Infection PSGuard

Bonsoir

On va commencer avec cet utilitaire.
* Télécharge SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Tu le dézippes sur le Bureau.

* Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Postes le rapport.

* Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarres l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuyes sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionnes le mode sans échec approprié et appuyes sur Entrée.

* Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.

* Redémarres normalement et communiques le deuxième rapport de SmitfraudFix avec un nouveau rapport Hijackthis.

Voila le rapport après l'option 1 :
SmitFraudFix v1.81

Rapport fait à 22:16:10,88 le 29/08/2005
Executé à partir de D:\antivirus\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

C:\WINDOWS\uninstIU.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

C:\WINDOWS\system32\intell32.exe PRESENT !
C:\WINDOWS\system32\oleext.dll PRESENT !
C:\WINDOWS\system32\wppp.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Famille\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Recherche fichiers créés le 29/08/2005
!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!

C:\pagefile.sys
C:\Program
C:\WINDOWS
C:\WINDOWS\.
C:\WINDOWS\..
C:\WINDOWS\0.log
C:\WINDOWS\bootstat.dat
C:\WINDOWS\Debug
C:\WINDOWS\Downloaded
C:\WINDOWS\ef.exe
C:\WINDOWS\Installer
C:\WINDOWS\Internet
C:\WINDOWS\mm1.exe
C:\WINDOWS\Prefetch
C:\WINDOWS\SchedLgU.Txt
C:\WINDOWS\setupact.log
C:\WINDOWS\setupapi.log
C:\WINDOWS\system.ini
C:\WINDOWS\system32
C:\WINDOWS\Tasks
C:\WINDOWS\Temp
C:\WINDOWS\wiadebug.log
C:\WINDOWS\wiaservc.log
C:\WINDOWS\winsocks5.exe
C:\WINDOWS\system32\.
C:\WINDOWS\system32\..
C:\WINDOWS\system32\amkkxaaa.exe
C:\WINDOWS\system32\Atmfraxx.GID
C:\WINDOWS\system32\CatRoot2
C:\WINDOWS\system32\config
C:\WINDOWS\system32\desktop.dll
C:\WINDOWS\system32\drivers
C:\WINDOWS\system32\fsusprxy.ocx
C:\WINDOWS\system32\hgakheg.dll
C:\WINDOWS\system32\intell32.exe
C:\WINDOWS\system32\lfbkcuuv.dll
C:\WINDOWS\system32\rwxjaaaa.exe
C:\WINDOWS\system32\umebtfxb.exe
C:\WINDOWS\system32\vsconfig.xml
C:\WINDOWS\system32\wins32.dll
C:\WINDOWS\system32\wppp.html
C:\WINDOWS\system32\xqinaaaa.exe
C:\WINDOWS\system32\zllictbl.dat
C:\WINDOWS\system32\ZoneLabs

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD

HKLM\SOFTWARE\SHUDDERLTD Présent !

C:\WINDOWS\system32\wininet.dll infecté !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D870-1FC6

R‚pertoire de C:\WINDOWS\ServicePackFiles\i386

29/08/2002 11:45 603ÿ136 wininet.dll
1 fichier(s) 603ÿ136 octets

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\12a6656285c2311e0b0d8330747299a4\rtmgdr

27/04/2005 16:42 580ÿ608 wininet.dll
1 fichier(s) 580ÿ608 octets

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\12a6656285c2311e0b0d8330747299a4\RTMQFE

28/04/2005 00:36 590ÿ848 wininet.dll
1 fichier(s) 590ÿ848 octets

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\ca2eb2c119cac0a904faa567558b4137\rtmgdr

18/06/2005 00:26 580ÿ608 wininet.dll
1 fichier(s) 580ÿ608 octets

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\ca2eb2c119cac0a904faa567558b4137\RTMQFE

18/06/2005 10:11 591ÿ360 wininet.dll
1 fichier(s) 591ÿ360 octets

R‚pertoire de C:\WINDOWS\system32

29/08/2002 11:45 603ÿ136 wininet.dll
1 fichier(s) 603ÿ136 octets

Total des fichiers list‚sÿ:
6 fichier(s) 3ÿ549ÿ696 octets
0 R‚p(s) 2ÿ134ÿ700ÿ032 octets libres

Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est B09E-22D1

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

PS : merci d'avoir rep aussi vite

2nd rapport :
SmitFraudFix v1.81

Rapport fait à 22:31:49,53 le 29/08/2005
Executé à partir de D:\antivirus\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\uninstIU.exe supprimé
C:\WINDOWS\system32\intell32.exe supprimé
Problème suppression C:\WINDOWS\system32\oleext.dll
C:\WINDOWS\system32\wppp.html supprimé



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
HKLM\SOFTWARE\SHUDDERLTD supprimé

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Recheche wininet.dll

C:\WINDOWS\system32\wininet.dll infecté !

Recherche d'une copie de secours (backup) de wininet.dll...
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D870-1FC6

R‚pertoire de C:\WINDOWS\ServicePackFiles\i386

29/08/2002 11:45 603ÿ136 wininet.dll
1 fichier(s) 603ÿ136 octets

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\12a6656285c2311e0b0d8330747299a4\rtmgdr

27/04/2005 16:42 580ÿ608 wininet.dll
1 fichier(s) 580ÿ608 octets

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\12a6656285c2311e0b0d8330747299a4\RTMQFE

28/04/2005 00:36 590ÿ848 wininet.dll
1 fichier(s) 590ÿ848 octets

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\ca2eb2c119cac0a904faa567558b4137\rtmgdr

18/06/2005 00:26 580ÿ608 wininet.dll
1 fichier(s) 580ÿ608 octets

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\ca2eb2c119cac0a904faa567558b4137\RTMQFE

18/06/2005 10:11 591ÿ360 wininet.dll
1 fichier(s) 591ÿ360 octets

R‚pertoire de C:\WINDOWS\system32

29/08/2002 11:45 603ÿ136 wininet.dll
1 fichier(s) 603ÿ136 octets

Total des fichiers list‚sÿ:
6 fichier(s) 3ÿ549ÿ696 octets
0 R‚p(s) 2ÿ136ÿ719ÿ360 octets libres

Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est B09E-22D1

Fichier trouvé : C:\WINDOWS\ServicePackFiles\i386\wininet.dll
Version System : 6.0.2800.1106
Version BackUp : 6.0.2800.1106

Remplacement wininet.dll (reboot necessaire)

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



Rapport Hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 22:36:32, on 29/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\WINDOWS\inet20081\services.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\atiptaxx.exe
D:\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\rbmqwfka.exe
C:\WINDOWS\winsocks5.exe
C:\WINDOWS\System32\ctfmon.exe
C:\windows\wyenmkx.exe
C:\WINDOWS\ServicePackFiles\i386\IExplore.exe
C:\WINDOWS\mm1.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Seb\Antivirus Jo\HijackThis.exe
C:\WINDOWS\Downloaded Program Files\update.exe
C:\WINDOWS\System32\intell32.exe
C:\Program Files\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w-find.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe,h323srvr.exe
F3 - REG:win.ini: run=C:\WINDOWS\inet20081\services.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\fsusprxy.exe,C:\Documents and Settings\Famille\Application Data\Explorer\fsusprxy.exe,C:\Documents and Settings\Famille\Application Data\Explorer\h323srvr.exe,C:\WINDOWS\System32\h323srvr.exe
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 82.179.166.164 lender-search.com
O1 - Hosts: 82.179.166.165 hot-searches.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_6_2_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - (no file)
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_6_2_0.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] D:\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [desktop] C:\WINDOWS\System32\desktop.exe
O4 - HKLM\..\Run: [rbmqwfka] C:\WINDOWS\System32\rbmqwfka.exe
O4 - HKLM\..\Run: [Remote Explorer] C:\WINDOWS\System32\h323srvr.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20081\services.exe
O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINDOWS\winsocks5.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\RunServices: [desktop] C:\WINDOWS\System32\desktop.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [vqpvout] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [desktop] C:\WINDOWS\System32\desktop.exe
O4 - HKCU\..\Run: [rbmqwfka] C:\WINDOWS\System32\rbmqwfka.exe
O4 - HKCU\..\Run: [Remote Explorer] C:\WINDOWS\System32\h323srvr.exe
O4 - HKCU\..\Run: [uegmbtr] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [yekwknk] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [xrtnvue] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [jkmsuhi] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [dfviofh] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [dnebcns] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [ogfkxsj] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [gsupfci] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [esvqusk] c:\windows\vutktns.exe
O4 - HKCU\..\Run: [hwmedac] c:\windows\vutktns.exe
O4 - HKCU\..\Run: [fnvfxim] c:\windows\cqvkerc.exe
O4 - HKCU\..\Run: [yjlrqmb] c:\windows\bqqpslh.exe
O4 - HKCU\..\Run: [yfccfwf] c:\windows\bqqpslh.exe
O4 - HKCU\..\Run: [swftwiq] c:\windows\ntgtaxf.exe
O4 - HKCU\..\Run: [lhoydlp] c:\windows\jupfwvi.exe
O4 - HKCU\..\Run: [qpanjax] c:\windows\jupfwvi.exe
O4 - HKCU\..\Run: [wpfgpum] c:\windows\jupfwvi.exe
O4 - HKCU\..\Run: [qmaqrah] c:\windows\jupfwvi.exe
O4 - HKCU\..\Run: [lrigyhe] c:\windows\jupfwvi.exe
O4 - HKCU\..\Run: [esixrqw] c:\windows\jupfwvi.exe
O4 - HKCU\..\Run: [jxlckpl] c:\windows\jupfwvi.exe
O4 - HKCU\..\Run: [tdydbnc] c:\windows\ldmyvex.exe
O4 - HKCU\..\Run: [tleghei] c:\windows\ldmyvex.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20081\services.exe
O4 - HKCU\..\Run: [kvhohvq] c:\windows\ldmyvex.exe
O4 - HKCU\..\Run: [uincrlc] c:\windows\exfubdd.exe
O4 - HKCU\..\Run: [grvpbfc] c:\windows\tnbfbcy.exe
O4 - HKCU\..\Run: [oumwgvm] c:\windows\nrkrbtu.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Startup: winupdate86287438[1].exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm414YY...
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yins...
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{20CB4C92-7053-48BA-B534-3376F21CD212}: NameServer = 212.151.136.254 130.244.127.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{20CB4C92-7053-48BA-B534-3376F21CD212}: NameServer = 212.151.136.254 130.244.127.161
O21 - SSODL: Remote Browser - {512F486A-5B35-46EB-B3E2-D66A7AEE5C7E} - C:\WINDOWS\System32\atrilspl.dll (file missing)
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe


Dsl petit souci de connexion. En attendant tes réponses. Merci

Re

SmitfraudFix a fait du ménage, mais ce n'est pas fini.

1 Télécharge
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

Cws-hsa.reg
http://www.bleepingcomputer.com/forums/index.php?act=At...
Installe le sur le Bureau

CWShredder
http://cwshredder.net/bin/CWShredder.exe
Mettre CWShredder dans un répertoire dédié

Ewido
http://www.ewido.net/fr/download/
Tu l'installes et tu le mets à jour.

Hoster
http://www.funkytoad.com/download/hoster.zip
Ensuite, tu le dézippes sur ton bureau.

DelDomain.inf
http://www.mvps.org/winhelp2002/restricted.htm
clic droit / Enregistrer la cible sous... Mettre sur le bureau.

2 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.

3 Double clique sur Cws-hsa.reg

4 Lance Ewido.
Fais un scan en mode complet.
Sauvegardes le rapport.

5 Lancer CWShredder
Fermer toutes les fenêtres
Cliquer sur "Fix".

6 Lance Hoster - Toadbee et clique sur " Restore original Hosts "

7 Fais un clic droit le fichier Del_Domains.inf -->Installer

8 Lance et exécute CCleaner.

9 Redémarre normalement et poste un nouveau log HijackThis avec le rapport d'Ewido.

Et quel est ton antivirus, ton parefeu ?

Dsl pour la longue attente :
3 eme Rapport Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 14:26:00, on 30/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\Documents and Settings\Famille\Bureau\seb\security suite\ewidoctrl.exe
C:\Documents and Settings\Famille\Bureau\seb\security suite\ewidoguard.exe
C:\WINDOWS\inet20081\services.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\atiptaxx.exe
D:\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\windows\wyenmkx.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\ServicePackFiles\i386\IExplore.exe
C:\WINDOWS\Explorer.EXE
D:\Seb\Antivirus Jo\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w-find.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe,h323srvr.exe
F3 - REG:win.ini: run=C:\WINDOWS\inet20081\services.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\fsusprxy.exe,C:\Documents and Settings\Famille\Application Data\Explorer\fsusprxy.exe,C:\Documents and Settings\Famille\Application Data\Explorer\h323srvr.exe,C:\WINDOWS\System32\h323srvr.exe
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 82.179.166.164 lender-search.com
O1 - Hosts: 82.179.166.165 hot-searches.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_6_2_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - (no file)
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_6_2_0.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] D:\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Remote Explorer] C:\WINDOWS\System32\h323srvr.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20081\services.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [vqpvout] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [rbmqwfka] C:\WINDOWS\System32\rbmqwfka.exe
O4 - HKCU\..\Run: [Remote Explorer] C:\WINDOWS\System32\h323srvr.exe
O4 - HKCU\..\Run: [uegmbtr] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [yekwknk] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [xrtnvue] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [jkmsuhi] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [dfviofh] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [dnebcns] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [ogfkxsj] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [gsupfci] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [esvqusk] c:\windows\vutktns.exe
O4 - HKCU\..\Run: [hwmedac] c:\windows\vutktns.exe
O4 - HKCU\..\Run: [fnvfxim] c:\windows\cqvkerc.exe
O4 - HKCU\..\Run: [yjlrqmb] c:\windows\bqqpslh.exe
O4 - HKCU\..\Run: [yfccfwf] c:\windows\bqqpslh.exe
O4 - HKCU\..\Run: [swftwiq] c:\windows\ntgtaxf.exe
O4 - HKCU\..\Run: [lhoydlp] c:\windows\jupfwvi.exe
O4 - HKCU\..\Run: [qpanjax] c:\windows\jupfwvi.exe
O4 - HKCU\..\Run: [wpfgpum] c:\windows\jupfwvi.exe
O4 - HKCU\..\Run: [qmaqrah] c:\windows\jupfwvi.exe
O4 - HKCU\..\Run: [lrigyhe] c:\windows\jupfwvi.exe
O4 - HKCU\..\Run: [esixrqw] c:\windows\jupfwvi.exe
O4 - HKCU\..\Run: [jxlckpl] c:\windows\jupfwvi.exe
O4 - HKCU\..\Run: [tdydbnc] c:\windows\ldmyvex.exe
O4 - HKCU\..\Run: [tleghei] c:\windows\ldmyvex.exe
O4 - HKCU\..\Run: [kvhohvq] c:\windows\ldmyvex.exe
O4 - HKCU\..\Run: [uincrlc] c:\windows\exfubdd.exe
O4 - HKCU\..\Run: [grvpbfc] c:\windows\tnbfbcy.exe
O4 - HKCU\..\Run: [oumwgvm] c:\windows\nrkrbtu.exe
O4 - HKCU\..\Run: [wmlwelm] c:\windows\nrkrbtu.exe
O4 - HKCU\..\Run: [qjmqwum] c:\windows\nrkrbtu.exe
O4 - HKCU\..\Run: [alvsnpj] c:\windows\slslqfn.exe
O4 - HKCU\..\Run: [kyrphyv] c:\windows\ocltokk.exe
O4 - HKCU\..\Run: [jjnxjug] c:\windows\slslqfn.exe
O4 - HKCU\..\Run: [pgbcynu] c:\windows\ocltokk.exe
O4 - HKCU\..\Run: [yyptofa] c:\windows\lbiogwl.exe
O4 - HKCU\..\Run: [rjhnmac] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [vnqcrdp] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20081\services.exe
O4 - HKCU\..\Run: [blpkode] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [fdpdgxg] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [chusqct] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [egwkfto] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [jnokmhy] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [uxuxvby] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [qcqmmol] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [qpewwte] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [jannnvl] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [qdanhxu] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [eixdowe] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [eprscvy] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [gkvlrux] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [ihqpchr] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [hofsteq] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [tabpbin] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [vdslrde] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [gjhwmfl] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [jiafenr] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [oewyxun] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [tgluaho] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [gdeprxr] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [nljnbdp] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [stgfosp] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [ifbyqxx] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [rgxrmri] c:\windows\xrmoytt.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yins...
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{20CB4C92-7053-48BA-B534-3376F21CD212}: NameServer = 212.151.136.254 130.244.127.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{20CB4C92-7053-48BA-B534-3376F21CD212}: NameServer = 212.151.136.254 130.244.127.161
O21 - SSODL: Remote Browser - {512F486A-5B35-46EB-B3E2-D66A7AEE5C7E} - C:\WINDOWS\System32\atrilspl.dll (file missing)
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: ewido security suite control - ewido networks - C:\Documents and Settings\Famille\Bureau\seb\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Documents and Settings\Famille\Bureau\seb\security suite\ewidoguard.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe



Rapport Ewido :
---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------

+ Créé le: 06:57:05, 30/08/2005
+ Somme de contrôle: ED13D88F

+ Résultats du scan:

HKLM\SOFTWARE\Classes\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{FAA356E4-D317-42a6-AB41-A3021C6E7D52} -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{0E704BA4-C517-4BE7-A1CD-C3FFDA1E1FFE} -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\ISTbar.BarObj -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\ISTbar.BarObj\CLSID -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Replace.HBO -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Replace.HBO\CLSID -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Replace.HBO\CurVer -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\TestContentMatchControl1.ContentMatchTag -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\TestContentMatchControl1.ContentMatchTag\CLSID -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\TestContentMatchControl1.ContentMatchTag\CurVer -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\TypeLib\{C5991634-0185-4B0D-B4F9-6C45597962B7} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\TypeLib\{E9A5B71C-093B-4F34-AF07-34FCA89BA0DF} -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75} -> Spyware.NetNucleus : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ISTbar -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Policies\Avenue Media -> Spyware.InternetOptimizer : Nettoyer et sauvegarder
HKU\S-1-5-21-1547161642-1957994488-46626563-1003\Software\Microsoft\Internet Explorer\Explorer Bars\{8CBA1B49-8144-4721-A7B1-64C578C9EED7} -> Spyware.SideFind : Nettoyer et sauvegarder
HKU\S-1-5-21-1547161642-1957994488-46626563-1003\Software\Policies\Avenue Media -> Spyware.InternetOptimizer : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Application Data\Explorer\atrilspl.dll -> Backdoor.PPdoor.bc : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Cookies\famille@bluestreak[2].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Cookies\famille@tribalfusion[1].txt -> Spyware.Cookie.Tribalfusion : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Cookies\famille@valueclick[1].txt -> Spyware.Cookie.Valueclick : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\bb.exe -> TrojanDownloader.Adload.a : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Cookies\famille@112.2o7[1].txt -> Spyware.Cookie.2o7 : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Cookies\famille@2o7[2].txt -> Spyware.Cookie.2o7 : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Cookies\famille@ad.yieldmanager[2].txt -> Spyware.Cookie.Yieldmanager : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Cookies\famille@atdmt[2].txt -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Cookies\famille@bfast[1].txt -> Spyware.Cookie.Bfast : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Cookies\famille@bluestreak[1].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Cookies\famille@casalemedia[1].txt -> Spyware.Cookie.Casalemedia : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Cookies\famille@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Cookies\famille@ehg-vivacances.hitbox[2].txt -> Spyware.Cookie.Hitbox : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Cookies\famille@fastclick[2].txt -> Spyware.Cookie.Fastclick : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Cookies\famille@hitbox[1].txt -> Spyware.Cookie.Hitbox : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Cookies\famille@iv2.bluestreak[1].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Cookies\famille@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Cookies\famille@overture[2].txt -> Spyware.Cookie.Overture : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Cookies\famille@revenue[2].txt -> Spyware.Cookie.Revenue : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Cookies\famille@spylog[2].txt -> Spyware.Cookie.Spylog : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Cookies\famille@statcounter[1].txt -> Spyware.Cookie.Statcounter : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Cookies\famille@statse.webtrendslive[1].txt -> Spyware.Cookie.Webtrendslive : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Cookies\famille@weborama[1].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Cookies\famille@www.sidefind[2].txt -> Spyware.Cookie.Sidefind : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Cookies\famille@www.smartadserver[1].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Temporary Internet Files\Content.IE5\01IZWL6V\conn[1].dat -> Spyware.Hijacker.Generic : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Temporary Internet Files\Content.IE5\IHNS90ZQ\file[1].exe -> TrojanDownloader.Small.xk : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Temporary Internet Files\Content.IE5\OJDB62RP\e9xr2[1].chm -> TrojanDownloader.Small.xk : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\Temporary Internet Files\Content.IE5\OJDB62RP\hpp3n[1].hta -> Spyware.Hijacker.Generic : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temp\uninstall.exe -> Spyware.SurfAccuracy : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\Content.IE5\456J8XAZ\update[1].exe -> Trojan.Small.ev : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\Content.IE5\6DKJQX21\update[2].exe -> Trojan.Small.ev : Nettoyer et sauvegarder
C:\Documents and Settings\Famille\Menu Démarrer\Programmes\Démarrage\winupdate86287438[1].exe -> TrojanDropper.Small.ue : Nettoyer et sauvegarder
C:\eied_s7.cab/eied_s7_c_30.exe -> TrojanDownloader.Mediket.ay : Erreur durant le nettoyage
C:\Program Files\MSN Messenger\riched20.dll -> Spyware.MyWebSearch : Nettoyer et sauvegarder
C:\Program Files\Yahoo!\YPSR\Quarantine\ppq35D.tmp -> TrojanDownloader.IstBar.jm : Nettoyer et sauvegarder
C:\Program Files\Yahoo!\YPSR\Quarantine\ppq35E.tmp -> TrojanDownloader.Dyfuca.ei : Nettoyer et sauvegarder
C:\Program Files\Yahoo!\YPSR\Quarantine\ppq37E.tmp -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder
C:\Program Files\Yahoo!\YPSR\Quarantine\ppq37F.tmp -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
C:\Program Files\Yahoo!\YPSR\Quarantine\ppq381.tmp -> Spyware.Cookie.Mediaplex : Nettoyer et sauvegarder
C:\Program Files\Yahoo!\YPSR\Quarantine\ppq382.tmp -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder
C:\Program Files\Yahoo!\YPSR\Quarantine\ppq383.tmp -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\MirarSetup.exe -> Adware.SaveNow : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\MirarSetup.exe -> Adware.SaveNow : Nettoyer et sauvegarder
C:\WINDOWS\ef.exe -> Worm.Delf.i : Nettoyer et sauvegarder
C:\WINDOWS\system32\ala343.exe -> Spyware.Hijacker.Generic : Nettoyer et sauvegarder
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GBWD7VM8\me_7[1].dat -> TrojanProxy.Small.cq : Nettoyer et sauvegarder
C:\WINDOWS\system32\desktop.exe -> TrojanProxy.Small.cq : Nettoyer et sauvegarder
C:\WINDOWS\system32\l_____e.exe -> TrojanProxy.Small.cq : Nettoyer et sauvegarder
C:\WINDOWS\system32\sysupd1003.exe -> Spyware.Hijacker.Generic : Nettoyer et sauvegarder
C:\WINDOWS\system32\uc1362.exe -> TrojanDownloader.Small.aqw : Nettoyer et sauvegarder
C:\WINDOWS\system32\ucsi.exe -> Backdoor.Agent.bc : Nettoyer et sauvegarder
C:\WINDOWS\system32\ucsl.exe -> TrojanDownloader.Small.aom : Nettoyer et sauvegarder
C:\WINDOWS\system32\wppp.html -> Spyware.PSGuard : Nettoyer et sauvegarder
C:\WINDOWS\system32\xqinaaaa.exe -> Backdoor.Small.gv : Nettoyer et sauvegarder
C:\WINDOWS\uninstIU.exe -> Trojan.Small.ev : Nettoyer et sauvegarder
D:\Seb\adware setup.exe -> Spyware.AlexaBar : Nettoyer et sauvegarder
D:\Seb\eMule\Incoming\Symantec Norton 2005 Key Generators (Antivirus - Systemworks - Internet Security)par.eMule-Paradise.com.rar/Symantec Norton 2005 Key Generators ( antivirus - systemworks - internet security )\Internet Security 2005 Key Generator\KEY GENERATOR.EXE -> TrojanDropper.Delf.fd : Nettoyer et sauvegarder


::Fin du rapport

Merci beaucoup, en espérant me débarasser totalement de ce spyware

Bonsoir

1 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.

2 Désinstalle ces applications (si tu les trouves) dans Ajout-Suppression de programmes :

MyWebSearch

3 Relance un scan HijackThis et coche les lignes ci-dessous :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w-find.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/
R3 - URLSearchHook: (no name) - _{00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe,h323srvr.exe
F3 - REG:win.ini: run=C:\WINDOWS\inet20081\services.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\fsusprxy.exe,C:\Documents and Settings\Famille\Application Data\Explorer\fsusprxy.exe,C:\Documents and Settings\Famille\Application Data\Explorer\h323srvr.exe,C:\WINDOWS\System32\h323srvr.exe
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 82.179.166.164 lender-search.com
O1 - Hosts: 82.179.166.165 hot-searches.com
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O3 - Toolbar: (no name) - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - (no file)
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O4 - HKLM\..\Run: [Remote Explorer] C:\WINDOWS\System32\h323srvr.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20081\services.exe
O4 - HKCU\..\Run: [vqpvout] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [rbmqwfka] C:\WINDOWS\System32\rbmqwfka.exe
O4 - HKCU\..\Run: [Remote Explorer] C:\WINDOWS\System32\h323srvr.exe
O4 - HKCU\..\Run: [uegmbtr] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [yekwknk] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [xrtnvue] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [jkmsuhi] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [dfviofh] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [dnebcns] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [ogfkxsj] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [gsupfci] c:\windows\wyenmkx.exe
O4 - HKCU\..\Run: [esvqusk] c:\windows\vutktns.exe
O4 - HKCU\..\Run: [hwmedac] c:\windows\vutktns.exe
O4 - HKCU\..\Run: [fnvfxim] c:\windows\cqvkerc.exe
O4 - HKCU\..\Run: [yjlrqmb] c:\windows\bqqpslh.exe
O4 - HKCU\..\Run: [yfccfwf] c:\windows\bqqpslh.exe
O4 - HKCU\..\Run: [swftwiq] c:\windows\ntgtaxf.exe
O4 - HKCU\..\Run: [lhoydlp] c:\windows\jupfwvi.exe
O4 - HKCU\..\Run: [qpanjax] c:\windows\jupfwvi.exe
O4 - HKCU\..\Run: [wpfgpum] c:\windows\jupfwvi.exe
O4 - HKCU\..\Run: [qmaqrah] c:\windows\jupfwvi.exe
O4 - HKCU\..\Run: [lrigyhe] c:\windows\jupfwvi.exe
O4 - HKCU\..\Run: [esixrqw] c:\windows\jupfwvi.exe
O4 - HKCU\..\Run: [jxlckpl] c:\windows\jupfwvi.exe
O4 - HKCU\..\Run: [tdydbnc] c:\windows\ldmyvex.exe
O4 - HKCU\..\Run: [tleghei] c:\windows\ldmyvex.exe
O4 - HKCU\..\Run: [kvhohvq] c:\windows\ldmyvex.exe
O4 - HKCU\..\Run: [uincrlc] c:\windows\exfubdd.exe
O4 - HKCU\..\Run: [grvpbfc] c:\windows\tnbfbcy.exe
O4 - HKCU\..\Run: [oumwgvm] c:\windows\nrkrbtu.exe
O4 - HKCU\..\Run: [wmlwelm] c:\windows\nrkrbtu.exe
O4 - HKCU\..\Run: [qjmqwum] c:\windows\nrkrbtu.exe
O4 - HKCU\..\Run: [alvsnpj] c:\windows\slslqfn.exe
O4 - HKCU\..\Run: [kyrphyv] c:\windows\ocltokk.exe
O4 - HKCU\..\Run: [jjnxjug] c:\windows\slslqfn.exe
O4 - HKCU\..\Run: [pgbcynu] c:\windows\ocltokk.exe
O4 - HKCU\..\Run: [yyptofa] c:\windows\lbiogwl.exe
O4 - HKCU\..\Run: [rjhnmac] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [vnqcrdp] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20081\services.exe
O4 - HKCU\..\Run: [blpkode] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [fdpdgxg] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [chusqct] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [egwkfto] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [jnokmhy] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [uxuxvby] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [qcqmmol] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [qpewwte] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [jannnvl] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [qdanhxu] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [eixdowe] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [eprscvy] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [gkvlrux] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [ihqpchr] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [hofsteq] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [tabpbin] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [vdslrde] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [gjhwmfl] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [jiafenr] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [oewyxun] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [tgluaho] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [gdeprxr] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [nljnbdp] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [stgfosp] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [ifbyqxx] c:\windows\itljnnb.exe
O4 - HKCU\..\Run: [rgxrmri] c:\windows\xrmoytt.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O21 - SSODL: Remote Browser - {512F486A-5B35-46EB-B3E2-D66A7AEE5C7E} - C:\WINDOWS\System32\atrilspl.dll (file missing)

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

4 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\Program Files\MyWebSearch
C:\Documents and Settings\Famille\Application Data\Explorer\fsusprxy.exe
C:\Documents and Settings\Famille\Application Data\Explorer\h323srvr.exe

C:\WINDOWS\inet20081
c:\windows\wyenmkx.exe
c:\windows\vutktns.exe
c:\windows\cqvkerc.exe
c:\windows\bqqpslh.exe
c:\windows\ntgtaxf.exe
c:\windows\jupfwvi.exe
c:\windows\ldmyvex.exe
c:\windows\exfubdd.exe
c:\windows\tnbfbcy.exe
c:\windows\nrkrbtu.exe
c:\windows\slslqfn.exe
c:\windows\ocltokk.exe
c:\windows\slslqfn.exe
c:\windows\lbiogwl.exe
c:\windows\itljnnb.exe
c:\windows\xrmoytt.exe

C:\WINDOWS\System32\rbmqwfka.exe
C:\WINDOWS\System32\fsusprxy.exe
C:\WINDOWS\System32\h323srvr.exe

c:\ex.cab
c:\eied_s7.cab

6 Lance et exécute CCleaner.

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

7 Redémarre normalement.

Poste un nouveau log HijackThis