Dialer.Kotu / log Hijackthis

Personne?

Bonsoir,

Donne le fichier détecté par norton.

Nom : Dialer.Kotu, risque : élevé, détails : numéroteur, action : supprimé

Ouvre internet explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut".
Toujours sur Internet explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut".

Pour effectuer les scans, désactive ton antivirus, logiciels de protections et logiciels pouvant bloquer les popups (barres Google, barres Yahoo etc..).

Scan en ligne avec Kaspersky :
- Fais un Scan en ligne sur Kaspersky en utilisant Internet Explorer et pas firefox, ça ne marchera pas!.
- Si tu es perdu, tu peux suivre cette aide pour les scans en ligne
- Scan la zone critique
- Copie/colle le rapport du scan ici

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Si le scan avec Kaspersky ne fonctionne pas, tu peux faire un scan en ligne avec Panda :
- Fais un scan avec panda en désactivant ton antivirus pendant le scan!
(Si tu es perdu, tu peux suivre cette aide pour les scans en ligne)
- Copie/colle le rapport panda ici

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Friday, August 18, 2006 12:09:31 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 18/08/2006
Enregistrements dans la base antivirus Kaspersky : 203373
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Zones critiques:
C:\WINDOWS
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\

Statistiques de l'analyse:
Total d'objets analysés: 22160
Nombre de virus trouvés: 4
Nombre d'objets infectés: 13 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 00:16:33

Nom de l'objet infecté / Nom du virus / Dernière action
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{330630C1-4256-4CDD-ADB5-3A7C74F58790}.bin L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\ACEEvent.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\WINDOWS\system32\cool.exe Infecté : Trojan.Win32.Dialer.qs ignoré
C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd2365.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\vaxscsi.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\winosz32.dll Infecté : Packed.Win32.Klone.g ignoré
C:\WINDOWS\Temp\CLML_AGENT_LOG1.txt L'objet est verrouillé ignoré
C:\WINDOWS\Temp\sqlite_5Ls8PjAfxYYcmo5 L'objet est verrouillé ignoré
C:\WINDOWS\Temp\win10CB.tmp.exe Infecté : Trojan.Win32.Pakes ignoré
C:\WINDOWS\Temp\win1D7.tmp.exe Infecté : Trojan.Win32.Pakes ignoré
C:\WINDOWS\Temp\win219.tmp.exe Infecté : Trojan.Win32.Pakes ignoré
C:\WINDOWS\Temp\win558.tmp.exe Infecté : Trojan.Win32.Pakes ignoré
C:\WINDOWS\Temp\win8D8.tmp.exe Infecté : Trojan.Win32.Pakes ignoré
C:\WINDOWS\Temp\win934.tmp.exe Infecté : Trojan.Win32.Pakes ignoré
C:\WINDOWS\Temp\winA50.tmp.exe Infecté : Trojan.Win32.Pakes ignoré
C:\WINDOWS\Temp\winA7C.tmp.exe Infecté : Trojan.Win32.Pakes ignoré
C:\WINDOWS\Temp\winE64.tmp.exe Infecté : Trojan.Win32.Pakes ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\hpodvd09.log L'objet est verrouillé ignoré
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\mst72.tmp Infecté : Packed.Win32.Klone.g ignoré
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Perflib_Perfdata_20c.dat L'objet est verrouillé ignoré
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Perflib_Perfdata_6c4.dat L'objet est verrouillé ignoré
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Perflib_Perfdata_ec0.dat L'objet est verrouillé ignoré
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\winB7.tmp.exe Infecté : Trojan-Downloader.Win32.Obfuscated.a ignoré
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~DF715A.tmp L'objet est verrouillé ignoré
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~DF9972.tmp L'objet est verrouillé ignoré
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~DF99A8.tmp L'objet est verrouillé ignoré

Analyse terminée.

- Télécharge chercher.zip sur ton bureau
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé
- Ouvre le et double-clic sur chercher.cmd
- Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande
- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
-- A nouveau menu Edition / copier
-- Dans un nouveau message ici, faire un clic droit / coller

Petit problème, il ne m ouvre pas de bloc-note et m affiche ceci...

C:\Documents and Settings\Propri‚taire\Bureau\chercher>CHCP 1252
Page de codes active : 1252
Attendre que le bloc-note s'ouvre et copier/coller le contenu...
Merci de verifier que vous copiez coller le contenu ENTIER
Si le texte est long et ne contient pas dans un seul message, faire plusieurs me
ssages.


C:\temp.txt
C:\temp2.txt
1 fichier(s) copié(s).
Le fichier spécifié est introuvable.

si continue.. il va te l'ouvrir

Ah oui pardon autant pour moi... voilà le résultat:

C:\WINDOWS\System32\GDIPFONTCACHEV1.DAT -->19/08/2006 9:19:11
C:\WINDOWS\System32\ddeeg.ini2 -->19/08/2006 9:18:34
C:\WINDOWS\System32\wpa.dbl -->19/08/2006 9:18:31
C:\WINDOWS\System32\FNTCACHE.DAT -->19/08/2006 9:16:29
C:\WINDOWS\System32\ddeeg.ini -->16/08/2006 22:13:55
C:\WINDOWS\System32\ddeeg.tmp -->16/08/2006 21:13:15
C:\WINDOWS\System32\mcrh.tmp -->15/08/2006 11:09:54
C:\WINDOWS\System32\url.dat -->12/08/2006 12:33:30
C:\WINDOWS\System32\cool.exe -->11/08/2006 12:19:30
C:\WINDOWS\System32\geedd.dll -->8/08/2006 12:59:05
C:\WINDOWS\System32\BASSMOD.dll -->8/08/2006 12:55:53
C:\WINDOWS\System32\winosz32.dll -->8/08/2006 12:53:42
C:\WINDOWS\System32\is4tray.dll -->7/08/2006 16:50:04
C:\WINDOWS\System32\MRT.exe -->3/08/2006 3:22:50
C:\WINDOWS\System32\CmdLineExt.dll -->1/08/2006 19:10:02
C:\WINDOWS\System32\mshtml.dll -->28/07/2006 13:30:59
C:\WINDOWS\System32\inetcomm.dll -->27/07/2006 15:26:19
C:\WINDOWS\System32\urlmon.dll -->25/07/2006 22:43:19
C:\WINDOWS\System32\hlink.dll -->21/07/2006 10:27:28
C:\WINDOWS\System32\netapi32.dll -->14/07/2006 17:42:01
C:\WINDOWS\System32\hhctrl.ocx -->14/07/2006 17:27:53
C:\WINDOWS\System32\shell32.dll -->13/07/2006 15:36:01
C:\WINDOWS\System32\PerfStringBackup.INI -->13/07/2006 9:16:56
C:\WINDOWS\System32\perfh00C.dat -->13/07/2006 9:16:56
C:\WINDOWS\System32\perfh009.dat -->13/07/2006 9:16:56

C:\WINDOWS\WindowsUpdate.log -->19/08/2006 10:21:28
C:\WINDOWS\MSIOSD.INI -->19/08/2006 9:19:13
C:\WINDOWS\0.log -->19/08/2006 9:17:28
C:\WINDOWS\wiadebug.log -->19/08/2006 9:17:23
C:\WINDOWS\wiaservc.log -->19/08/2006 9:17:19
C:\WINDOWS\bootstat.dat -->19/08/2006 9:16:34
C:\WINDOWS\SchedLgU.Txt -->18/08/2006 22:55:56
C:\WINDOWS\win.ini -->18/08/2006 20:33:16
C:\WINDOWS\setupact.log -->18/08/2006 19:11:17
C:\WINDOWS\setupapi.log -->18/08/2006 18:48:00
C:\WINDOWS\ModemLog_PCI SoftV92 Data Fax Modem with SmartCP.txt -->15/08/2006 13:41:01
C:\WINDOWS\tsoc.log -->10/08/2006 3:03:03
C:\WINDOWS\ocmsn.log -->10/08/2006 3:03:03
C:\WINDOWS\ntdtcsetup.log -->10/08/2006 3:03:03
C:\WINDOWS\KB920214.log -->10/08/2006 3:03:03


Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 505E-A28D

Répertoire de C:\WINDOWS\system32

05/08/2004 14:00 6.144 csrss.exe
1 fichier(s) 6.144 octets
0 Rép(s) 4.837.376 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 505E-A28D

Répertoire de C:\WINDOWS\Downloaded Program Files

18/08/2006 18:48 <REP> .
18/08/2006 18:48 <REP> ..
20/01/2005 14:53 171 ampx.inf
22/05/2006 13:13 65 desktop.ini
15/06/2006 18:33 1.132.192 EPUWALcontrol.dll
24/01/2005 11:38 1.249 erma.inf
14/04/2005 10:16 378 ImageUploader3.inf
14/04/2005 10:16 1.934.744 ImageUploader3.ocx
08/08/2006 11:45 576 kavwebscan.inf
10/04/2006 12:36 367 LegitCheckControl.inf
27/10/2004 14:10 111.752 LSSupCtl.dll
27/10/2004 14:03 302 LSSupCtl.inf
10/08/2002 07:23 1.561 msrdp.inf
10/08/2002 04:16 600.064 msrdp.ocx
26/05/2005 04:19 293 muweb.inf
21/09/2001 16:28 16.202 sdclicense.txt
27/03/2006 13:00 5.019 swflash.inf
13/03/2006 15:05 406 telechargement-photoweb.inf
15/03/2006 16:02 1.912.832 telechargement-photoweb.ocx
17/06/2005 00:41 667 tgctlsi.inf
17/06/2005 00:41 521 tgctlsr.inf
15/06/2004 09:52 221.184 zylomloader.dll
18/05/2004 12:40 229 zylomloader.inf
21 fichier(s) 5.940.774 octets

Total des fichiers listés :
21 fichier(s) 5.940.774 octets
2 Rép(s) 4.837.376 octets libres

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 505E-A28D

Répertoire de C:\Program Files

18/08/2006 19:19 <REP> .
18/08/2006 19:19 <REP> ..
18/08/2006 19:26 <REP> Adobe
07/08/2006 18:36 <REP> Anti-Leech
22/05/2006 15:46 <REP> ATI Technologies
22/05/2006 13:12 <REP> ComPlus Applications
22/05/2006 15:42 <REP> CONEXANT
22/05/2006 20:03 <REP> Creative
30/05/2006 14:01 <REP> CyberLink
18/08/2006 19:50 <REP> Fichiers communs
22/05/2006 16:07 <REP> FSC
03/07/2006 18:29 <REP> Henzo
22/05/2006 15:57 <REP> Hewlett-Packard
22/05/2006 16:02 <REP> HP
10/08/2006 03:02 <REP> Internet Explorer
03/08/2006 11:35 <REP> iPod
04/06/2006 13:35 <REP> Java
24/05/2006 13:25 <REP> Messenger
22/05/2006 16:41 <REP> MessengerPlus! 3
17/08/2006 14:37 <REP> Microids
22/05/2006 13:15 <REP> microsoft frontpage
22/05/2006 13:27 <REP> Microsoft Office
22/05/2006 13:25 <REP> Microsoft.NET
22/05/2006 13:12 <REP> Movie Maker
18/08/2006 19:38 <REP> Mozilla Firefox
22/05/2006 13:11 <REP> MSN
22/05/2006 13:11 <REP> MSN Gaming Zone
17/08/2006 18:56 <REP> MSN Messenger
22/05/2006 13:12 <REP> NetMeeting
29/07/2006 16:27 <REP> Netropa
18/08/2006 13:12 <REP> Norton Internet Security
22/05/2006 13:11 <REP> Online Services
22/05/2006 16:56 <REP> Outlook Express
12/06/2006 13:48 <REP> QuickTime
09/07/2006 13:59 <REP> Real
22/05/2006 13:12 <REP> Services en ligne
22/05/2006 16:26 <REP> Symantec
14/08/2006 16:53 <REP> vmntoolbar
22/05/2006 16:58 <REP> Windows Media Player
22/05/2006 13:11 <REP> Windows NT
22/05/2006 23:43 <REP> WinRAR
22/05/2006 13:15 <REP> xerox
0 fichier(s) 0 octets
42 Rép(s) 4.833.280 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 505E-A28D

Répertoire de C:\Program Files\fichiers communs

18/08/2006 19:50 <REP> .
18/08/2006 19:50 <REP> ..
18/08/2006 19:26 <REP> Adobe
08/08/2006 18:32 <REP> Ahead
11/06/2006 01:14 <REP> BOONTY Shared
22/05/2006 13:27 <REP> DESIGNER
22/05/2006 15:56 <REP> Hewlett-Packard
01/08/2006 18:45 <REP> InstallShield
22/05/2006 13:15 <REP> Java
01/08/2006 18:47 <REP> Logitech
22/06/2006 15:01 <REP> Microsoft Shared
22/05/2006 13:12 <REP> MSSoap
29/05/2006 13:58 <REP> NSV
29/05/2006 13:58 <REP> Nullsoft
22/05/2006 14:52 <REP> ODBC
09/07/2006 13:59 <REP> Real
22/05/2006 13:12 <REP> Services
22/05/2006 14:52 <REP> SpeechEngines
18/08/2006 18:36 <REP> Symantec Shared
22/05/2006 16:56 <REP> System
09/07/2006 13:59 <REP> xing shared
0 fichier(s) 0 octets
21 Rép(s) 4.833.280 octets libres
c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\343A5313.exe
c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\343E06BD.exe
c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\347F1752.exe
c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\44D644C2.exe
c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\45085C43.exe
c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\47B2765D.exe
c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\4A9A706C.exe
c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\68542B6C.exe
c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\77952BD3.exe
c:\Documents and Settings\Propriétaire\chatlnk.exe
c:\Documents and Settings\Propriétaire\Application Data\Microsoft\Installer\{49CFD5D9-0556-4037-B7D6-E13ED4BEA4C5}\ARPPRODUCTICON.exe
c:\Documents and Settings\Propriétaire\Application Data\Microsoft\Installer\{49CFD5D9-0556-4037-B7D6-E13ED4BEA4C5}\editor_EC0AB585B2794A778BB564C403E43EE7.exe
c:\Documents and Settings\Propriétaire\Application Data\Microsoft\Installer\{49CFD5D9-0556-4037-B7D6-E13ED4BEA4C5}\exe_final_49CFD5D905564037B7D6E13ED4BEA4C5.exe
c:\Documents and Settings\Propriétaire\Application Data\Microsoft\Installer\{49CFD5D9-0556-4037-B7D6-E13ED4BEA4C5}\fm2006_final_exe_49CFD5D905564037B7D6E13ED4BEA4C5.exe
c:\Documents and Settings\Propriétaire\Bureau\chercher\LFiles.exe
c:\Documents and Settings\Propriétaire\Local Settings\Temp\FirstUse.exe
c:\Documents and Settings\Propriétaire\Local Settings\Temp\hpzmsi01.exe
c:\Documents and Settings\Propriétaire\Local Settings\Temp\hpzscr01.exe
c:\Documents and Settings\Propriétaire\Local Settings\Temp\patch.exe
c:\Documents and Settings\Propriétaire\Local Settings\Temp\stopinv.exe
c:\Documents and Settings\Propriétaire\Local Settings\Temp\winB7.tmp.exe
c:\Documents and Settings\Propriétaire\Local Settings\Temp\RarSFX0\RegistryChecker.exe
c:\Documents and Settings\Propriétaire\Local Settings\Temp\RarSFX1\RegistryChecker.exe
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\58476E80.dll
c:\Documents and Settings\All Users\Application Data\Zylom\ZylomLoader\zylom\Zuma\Zuma.dll
c:\Documents and Settings\Propriétaire\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\aut8nep0.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.dll
c:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\aut8nep0.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll

Vérifications de quelques clefs
Recherche de clefs EGDACCESS

HKLM\SOFTWARE\Microsoft\Windows\explorer\SharedTaskScheduler

- Télécharge Vundoxfix de Atribune - mirror si le lien ne fonctionne pas : http://www.softpedia.com/get/Antivirus/VundoFix.shtml

-- Double-clique VundoFix.exe afin de le lancer.
-- Coche Run VundoFix as a task.

Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok

-- Clique sur le bouton Scan for Vundo.
-- Lorsque le scan est complété, clique sur le bouton Remove Vundo.
-- Si l'outil rapporte qu'aucune infection n'a été trouvée ("No infected files were found"), fais un clic droit dans la fenêtre blanche et clique "Add more files?"
Dans la nouvelle fenêtre qui apparait, Copie/colle le chemin dans les deux cases :

C:\WINDOWS\system32\geedd.dll
C:\WINDOWS\system32\ddeeg.*

-- Clique sur le bouton "Add File(s)"
-- Clique sur le bouton "Close Window"
-- Clique à nouveau sur "Remove Vundo"
-- Une invite te demandera si tu veux supprimer les fichiers, clique YES
-- Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
-- Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
-- Démarre ton PC à nouveau.

-- Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

télécharges et installes :
KillBox de Option^Explicit
Aide Killbox

sélectionne entièrement la liste ci-dessous :



---> et tu fais clic droit / copier

Ouvres killbox
- Sélectionne "delete on reboot"
- Clique sur le menu "File" -> "Past from clip board"
- Clique sur la croix rouge et et blanche
- Répond yes et laisse redémarrer ton pc.
N'hésite pas à consulter l'Aide killbox

Voilà pour vundofix

VundoFix V6.1.0

Checking Java version...

Java version is 1.5.0.6

Scan started at 12:24:46 19/08/2006

Listing files found while scanning....

C:\WINDOWS\system32\geedd.dll
C:\WINDOWS\system32\ddeeg.ini
C:\WINDOWS\system32\ddeeg.ini2
C:\WINDOWS\system32\ddeeg.tmp

Beginning removal...

Attempting to delete C:\WINDOWS\system32\geedd.dll
C:\WINDOWS\system32\geedd.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\ddeeg.ini
C:\WINDOWS\system32\ddeeg.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\ddeeg.ini2
C:\WINDOWS\system32\ddeeg.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\ddeeg.tmp
C:\WINDOWS\system32\ddeeg.tmp Has been deleted!

Performing Repairs to the registry.
Done!
-----------------------------------------------------------------
voilà pour hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 12:57:19, on 19/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
D:\Program Files\power cinema\Kernel\TV\CLCapSvc.exe
D:\Program Files\power cinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\HPZipm12.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
D:\Program Files\power cinema\Kernel\TV\CLSched.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\FSC\Wireless Wheel Mouse\MOUSE32A.EXE
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
D:\Program Files\power cinema\PCMService.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Netropa\InetKb\Inetkb.exe
D:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\wisptis.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\MESSEN~1\Msmsgs.exe
D:\Mes documents\Fabio\antivirus\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homep...
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\FSC\Wireless Wheel Mouse\MOUSE32A.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [PCMService] "D:\Program Files\power cinema\PCMService.exe"
O4 - HKLM\..\Run: [NetPumper] "D:\Program Files\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AnyDVD] "D:\Program Files\SlySoft\AnyDVD\AnyDVD.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O8 - Extra context menu item: Download with NetPumper - D:\Program Files\NetPumper\AddUrl.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - D:\PROGRA~1\FLASHD~1\iebt.dll (HKCU)
O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - D:\PROGRA~1\FLASHD~1\iebt.dll (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
O16 - DPF: {5F8A33E7-6A32-4EE0-887A-134C627CB052} (Easy Upload Tool Combo Control) - http://valerievalenti.myphotoalbum.com/EasyUploadTool.c...
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www2.photoweb.fr/telechargement/Photoweb_uploade...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.fucam.ac.be/student%20corner/salles%20inform...
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zyloml...
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_d...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - D:\Program Files\power cinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - D:\Program Files\power cinema\Kernel\TV\CLSched.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Norton Internet Security\comHost.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - D:\Program Files\power cinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
----------------------------------------------------------------
Maintenant je m'occupe de l install de killbox déjà un grand merci d'avance.

Voilà tout est terminé et je n'ai plus aucun problème!!! Je vous remercie beacoup!!! Impeccable comme toujours!

atend il faut que tu supprime manuellement ce fichier:

C:\WINDOWS\system32\geedd.dll <===

il n'a pas été viré par vundo

Je ne sais pas l'effacer non plus. Il me dit que la ressource est utilisée par un autre utilisateur ou un programme mais je ne suis pas en réseau et je n'ai aucun programme en cours. si ce n'est l'anti virus, carte son etc...

tu peux utiliser killbox pour le virer :

-coche delete on reboot

-indique le chemin d'acces au fichier

- appui sur la croix rouge et ca sera bon ton pc redemarrera.

- vérifie que le fichier n'est plus là.

si t'es perdu regarde aide:
http://perso.orange.fr/jesses/Docs/Logiciels/KillBox.ht...

Toujours pas moyen ... :s Voici le message d'erreur que me donne killbox :
PendingFileRenameOperations Registry Data has been Removed by External Process!

bonjour,

merci pour toutes ces infos, elles me sont aussi bien utiles puisque j'ai exactement le même problème!

J'ai donc suivi vos instructions...mais tout n'est pas enlevé...

Avira Anti Vir me détecte encore dans C:\WINDOWS\system32\awvtq.dll ET winpnp32.dll.

Et avec Killbox, qd j'essaie de les tuer, j'ai le même message d'erreur que valentifabio: "PendingFileRenameOperations Registry Data has been Removed by External Process!"

Comment doit on s'y prendre?

Merci beaucoup par avance

Sam

PS: Sinon je balance mon ordi par la fenêtre...et j'habite au 3eme!