Files\Spyware Doctor\pctsTray.exe" [2008-07-16 09:16 1166216]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

C:\Documents and Settings\laurent\Menu D‚marrer\Programmes\D‚marrage\
BOINC Manager.lnk - C:\Program Files\BOINC\boincmgr.exe [2007-11-13 14:44:44 4141056]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoFavoritesMenu"= 0 (0x0)
"NoSMMyPictures"= 0 (0x0)
"NoStartMenuMyMusic"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)
"NoInstrumentation"= 0 (0x0)
"NoSimpleStartMenu"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoFavoritesMenu"= 0 (0x0)
"NoSMMyPictures"= 0 (0x0)
"NoStartMenuMyMusic"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)
"NoInstrumentation"= 0 (0x0)
"NoStartMenuPinnedList"= 0 (0x0)
"ForceStartMenuLogoff"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoClose"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\eftortxw]
2004-08-05 14:00 105472 C:\WINDOWS\system32\jtxnltg.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\DAP\\DAP.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Civilization4.exe"=
"C:\\Program Files\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Warlords\\Civ4Warlords.exe"=
"C:\\Program Files\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Beyond the Sword\\Civ4BeyondSword.exe"=
"C:\\Program Files\\SSI\\Silent Hunter II\\Shell\\SH2.exe"=

R0 vflowqdq;vflowqdq;C:\WINDOWS\system32\drivers\vflowqdq.sys [2004-08-05 14:00]
S1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35]
S2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
S2 Dnscache;Client DNS;C:\WINDOWS\system32\svchost.exe [2004-08-05 14:00]
S2 Machnm32;Machnm32 Driver;C:\WINDOWS\System32\Machnm32.sys [2003-08-13 00:27]
S2 Prvflder;Prvflder;C:\WINDOWS\system32\DRIVERS\prvflder.sys [2006-04-21 09:22]
S3 nenum13E;nenum13E;C:\DOCUME~1\laurent\LOCALS~1\Temp\nenum13E.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
rmnhsheu
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

2008-08-26 C:\WINDOWS\Tasks\User_Feed_Synchronization-{3ECAFB86-D35A-4519-920C-F9CE75F51BB8}.job
- C:\WINDOWS\system32\msfeedssync.exe [2006-10-17 12:58]
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.fr/
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
O8 -: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 -: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 -: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 -: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 -: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 -: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 -: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O18 -: Name-Space Handler: ftp\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - C:\PROGRA~1\DAP\dapie.dll
O18 -: Name-Space Handler: http\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - C:\PROGRA~1\DAP\dapie.dll

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

O16 -: {1F83CD9E-505E-4F87-BECE-0832A763E36F} - hxxp://www.mypixmania.com/fr/fr/importer/MypixUploader.cab
C:\WINDOWS\Downloaded Program Files\MypixUploader.inf
C:\WINDOWS\system32\unicows.dll
C:\WINDOWS\Downloaded Program Files\MypixUploader.ocx

O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan8/oscan8.cab
C:\WINDOWS\Downloaded Program Files\oscan8.inf
C:\WINDOWS\Downloaded Program Files\oscan81.ocx_x
C:\WINDOWS\bdoscandellang.ini
C:\WINDOWS\bdoscandel.exe
C:\WINDOWS\Downloaded Program Files\live.ini
C:\WINDOWS\Downloaded Program Files\scanoptions.tsi
C:\WINDOWS\Downloaded Program Files\lang.ini
C:\WINDOWS\Downloaded Program Files\oscan8.ocx

O16 -: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://copainsdavant.linternaute.com/html_include_bibliotheque/objimageupload(...)
C:\WINDOWS\Downloaded Program Files\ImageUploader5.inf
C:\WINDOWS\system32\unicows.dll
C:\WINDOWS\Downloaded Program Files\ImageUploader5.ocx
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-27 06:58:48
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-08-27 7:00:44
ComboFix-quarantined-files.txt 2008-08-27 05:00:20
ComboFix2.txt 2008-08-23 16:36:58

Pre-Run: 47,499,010,048 octets libres
Post-Run: 47,487,680,512 octets libres

205 --- E O F --- 2008-08-14 17:04:21

Rapport hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:04:45, on 27/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Microsoft Private Folder 1.0\PrfldSvc.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Program Files\BOINC\boincmgr.exe
C:\Program Files\BOINC\boinc.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - l - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {1C9E6318-EA51-4C9B-83FB-BEDECBF53A90} - c:\windows\system32\jtxnltg.dll
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: BOINC Manager.lnk = C:\Program Files\BOINC\boincmgr.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49