Nouveau Problème... (BJ Esteban pour le Troj.)

pour info car je n'ai pas le tps de développer

tu as une infection sp.html --> il faut utiliser SpSeHjfix
et About:Buster

tu as une infection Spysheriff --> il faut utiliser SmitfraudFix

inspire-toi des topics précédents et bonne chance...

Merci Esteban pour tes conseils.

Je vais tâcher de chercher de mon côté à résoudre le problème mais mon niveau en informatique ne va vraisemblablement pas me permettre d'aller très loin...

Si une aide plus poussée est possible, elle est la bienvenue...

Merci tout de même ! ;-)

Je fais vraiment selon mes capacités...
Voici les deux log respectifs :




(8/30/05 16:40:49) SPSeHjFix started v1.1.2
(8/30/05 16:40:49) OS: WinXP Service Pack 1 (5.1.2600)
(8/30/05 16:40:49) Language: français
(8/30/05 16:40:49) Win-Path: C:\WINDOWS
(8/30/05 16:40:49) System-Path: C:\WINDOWS\System32
(8/30/05 16:40:49) Temp-Path: C:\DOCUME~1\TULOUP~1\LOCALS~1\Temp\
(8/30/05 16:41:01) Disinfection started
(8/30/05 16:41:01) Bad-Dll(IEP): c:\windows\system32\suopo.dll
(8/30/05 16:41:01) UBF: 8 - UBB: 1 - UBR: 18
(8/30/05 16:41:01) UBF: 8 - UBB: 1 - UBR: 18
(8/30/05 16:41:01) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\windows\system32\suopo.dll/sp.html#60128
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\windows\system32\suopo.dll/sp.html#60128
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://c:\windows\system32\suopo.dll/sp.html#60128
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\windows\system32\suopo.dll/sp.html#60128
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\windows\system32\suopo.dll/sp.html#60128
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Search_URL: res://c:\windows\system32\suopo.dll/sp.html#60128
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://c:\windows\system32\suopo.dll/sp.html#60128
(8/30/05 16:41:01) Stealth-String not found
(8/30/05 16:41:01) No locked Files to delete. End without Reboot
(8/30/05 16:41:12) Disinfection started
(8/30/05 16:41:12) Bad-Dll(IEP): c:\windows\system32\suopo.dll
(8/30/05 16:41:12) UBF: 8 - UBB: 1 - UBR: 18
(8/30/05 16:41:12) UBF: 8 - UBB: 1 - UBR: 18
(8/30/05 16:41:12) Bad IE-pages: (none)
(8/30/05 16:41:12) Stealth-String not found
(8/30/05 16:41:12) No locked Files to delete. End without Reboot
(8/30/05 16:41:33) Disinfection started
(8/30/05 16:41:33) Bad-Dll(IEP): c:\windows\system32\suopo.dll
(8/30/05 16:41:33) UBF: 8 - UBB: 2 - UBR: 18
(8/30/05 16:41:33) UBF: 8 - UBB: 2 - UBR: 18
(8/30/05 16:41:33) Bad IE-pages: (none)
(8/30/05 16:41:33) Stealth-String not found
(8/30/05 16:41:33) No locked Files to delete. End without Reboot
(8/30/05 16:41:33) Disinfection started
(8/30/05 16:41:33) Bad-Dll(IEP): c:\windows\system32\suopo.dll
(8/30/05 16:41:33) UBF: 8 - UBB: 2 - UBR: 18
(8/30/05 16:41:33) UBF: 8 - UBB: 2 - UBR: 18
(8/30/05 16:41:33) Bad IE-pages: (none)
(8/30/05 16:41:33) Stealth-String not found
(8/30/05 16:41:33) No locked Files to delete. End without Reboot
(8/30/05 16:41:33) Disinfection started
(8/30/05 16:41:33) Bad-Dll(IEP): c:\windows\system32\suopo.dll
(8/30/05 16:41:33) UBF: 8 - UBB: 2 - UBR: 18
(8/30/05 16:41:33) UBF: 8 - UBB: 2 - UBR: 18
(8/30/05 16:41:33) Bad IE-pages: (none)
(8/30/05 16:41:33) Stealth-String not found
(8/30/05 16:41:33) No locked Files to delete. End without Reboot
(8/30/05 16:41:33) Disinfection started
(8/30/05 16:41:33) Bad-Dll(IEP): c:\windows\system32\suopo.dll
(8/30/05 16:41:33) UBF: 8 - UBB: 2 - UBR: 18
(8/30/05 16:41:33) UBF: 8 - UBB: 2 - UBR: 18
(8/30/05 16:41:33) Bad IE-pages: (none)
(8/30/05 16:41:33) Stealth-String not found
(8/30/05 16:41:33) No locked Files to delete. End without Reboot
(8/30/05 16:41:34) Disinfection started
(8/30/05 16:41:34) Bad-Dll(IEP): c:\windows\system32\suopo.dll
(8/30/05 16:41:34) UBF: 8 - UBB: 2 - UBR: 18
(8/30/05 16:41:34) UBF: 8 - UBB: 2 - UBR: 18
(8/30/05 16:41:34) Bad IE-pages: (none)
(8/30/05 16:41:34) Stealth-String not found
(8/30/05 16:41:34) No locked Files to delete. End without Reboot


(8/30/05 16:41:45) SPSeHjFix started v1.1.2
(8/30/05 16:41:45) OS: WinXP Service Pack 1 (5.1.2600)
(8/30/05 16:41:45) Language: français
(8/30/05 16:41:45) Win-Path: C:\WINDOWS
(8/30/05 16:41:45) System-Path: C:\WINDOWS\System32
(8/30/05 16:41:45) Temp-Path: C:\DOCUME~1\TULOUP~1\LOCALS~1\Temp\
(8/30/05 16:41:49) Disinfection started
(8/30/05 16:41:49) Bad-Dll(IEP): (not found)
(8/30/05 16:41:49) Bad-Dll(IEP) in BHO: (not found)
(8/30/05 16:41:49) UBF: 8 - UBB: 2 - UBR: 18
(8/30/05 16:41:49) UBF: 8 - UBB: 2 - UBR: 18
(8/30/05 16:41:49) Bad IE-pages: (none)
(8/30/05 16:41:49) Stealth-String not found
(8/30/05 16:41:49) Not infected->END


(8/30/05 16:42:36) SPSeHjFix started v1.1.2
(8/30/05 16:42:36) OS: WinXP Service Pack 1 (5.1.2600)
(8/30/05 16:42:36) Language: français
(8/30/05 16:42:36) Win-Path: C:\WINDOWS
(8/30/05 16:42:36) System-Path: C:\WINDOWS\System32
(8/30/05 16:42:36) Temp-Path: C:\DOCUME~1\TULOUP~1\LOCALS~1\Temp\
(8/30/05 16:42:39) Disinfection started
(8/30/05 16:42:39) Bad-Dll(IEP): (not found)
(8/30/05 16:42:39) Bad-Dll(IEP) in BHO: (not found)
(8/30/05 16:42:39) UBF: 8 - UBB: 3 - UBR: 18
(8/30/05 16:42:39) UBF: 8 - UBB: 3 - UBR: 18
(8/30/05 16:42:39) Bad IE-pages: (none)
(8/30/05 16:42:39) Stealth-String not found
(8/30/05 16:42:39) Not infected->END



et


AboutBuster 5.0 reference file 28
Scan started on [30/08/2005] at [16:43:50]
------------------------------------------------
Removed Stream! C:\WINDOWS\IE4 Error Log.txt:tyvdmf
Removed Stream! C:\WINDOWS\KB810217Uninst.log:cnqqxf
Removed Stream! C:\WINDOWS\msdfmap.ini:zlpfta
Removed Stream! C:\WINDOWS\smscfg.ini:spyaiz
------------------------------------------------
Removed File! : C:\Windows\wzbvx.dat
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 16:44:20

Et voili le troisième log concernant le SpySheriff :


SmitFraudFix v1.81

Rapport fait à 16:57:00,14 le 30/08/2005
Executé à partir de C:\Documents and Settings\Tuloup Aurelie\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

C:\WINDOWS\uninstIU.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

C:\WINDOWS\system32\intell32.exe PRESENT !
C:\WINDOWS\system32\oleext.dll PRESENT !
C:\WINDOWS\system32\wppp.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Tuloup Aurelie\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

C:\Program Files\PSGuard\ PRESENT!
C:\Program Files\SpySheriff\PRESENT!

»»»»»»»»»»»»»»»»»»»»»»»» Recherche fichiers créés le 27/08/2005
!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!

C:\ms32.tmp
C:\WINDOWS\appxk32.exe
C:\WINDOWS\sdkme32.dll
C:\WINDOWS\setupact.log
C:\WINDOWS\uninstIU.exe
C:\WINDOWS\system32\CatRoot2
C:\WINDOWS\system32\dllcache
C:\WINDOWS\system32\intell32.exe
C:\WINDOWS\system32\winur32.exe

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD

HKLM\SOFTWARE\SHUDDERLTD non trouvé.

C:\WINDOWS\system32\wininet.dll infecté !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 1019-2DDC

R‚pertoire de C:\WINDOWS\system32

06/02/2004 18:08 592ÿ896 wininet.dll
1 fichier(s) 592ÿ896 octets

R‚pertoire de C:\WINDOWS\system32\dllcache

21/01/2004 18:27 592ÿ896 WININET.DLL
1 fichier(s) 592ÿ896 octets

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



Je ne peux pas faire grand chose de plus... :-(
Merci d'avance pour toute autre aide !

ok ne fais pas de manip hasardeuse

poste un nouveau rapport HJT
je repasserai + tard...

Voici le nouveau log HJT :


Logfile of HijackThis v1.99.1
Scan saved at 18:09:16, on 30/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\iesi32.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Trend Micro\Internet Security\PCClient.exe
C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\WildTangent\Apps\CDA\GameDrvr.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\intell32.exe
C:\WINDOWS\ntmr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\Internet Security\PCCGUIDE.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Hiajckthis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vbkao.dll/sp.html#60128
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vbkao.dll/sp.html#60128
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vbkao.dll/sp.html#60128
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vbkao.dll/sp.html#60128
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vbkao.dll/sp.html#60128
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vbkao.dll/sp.html#60128
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vbkao.dll/sp.html#60128
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {C94F2EE8-3174-6518-7215-F26EDE3A2130} - C:\WINDOWS\sdkme32.dll
O2 - BHO: Class - {F951E714-E5B7-E654-6008-4A7363F486C8} - C:\WINDOWS\system32\javamw32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WildTangent CDA] "C:\Program Files\WildTangent\Apps\CDA\GameDrvr.exe" /startup "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0500.dll"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\Run: [ntmr.exe] C:\WINDOWS\ntmr.exe
O4 - HKLM\..\Run: [NAVNet] "C:\DOCUME~1\TULOUP~1\LOCALS~1\Temp\6.tmp" /m
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSYYYYYYYY...
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-...
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game16.zylom.servicesalacarte.wanadoo.fr/activex...
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\iesi32.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\tmproxy.exe


 

1/ Télécharge SpSeHjfix et mets-le sur le bureau

2/ Télécharge About:Buster
Dézippes-le sur le Bureau.
Lance AboutBuster.exe
Clique sur Update pour le mettre à jour
Ensuite ferme-le

3/ Désinstalle les programmes suivants si possible, par Ajout/suppression de programmes :

WildTangent

4/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)

5/ Lance SpSeHjfix et clique sur start desinfection. En cas d'infection le pc sera redémarré.

6/ Lance SmitfraudFix.cmd, choisis l’option 2 et réponds oui à chaque question
Sauvegarde le rapport.

7/ Lance Hijackthis et fixe les lignes suivantes si encore présentes :

ATTENTION le nom vbkao.dll aura peut-être changé. Supprime qd même les lignes correspondantes

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vbkao.dll/sp.html#60128
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vbkao.dll/sp.html#60128
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vbkao.dll/sp.html#60128
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vbkao.dll/sp.html#60128
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vbkao.dll/sp.html#60128
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vbkao.dll/sp.html#60128
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vbkao.dll/sp.html#60128

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {C94F2EE8-3174-6518-7215-F26EDE3A2130} - C:\WINDOWS\sdkme32.dll
O2 - BHO: Class - {F951E714-E5B7-E654-6008-4A7363F486C8} - C:\WINDOWS\system32\javamw32.dll

O4 - HKLM\..\Run: [WildTangent CDA] "C:\Program Files\WildTangent\Apps\CDA\GameDrvr.exe" /startup "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0500.dll"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ntmr.exe] C:\WINDOWS\ntmr.exe

O4 - HKLM\..\Run: [NAVNet] "C:\DOCUME~1\TULOUP~1\LOCALS~1\Temp\6.tmp" /m

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSYYYYYYYY...

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-...

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe si tu connais pas Boonty Games

8/ Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
"Afficher les fichiers et dossiers cachés" ->coché
"Masquer les extensions des fichiers dont le type est connu" ->décoché
"Masquer les fichiers protégés du système d'exploitation" ->décoché)

9/ Ensuite supprime les fichiers et/ou dossiers suivants si encore présents :

C:\WINDOWS\system32\vbkao.dll ou le fichier dll des lignes R1 si le nom a changé
C:\WINDOWS\sdkme32.dll
C:\WINDOWS\system32\javamw32.dll

C:\Program Files\WildTangent\ --> supprime ce dossier

C:\WINDOWS\ntmr.exe

C:\DOCUME~1\TULOUP~1\LOCALS~1\Temp\ --> vide ce dossier

C:\WINDOWS\web\related.htm

C:\Program Files\Fichiers communs\BOONTY Shared\ vide ce dossier si tu connais pas Boonty Games

10/ Lance AboutBuster.exe
Clique sur Begin Removal

11/ Relance AboutBuster.exe une deuxième fois et clique à nouveau sur Begin Removal

12/ Redémarre normalement et colle le 2ème rapport de SmitfraudFix et un nouveau log HijackThis.

Je vais me faire un grand verre d'Aspro UPSA vitaminée pour les migraines et je m'y met doucement...

Je te post des nouvelles demain !!!

Merci pour tout ! :amis:

J'ai suivi la procédure...
Voila les log :



SmitFraudFix v1.81

Rapport fait à 23:22:51,60 le 30/08/2005
Executé à partir de C:\Documents and Settings\Tuloup Aurelie\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

C:\WINDOWS\system32\intell32.exe PRESENT !
C:\WINDOWS\system32\oleext.dll PRESENT !
C:\WINDOWS\system32\wppp.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Tuloup Aurelie\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

C:\Program Files\PSGuard\ PRESENT!

»»»»»»»»»»»»»»»»»»»»»»»» Recherche fichiers créés le 30/08/2005
!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!

C:\Hiajckthis
C:\hiberfil.sys
C:\pagefile.sys
C:\Program
C:\WINDOWS
C:\WINDOWS\.
C:\WINDOWS\..
C:\WINDOWS\0.log
C:\WINDOWS\bootstat.dat
C:\WINDOWS\Debug
C:\WINDOWS\Downloaded
C:\WINDOWS\Help
C:\WINDOWS\ntbtlog.txt
C:\WINDOWS\Prefetch
C:\WINDOWS\SchedLgU.Txt
C:\WINDOWS\system32
C:\WINDOWS\trrkq.txt
C:\WINDOWS\wmprfFRA.prx
C:\WINDOWS\system32\.
C:\WINDOWS\system32\..
C:\WINDOWS\system32\intell32.exe
C:\WINDOWS\system32\systw.dll
C:\WINDOWS\system32\wpa.dbl
C:\WINDOWS\system32\wppp.html

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD

HKLM\SOFTWARE\SHUDDERLTD non trouvé.

C:\WINDOWS\system32\wininet.dll infecté !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 1019-2DDC

R‚pertoire de C:\WINDOWS\system32

06/02/2004 18:08 592ÿ896 wininet.dll
1 fichier(s) 592ÿ896 octets

R‚pertoire de C:\WINDOWS\system32\dllcache

21/01/2004 18:27 592ÿ896 WININET.DLL
1 fichier(s) 592ÿ896 octets

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



et



Logfile of HijackThis v1.99.1
Scan saved at 23:25:41, on 30/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\iesi32.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Trend Micro\Internet Security\PCClient.exe
C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\ntmr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\Internet Security\PCCGUIDE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Hiajckthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {81DE9EF1-9091-D3E5-B58C-E083B9CEB6D3} - C:\WINDOWS\system32\mfcmk32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\Run: [ntmr.exe] C:\WINDOWS\ntmr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game16.zylom.servicesalacarte.wanadoo.fr/activex...
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\iesi32.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\tmproxy.exe


Merci par avance pour la suite des évènements... ;-)

Au fait, j'ai sans doute oublié quelque chose de très important... :roll:

Impossible de supprimer (accès refusé, disque plein ou protégé, fichier en cours d'utilisation) : C:\WINDOWS\ntmr.exe

 

c mieux mais il reste des signes d'infection Smitfraud

t'es sûr d'avoir fait :
6/ Lance SmitfraudFix.cmd, choisis l’option 2 et réponds oui à chaque question
Sauvegarde le rapport.

à faire en mode sans échec

Voui !
Je refais un essai ???

oui

C'est fait, voila le log :


SmitFraudFix v1.81

Rapport fait à 23:46:58,06 le 30/08/2005
Executé à partir de C:\Documents and Settings\Tuloup Aurelie\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

Problème suppression C:\WINDOWS\system32\oleext.dll

C:\Program Files\PSGuard\ supprimé


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Recheche wininet.dll

C:\WINDOWS\system32\wininet.dll infecté !

Recherche d'une copie de secours (backup) de wininet.dll...
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 1019-2DDC

R‚pertoire de C:\WINDOWS\system32

06/02/2004 18:08 592ÿ896 wininet.dll
1 fichier(s) 592ÿ896 octets

R‚pertoire de C:\WINDOWS\system32\dllcache

21/01/2004 18:27 592ÿ896 WININET.DLL
1 fichier(s) 592ÿ896 octets
Fichier de remplacement wininet.dll non trouvé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



Par contre j'ai PSGuard qui vient de se lancer en scan... :-?
Le fichier infecté serait : C/Windows/ntrfn.dll

aie.
Le problème vient en partie de là.
Il ne trouve pas de fichier wininet.dll de remplacement.

je recherche infos
a+

Je ne vois que ça : fais une recherche sur ton PC en espérant trouver un wininet.dll différent de celui qui est infecté, pour pouvoir le remplacer...

(Télécharger le fichier wininet.dll sur le net risque de coincer car ça ne sera peut-être pas la même version.)

Voila le résultat de la recherche manuelle :


wininet.dll C:\WINDOWS\system32 579ko Extension de l'application 06/02/2004
WININET.DLL C:\WINDOWS\system32\dllcache 579ko Extension de l'application 21/01/2004 (écrit en bleu)

Je viens de m'apercevoir que les versions ne sont pas les mêmes (1400 et 1405).

Que penses-tu de cela : http://www.microsoft.com/technet/security/bulletin/MS04... (trouvé sur un autre forum pour problème identique)
???

Mais là, je ne comprends vraiment plus rien...  

Bon, j'ai essayé de comprendre...
Un patch IE cumul XP pack 1 et deux manips à la con, voila le dernier log SmitfraudFix en mode sans échec :


SmitFraudFix v1.81

Rapport fait à 10:27:18,07 le 31/08/2005
Executé à partir de C:\Documents and Settings\Tuloup Aurelie\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\intell32.exe supprimé
C:\WINDOWS\system32\oleext.dll supprimé

C:\Program Files\PSGuard\ supprimé


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
HKLM\SOFTWARE\SHUDDERLTD supprimé

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport


Sans vouloir trop m'avancer, j'ai l'impression qu'il y a du mieux...

cool

Fais un scan en ligne chez Panda
poste le rapport et un nouveau log HJT

Voila :



Incident Statut Analyse

Adware:adware/psguard No Désinfecté C:\Documents and Settings\Tuloup Aurelie\Application Data\Microsoft\Internet Explorer\Quick Launch\PSGuard spyware remover.lnk
Virus:Exploit/ByteVerify Désinfecté C:\Documents and Settings\Tuloup Aurelie\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\menu.jr-c78a21d-20817e78.zip[Dummy.class]
Dialer ialer.BIW No Désinfecté C:\Documents and Settings\Tuloup Aurelie\Local Settings\Temp\8.tmp
Dialer ialer.Gen No Désinfecté C:\Documents and Settings\Tuloup Aurelie\Local Settings\Temp\9.exe
Adware:Adware/SaveNow No Désinfecté C:\Hiajckthis\hijackthis\backups\backup-20050830-224743-520.dll
Adware:Adware/FunWeb No Désinfecté C:\Hiajckthis\hijackthis\backups\backup-20050830-224744-118.inf
Adware:Adware/SearchAid No Désinfecté C:\ms32.tmp
Adware:Adware/SaveNow No Désinfecté C:\WINDOWS\appxk32.exe
Adware:Adware/SaveNow No Désinfecté C:\WINDOWS\system32\iesi32.exe


et



Logfile of HijackThis v1.99.1
Scan saved at 11:35:39, on 31/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\iesi32.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Trend Micro\Internet Security\PCClient.exe
C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\ntmr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Trend Micro\Internet Security\PCCGUIDE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Hiajckthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {81DE9EF1-9091-D3E5-B58C-E083B9CEB6D3} - C:\WINDOWS\system32\mfcmk32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\Run: [ntmr.exe] C:\WINDOWS\ntmr.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst....
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game16.zylom.servicesalacarte.wanadoo.fr/activex...
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\iesi32.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\tmproxy.exe

PSGuard/Smitfraud ne veut pas dégager ! :grrr:

dernière tentative avec SmitfraudFix :

1/ Ouvre le dossier SmitfraudFix et lance SmitfraudFix.cmd
Choisis l'option 1 (Recherche)
Poste le rapport ici

2/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)

Relance SmitfraudFix et choisis cette fois l’option 2 et réponds oui à chaque question
Sauvegarde le rapport.

3/ Redémarre normalement et poste le 2ème rapport de SmitfraudFix

s'il persiste, on essaiera smitRem...

Je fais ça tout de suite mais le fichier SFF Process.exe a disparu...

Télécharge à nouveau SmitfraudFix

SmitFraudFix v1.81

Rapport fait à 12:14:19,71 le 31/08/2005
Executé à partir de C:\Documents and Settings\Tuloup Aurelie\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Tuloup Aurelie\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD

HKLM\SOFTWARE\SHUDDERLTD Présent !

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



et


SmitFraudFix v1.81

Rapport fait à 12:17:25,70 le 31/08/2005
Executé à partir de C:\Documents and Settings\Tuloup Aurelie\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés




»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
HKLM\SOFTWARE\SHUDDERLTD supprimé

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

poste un log HJT pour vérifier...

Logfile of HijackThis v1.99.1
Scan saved at 12:37:59, on 31/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\iesi32.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Trend Micro\Internet Security\PCClient.exe
C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\ntmr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\Internet Security\PCCGUIDE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Hiajckthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {81DE9EF1-9091-D3E5-B58C-E083B9CEB6D3} - C:\WINDOWS\system32\mfcmk32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\Run: [ntmr.exe] C:\WINDOWS\ntmr.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst....
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game16.zylom.servicesalacarte.wanadoo.fr/activex...
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\iesi32.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\tmproxy.exe

OK

en mode sans échec

fixe :
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\Run: [ntmr.exe] C:\WINDOWS\ntmr.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe

normalement il ne devrait plus y avoir
C:\WINDOWS\System32\intell32.exe
C:\Program Files\PSGuard\PSGuard.exe

mais encore :
C:\WINDOWS\ntmr.exe --> à supprimer

EDIT
et supprime aussi ces fichiers si encore présents :

C:\Documents and Settings\Tuloup Aurelie\Application Data\Microsoft\Internet Explorer\Quick Launch\PSGuard spyware remover.lnk
C:\Documents and Settings\Tuloup Aurelie\Local Settings\Temp\ --> vide ce dossier
C:\ms32.tmp
C:\WINDOWS\appxk32.exe
C:\WINDOWS\system32\iesi32.exe

Logfile of HijackThis v1.99.1
Scan saved at 13:33:02, on 31/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Explorer.EXE
C:\Hiajckthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {81DE9EF1-9091-D3E5-B58C-E083B9CEB6D3} - C:\WINDOWS\system32\mfcmk32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst....
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game16.zylom.servicesalacarte.wanadoo.fr/activex...
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\iesi32.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\tmproxy.exe



Et j'ai dégagé ntmr.exe manuellement...
 

OUFFFFFFFFFFFF

c bon !

au fait t'avais vu les fichiers à suppr que j'ai ajoutés dans le post précédent (EDIT) ?

voilà a+

Non pas vu !!!
Je vais le faire...

Merci pour tout !

J'ai d'autres soucis sur mon pc qui sont apparus au même moment que les alertes. Je ne sais pas si c'est du au troj, mais plutôt que d'ouvrir au autre sujet, acceptes-tu de t'y pencher sur ce topic...


En tous cas le plus urgent est fait, le reste est bien moins important !!!

Merci !  

c quoi tes autres soucis ?
y-a-t-il encore des dysfonctionnements ?

Non, je n'ai apparement aucun autre dysfonctionnements.

Par contre, impossible de supprimer iesi.exe

Ah si, une alerte Trend Micro juste à l'instant :
C:\WINDOWS\ntrfn.dll
Troj Startpag.re
Mais il est en quarantaine...

bon visiblement il reste des saletés !

1/ Télécharge ces prog :
ad-aware
Spybot Search and Destroy
a-squared Free (a² Free)
ewido
installe-les et mets à jour

2/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)

3/ Lance un scan de a-squared Free, puis supprime tout ce qu'il trouve
idem avec ad-aware SE (à la fin du scan, clic sur Next puis clic droit dans la fenêtre et Select All Objects puis Next puis OK)
idem avec Spybot Search and Destroy (clic sur Corriger les problèmes à la fin du scan)
idem avec ewido et supprimer tout ce qu'il trouve

4/ Lance CCleaner puis bouton Analyse ensuite Bouton Lancer le Nettoyage

bon courage...

M'ont dégagé un paquet de ####ries... ;-)

A suivre...
J'attends confirmation que ce soit bien clean.

Merci !  
Le mémoire de DESS de ma femme est intact, mes recherches aussi, on va pouvoir continuer à bosser !!!

Je te causerai de mes autres soucis tantôt...
Pour l'heure, tu mériterais que je te paye une bonne  int:

C'est pas tout à fait clean mais on s'en rapproche...

Merki !!! ;-)

pas encore clean !!

Fais un scan en ligne chez kaspersky
et chez www.pestscan.com

et vire manuellement les fichiers qu'ils te trouvent !
(attention tu peux être surpris car Pestpatrol risque de retrouver des traces, dans la base de registre, des infections précédemment éradiquées)

;-)

Spybot me retrouve systématiquement : " PSGuard.msmsgs " dans hkey_local_machine.

PestPatrol me donne quatre daubes dans le hkey_local_machine mais je ne sais pas si elles sont déjà éradiquées.

Kaspersky n'est pas clean !!!

:-?

Comme je t'avais dit les traces dans la base de registre (ici dans hkey_local_machine) ce n'est propablement que des résidus des infections éradiquées.
On peut nettoyer la base de registre avec des prog comme RegSupreme ou RegCleaner,
ou à la main avec l'éditeur de registre (Démarrer/Exécuter/Regedit) mais à manipuler avec précaution (déconseillé aux novices)

Quant à Kaspersky, que trouve-t-il ?
Poste son rapport.

Quoi ???
Tu me traites de " novice " ???
:-P

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Thursday, September 01, 2005 12:13:19
Operating System: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 1/09/2005
Kaspersky Anti-Virus database records: 137793
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\

Scan Statistics:
Total number of scanned objects: 48003
Number of viruses found: 4
Number of infected objects: 100
Number of suspicious objects: 0
Duration of the scan process: 6619 sec

Infected Object Name - Virus Name
C:\Program Files\Trend Micro\Internet Security\QUARANTINE\1B.tmp Infected: Trojan-Downloader.Win32.Small.bau
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0077452.pif xaesc:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0077452.pif:gawcjz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0077452.pif:momkip:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0077452.pif sndbk:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0077452.pif:towrxp:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0078451.exe Infected: Trojan.Win32.Small.ev
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0078452.exe Infected: Trojan.Win32.Small.ev
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0078467.pif xaesc:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0078467.pif:gawcjz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0078467.pif:momkip:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0078467.pif sndbk:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0078467.pif:towrxp:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0078492.pif xaesc:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0078492.pif:gawcjz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0078492.pif:momkip:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0078492.pif:nrulci:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0078492.pif sndbk:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0078492.pif:towrxp:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0078524.pif xaesc:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0078524.pif:gawcjz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0078524.pif:momkip:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0078524.pif:nrulci:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0078524.pif sndbk:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0078524.pif:towrxp:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0078549.exe Infected: Trojan.Win32.Small.ev
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0080524.pif xaesc:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0080524.pif:gawcjz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0080524.pif:momkip:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0080524.pif:nrulci:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0080524.pif sndbk:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0080524.pif:towrxp:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0081524.pif xaesc:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0081524.pif:gawcjz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0081524.pif:momkip:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0081524.pif:nrulci:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0081524.pif sndbk:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0081524.pif:towrxp:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0081546.dll Infected: Virus.Win32.Nsag.b
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0081559.dll Infected: Virus.Win32.Nsag.b
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0081565.pif xaesc:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0081565.pif:gawcjz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0081565.pif:momkip:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0081565.pif:nrulci:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0081565.pif sndbk:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0081565.pif:towrxp:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0082560.exe Infected: Trojan.Win32.Small.ev
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0082561.dll Infected: Trojan.Win32.Small.ev
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0083561.pif xaesc:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0083561.pif:gawcjz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0083561.pif:momkip:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0083561.pif:nrulci:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0083561.pif sndbk:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0083561.pif:towrxp:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0083600.DLL Infected: Virus.Win32.Nsag.b
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0085561.pif xaesc:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0085561.pif:gawcjz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0085561.pif:momkip:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0085561.pif:nrulci:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0085561.pif sndbk:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP141\A0085561.pif:towrxp:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0085586.pif xaesc:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0085586.pif:gawcjz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0085586.pif:momkip:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0085586.pif:nrulci:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0085586.pif sndbk:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0085586.pif:towrxp:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0087561.pif xaesc:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0087561.pif:gawcjz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0087561.pif:momkip:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0087561.pif:nrulci:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0087561.pif sndbk:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0087561.pif:towrxp:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0088561.pif xaesc:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0088561.pif:gawcjz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0088561.pif:momkip:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0088561.pif:nrulci:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0088561.pif sndbk:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0088561.pif:towrxp:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0090563.pif xaesc:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0090563.pif:gawcjz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0090563.pif:momkip:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0090563.pif:nrulci:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0090563.pif sndbk:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0090563.pif:towrxp:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0092561.pif xaesc:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0092561.pif:gawcjz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0092561.pif:momkip:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0092561.pif:nrulci:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0092561.pif sndbk:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0092561.pif:towrxp:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0093736.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0093837.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0093852.ini:kpfmpi:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0093855.pif xaesc:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0093855.pif:gawcjz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0093855.pif:momkip:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0093855.pif:nrulci:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0093855.pif sndbk:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{688B846D-54D8-4A0B-BDB5-70B8E736C8E2}\RP142\A0093855.pif:towrxp:$DATA Infected: Trojan.Win32.Agent.bi

Scan process completed.

c rien du tout

pour le premier :
C:\Program Files\Trend Micro\Internet Security\QUARANTINE\1B.tmp Infected: Trojan-Downloader.Win32.Small.bau
il est en quarantaine

pour tous les autres :
ils sont dans les points de restauration du système
donc fais ceci pour les supprimer :
Désactive la restauration du système (clic droit sur poste de travail/propriétés/restauration du système/cocher la case : désactiver la restauration du système)

ensuite réactive la restauration du système

et voilà.

Merki !!! :gg: :tchin:

Je marque " résolu " pour le troj mais je te tiens au courant pour le reste du bordel...

...Impossible d'ouvrir mes fichiers mp3, mpeg et autres avec Winamp ou WMP. Seul RealPlayer qui n'est pas mon lecteur par défaut me permet de les ouvrir avec " clic droit / ouvrir avec " !

Veux-tu le rapport ?
Rien n'est urgent !!!
:bierre:

bah réinstalle Winamp et WMP

allez a+

Bravo a Esteban54 qui a bien maitrisé ce rapport hijackthis malgré le stress de voir un fichier revenir toujours ainsi que le trojan.
Encore bravo. ;-)

Me revoila...

...Avec un nouveau Log !!! :-?

Logfile of HijackThis v1.99.1
Scan saved at 12:32:42, on 21/02/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\mssearchnet.exe
C:\WINDOWS\System32\nvctrl.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\eMule\emule.exe
C:\Documents and Settings\raf\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hpB100.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267....
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zyloml...
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

Salut,

1/ Télécharge SmitfraudFix
Dézippe-le sur le Bureau.
Ouvre le dossier SmitfraudFix et lance SmitfraudFix.cmd
Choisis l'option 1 (Recherche)
Si tu vois des lignes avec PRESENT! Continue

2/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)

Relance SmitfraudFix et choisis cette fois l’option 2 et réponds oui à chaque question
Sauvegarde le rapport.

3/ Poste un rapport Hijackthis

SmitFraudFix v2.21

Rapport fait à 13:19:37,23 le 21/02/2006
Executé à partir de C:\Documents and Settings\raf\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport




Logfile of HijackThis v1.99.1
Scan saved at 13:23:49, on 21/02/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\raf\Bureau\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hpB100.tmp (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267....
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zyloml...
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

Salut,

Fix ces lignes

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about :blank
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hpB100.tmp (file missing)

Passe un coup de Ccleaner
As-tu encore des problemes ?

Encore quelques soucis... :-?


Logfile of HijackThis v1.99.1
Scan saved at 13:50:26, on 21/02/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\raf\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267....
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zyloml...
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe




SmitFraudFix v2.21

Rapport fait à 13:58:25,18 le 21/02/2006
Executé à partir de C:\Documents and Settings\raf\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche ...\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{D81E2FC4-B0A2-11D3-21AC-07C04C21A18A}"="Replay for WindowsXP"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport