[résolu]probleme virus envoi de mail internet explorer déconne

Bonjour,

-- Clique Droit sur Hijackthis :
-> Choisis " Renommer "
-> Tape Scanner.exe puis valide

- Lance l'application
- Choisis l'option Do a system scan and save a logfile
-- Le Bloc-Notes s'ouvre :
-> Edition / Sélectionner Tout
-> Edition / Copier
- Colle le rapport ici.

Aide sur Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 14:03:12, on 09/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ultravnc\winvnc.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\ctfmon.exe
C:\manu1\foxmail\Foxmail.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Telechargement\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ac-rouen.fr/gestion/accueil.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Académie de ROUEN
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.127.164.1:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {2E4DB604-4236-4182-B493-924D5543BA62} - C:\WINDOWS\System32\awtus.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\\vptray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ProxyWay] C:\Program Files\ProxyWay\proxyway.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.ac-rouen.fr/gestion/accueil.php
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O20 - Winlogon Notify: awtus - C:\WINDOWS\System32\awtus.dll
O20 - Winlogon Notify: emul65 - C:\WINDOWS\SYSTEM32\emul65.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\Ultravnc\winvnc.exe" -service (file missing)

Infection Vundo.

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer
  
• Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
  
• Clique sur le bouton Scan for Vundo
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  
• Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse
  
  Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
  
  

oui il y a le fichier awtus.dll qu'il ne peut pas supprimer donc il a redemarrer, j'ai alors eut un message de windows qui m'a dis de remettre ma clé d'activation pour lancé une session, jlai donc mis et vundofix s'est lancé direct j'ai refait alors le scan et pareil le meme fichier impossible a supprimé, j'ai donc relancé le pc en mode sans echec, j'ai lancé vundofix et pareil le fichier impossible à supprimer donc a chaque fois il relance le pc et lance vundo mais fait toujours pareil

On fait autrement  

Double-clique VundoFix.exe afin de le lancer.

Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok

Clique sur le bouton Scan for Vundo.

Lorsque le scan est complété, clique sur le bouton Remove Vundo.

Si l'outil rapporte qu'aucune infection n'a été trouvée ("No infected files were found"), fais un clic droit dans la fenêtre blanche et clique "Add more files?"

Dans la nouvelle fenêtre qui apparait, Copie/colle le chemin du fichier suivant dans la première case (au haut):
C:\WINDOWS\System32\awtus.dll

Copie/colle le chemin du fichier suivant dans la seconde case (au centre):
C:\WINDOWS\System32\sutaw.*

Clique sur le bouton "Add File(s)"

Clique sur le bouton "Close Window"

Clique à nouveau sur "Remove Vundo"

Une invite te demandera si tu veux supprimer les fichiers, clique YES

Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.

Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK

Démarre ton PC à nouveau.

Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse.

ok mais le probleme c'est qu'il trouve toujours le fichier C:\WINDOWS\System32\awtus.dll quand je scan et ne peut pas le supprimer quand je clic sur remove, j'ai aussi fait clic droit et ajouté les 2 fichier dans les cases et j'ai fait remove et pareil impossible a supprimer donc il redemarre et retrouve les meme fichier toujours impossible a supprimé  

Tu as fait ce que j'ai dit ? Le rapport ?

Télécharge ce fichier - combofix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Clic sur le menu Démarrer puis executer et copie/colle ceci :
"%userprofile%\Bureau\combofix.exe" /v awtus
puis clic sur OK.

Ne touche a rien et attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

oui j'ai fait ce que tu m'a dis, mais ça fait toujours pareil impossible de le supprimer et il redemarre le pc et relance le logiciel et ça refait pareil donc reboot etc etc... et donc j'ai pas de rapport, je vai essayé combofix et jte met le rapport

rapport de combofix :

CLG VICTOR HUGO - 06-09-09 15:32:23,53
ComboFix 06.09.07 - Running from: C:\Documents and Settings\CLG VICTOR HUGO\Bureau

Microsoft Windows XP [version 5.1.2600]

(((((((((((((((((((((((((((((((((((((((((((((((( Vundo Log )))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\awtus.dll
C:\WINDOWS\system32\sutwa.ini


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))



~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\Documents and Settings\CLG VICTOR HUGO\Mes documents\SSEMBL~1


((((((((((((((((((((((((((((((( Files Created from 2006-08-09 to 2006-09-09 ))))))))))))))))))))))))))))))))))


2006-09-09 14:17 4,476 --a------ C:\WINDOWSvundofix.reg
2006-09-09 12:02 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2006-09-09 12:02 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2006-09-09 12:02 286,720 --a------ C:\WINDOWS\PATCH.EXE
2006-09-08 18:26 4,096 --a------ C:\WINDOWS\system32\reboot.exe
2006-09-08 18:26 16,384 --a------ C:\WINDOWS\system32\restart.exe
2006-09-08 18:26 15,703 --a------ C:\delfiles.bat
2006-09-08 15:38 75,480 --a------ C:\WINDOWS\system32\ipv6monl.dll
2006-09-08 15:38 5,632 --a------ C:\WINDOWS\ohg.exe
2006-09-08 15:38 192,512 --a------ C:\WINDOWS\test5.exe
2006-09-08 15:38 157,184 --a------ C:\WINDOWS\system32\2241_32.dll
2006-09-08 15:37 9,216 --a------ C:\WINDOWS\system32\crypt32net.dll
2006-09-08 15:37 86,509 --a------ C:\WINDOWS\test2.exe
2006-09-08 15:37 86,501 --a------ C:\WINDOWS\itt.exe
2006-09-08 15:37 6,144 --a------ C:\WINDOWS\system32\scardrv.exe
2006-09-08 15:37 2,560 -r-hs---- C:\WINDOWS\system32\z152560.exe
2006-09-08 15:37 100,568 --a------ C:\WINDOWS\test10.exe
2006-09-08 15:37 10,752 --a------ C:\WINDOWS\system32\kernel.dll
2006-09-08 15:35 2,560 -r-hs---- C:\WINDOWS\ynp2560.exe
2006-09-08 15:35 2,048 --a------ C:\WINDOWS\ynp.exe
2006-08-29 17:09 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2006-08-29 17:08 98,816 --a------ C:\WINDOWS\system32\dmstyle.dll
2006-08-29 17:08 974,848 --a------ C:\WINDOWS\system32\dxdiag.exe
2006-08-29 17:08 80,896 --a------ C:\WINDOWS\system32\dpvsetup.exe
2006-08-29 17:08 8,192 --a------ C:\WINDOWS\system32\d3d8thk.dll
2006-08-29 17:08 797,184 --a------ C:\WINDOWS\system32\d3dim700.dll
2006-08-29 17:08 79,360 --a------ C:\WINDOWS\system32\dpwsockx.dll
2006-08-29 17:08 77,824 --a------ C:\WINDOWS\system32\dpmodemx.dll
2006-08-29 17:08 76,800 --a------ C:\WINDOWS\system32\dmscript.dll
2006-08-29 17:08 733,184 --a------ C:\WINDOWS\system32\qedwipes.dll
2006-08-29 17:08 723,968 --a------ C:\WINDOWS\system32\dpnet.dll
2006-08-29 17:08 68,096 --a------ C:\WINDOWS\system32\dpnhupnp.dll
2006-08-29 17:08 64,512 --a------ C:\WINDOWS\system32\amstream.dll
2006-08-29 17:08 63,696 --a------ C:\WINDOWS\system32\dxdllreg.exe
2006-08-29 17:08 602,624 --a------ C:\WINDOWS\system32\dx7vb.dll
2006-08-29 17:08 58,368 --a------ C:\WINDOWS\system32\dmcompos.dll
2006-08-29 17:08 491,520 --a------ C:\WINDOWS\system32\dsdmoprp.dll
2006-08-29 17:08 470,528 --a------ C:\WINDOWS\system32\qdvd.dll
2006-08-29 17:08 47,104 --a------ C:\WINDOWS\system32\wstdecod.dll
2006-08-29 17:08 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2006-08-29 17:08 381,952 --a------ C:\WINDOWS\system32\dsound.dll
2006-08-29 17:08 381,952 --a------ C:\WINDOWS\system32\dpvoice.dll
2006-08-29 17:08 354,816 --a------ C:\WINDOWS\system32\psisdecd.dll
2006-08-29 17:08 34,304 --a------ C:\WINDOWS\system32\mciqtz32.dll
2006-08-29 17:08 33,280 --a------ C:\WINDOWS\system32\dmloader.dll
2006-08-29 17:08 324,096 --a------ C:\WINDOWS\system32\mswebdvd.dll
2006-08-29 17:08 32,768 --a------ C:\WINDOWS\system32\dpnhpast.dll
2006-08-29 17:08 316,928 --a------ C:\WINDOWS\system32\qdv.dll
2006-08-29 17:08 3,072 --a------ C:\WINDOWS\system32\dpnlobby.dll
2006-08-29 17:08 3,072 --a------ C:\WINDOWS\system32\dpnaddr.dll
2006-08-29 17:08 292,864 --a------ C:\WINDOWS\system32\ddraw.dll
2006-08-29 17:08 28,160 --a------ C:\WINDOWS\system32\dplaysvr.exe
2006-08-29 17:08 27,136 --a------ C:\WINDOWS\system32\dmband.dll
2006-08-29 17:08 257,024 --a------ C:\WINDOWS\system32\qcap.dll
2006-08-29 17:08 24,064 --a------ C:\WINDOWS\system32\ddrawex.dll
2006-08-29 17:08 230,400 --a------ C:\WINDOWS\system32\dplayx.dll
2006-08-29 17:08 19,968 --a------ C:\WINDOWS\system32\dpvacm.dll
2006-08-29 17:08 186,880 --a------ C:\WINDOWS\system32\dsdmo.dll
2006-08-29 17:08 181,248 --a------ C:\WINDOWS\system32\dmime.dll
2006-08-29 17:08 18,944 --a------ C:\WINDOWS\system32\encapi.dll
2006-08-29 17:08 18,432 --a------ C:\WINDOWS\system32\dswave.dll
2006-08-29 17:08 16,896 --a------ C:\WINDOWS\system32\msyuv.dll
2006-08-29 17:08 16,896 --a------ C:\WINDOWS\system32\dpnsvr.exe
2006-08-29 17:08 132,608 --a------ C:\WINDOWS\system32\devenum.dll
2006-08-29 17:08 13,312 --a------ C:\WINDOWS\system32\msdmo.dll
2006-08-29 17:08 122,880 --a------ C:\WINDOWS\system32\dmusic.dll
2006-08-29 17:08 112,128 --a------ C:\WINDOWS\system32\dpvvox.dll
2006-08-29 17:08 100,864 --a------ C:\WINDOWS\system32\dmsynth.dll
2006-08-29 17:08 1,962,496 --a------ C:\WINDOWS\system32\quartz.dll
2006-08-29 17:08 1,798,144 --a------ C:\WINDOWS\system32\qedit.dll
2006-08-29 17:08 1,769,472 --a------ C:\WINDOWS\system32\dxdiagn.dll
2006-08-29 17:08 1,703,936 --a------ C:\WINDOWS\system32\d3d9.dll
2006-08-29 17:08 1,294,336 --a------ C:\WINDOWS\system32\dsound3d.dll
2006-08-29 17:08 1,230,336 --a------ C:\WINDOWS\system32\msvidctl.dll
2006-08-29 17:08 1,201,152 --a------ C:\WINDOWS\system32\d3d8.dll
2006-08-29 17:08 1,189,888 --a------ C:\WINDOWS\system32\dx8vb.dll
2006-08-24 22:02 50,688 --a------ C:\WINDOWS\system32\wbhelp2.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-08 19:09 777472 --a------ C:\WINDOWS\system32\drivers\avg7core.sys
2006-09-08 19:09 4992 --a------ C:\WINDOWS\system32\drivers\avgtdi.sys
2006-09-08 19:09 4288 --a------ C:\WINDOWS\system32\drivers\avg7rsw.sys
2006-09-08 19:09 27904 --a------ C:\WINDOWS\system32\drivers\avg7rsxp.sys
2006-09-08 19:09 23424 --a------ C:\WINDOWS\system32\drivers\avgmfrs.sys
2006-09-08 19:09 -------- d-------- C:\Documents and Settings\CLG VICTOR HUGO\Application Data\AVG7
2006-09-08 18:46 -------- d-------- C:\Program Files\CCleaner
2006-09-05 08:31 -------- d-------- C:\Program Files\Mozilla Thunderbird
2006-08-31 22:42 -------- d-------- C:\Program Files\AOL
2006-08-29 19:48 -------- d-------- C:\Program Files\Shareaza
2006-08-29 17:05 -------- d-------- C:\Program Files\Ubisoft
2006-08-27 12:30 -------- d-------- C:\Program Files\GeoWhere
2006-08-24 22:02 -------- d-------- C:\Program Files\DAP
2006-08-23 23:38 -------- d-------- C:\Program Files\BitTorrent
2006-08-21 11:56 86944 --a------ C:\Documents and Settings\CLG VICTOR HUGO\Application Data\GDIPFONTCACHEV1.DAT
2006-08-18 14:48 -------- d-------- C:\Program Files\Google
2006-07-23 11:16 -------- d-------- C:\Program Files\FileZilla
2006-07-23 11:14 -------- d-------- C:\Program Files\PhotoFiltre
2006-06-11 11:17 2 --a------ C:\WINDOWS\system32\wintsvtr.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE"
"ccApp"="\"C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccApp.exe\""
"AOLDialer"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe"
"vptray"="C:\\PROGRA~1\\SYMANT~1\\\\vptray.exe"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"DownloadAccelerator"="\"C:\\Program Files\\DAP\\DAP.EXE\" /STARTUP"
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
"ProxyWay"="C:\\Program Files\\ProxyWay\\proxyway.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000004

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Apoint]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Apoint"
"hkey"="HKLM"
"command"="C:\\Program Files\\Apoint2K\\Apoint.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\igfxhkcmd]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="hkcmd"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\hkcmd.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\igfxpers]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="igfxpers"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\igfxpers.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\igfxtray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="igfxtray"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\igfxtray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MSMSGS"
"hkey"="HKCU"
"command"="\"C:\\Program Files\\Messenger\\MSMSGS.EXE\" /background"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\emul65

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\emul37.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\emul65.sys


~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20060909-140445-576
O20 - Winlogon Notify: emul65 - C:\WINDOWS\SYSTEM32\emul65.dll
backup-20060909-140445-853
O20 - Winlogon Notify: awtus - C:\WINDOWS\System32\awtus.dll
backup-20060909-140425-889
O20 - Winlogon Notify: emul65 - C:\WINDOWS\SYSTEM32\emul65.dll
backup-20060909-140424-472
O20 - Winlogon Notify: awtus - C:\WINDOWS\System32\awtus.dll
backup-20060909-122326-959
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
backup-20060909-122140-361
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\Ultravnc\winvnc.exe" -service (file missing)
backup-20060908-223612-708
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\Ultravnc\winvnc.exe" -service (file missing)
backup-20060908-223611-662
O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\ynp2560.exe
backup-20060908-223611-745
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.misterbot.fr
backup-20060908-185035-779
O9 - Extra button: Super Proxy Helper - {736D982F-8E2C-4afc-B202-D8195B48AB68} - C:\Program Files\Igoodsoft\Super Proxy Helper\ProxyHelper.exe (file missing)
backup-20060908-185036-394
O9 - Extra 'Tools' menuitem: Super Proxy Helper - {736D982F-8E2C-4afc-B202-D8195B48AB68} - C:\Program Files\Igoodsoft\Super Proxy Helper\ProxyHelper.exe (file missing)
backup-20060908-185035-862
O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\ynp2560.exe
backup-20060908-162516-752
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\xxyxxyy.dll
backup-20060908-162508-801
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\xxyxxyy.dll
backup-20060908-162508-287
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
backup-20060908-162342-518
O21 - SSODL: DCOM Server 2241 - {2C1CD3D7-86AC-4068-93BC-A02304BB2241} - C:\WINDOWS\System32\2241_32.dll
backup-20060908-162342-182
O20 - Winlogon Notify: xxyxxyy - C:\WINDOWS\SYSTEM32\xxyxxyy.dll
backup-20060908-162342-658
O20 - Winlogon Notify: winhmd32 - winhmd32.dll (file missing)
backup-20060908-162341-371
O20 - Winlogon Notify: emul65 - C:\WINDOWS\SYSTEM32\emul65.dll
backup-20060908-162342-335
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\System32\svshost.dll
backup-20060908-162341-674
O20 - Winlogon Notify: crypt32net - C:\WINDOWS\SYSTEM32\crypt32net.dll
backup-20060908-162340-663
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
backup-20060908-162340-464
O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\ynp2560.exe
backup-20060908-162340-197
O4 - HKCU\..\Run: [Winsvr] C:\DOCUME~1\CLGVIC~1\LOCALS~1\Temp\3FE5632.exe
backup-20060908-162340-375
O4 - HKLM\..\Run: [Upnp] c:\docume~1\clgvic~1\locals~1\temp\a5.tmp
backup-20060908-162340-561
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile
backup-20060908-162340-738
O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - C:\WINDOWS\System32\ipv6monl.dll
backup-20060908-162340-161
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\xxyxxyy.dll
backup-20060908-162340-913
O2 - BHO: Acrobat IE Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE083} - C:\WINDOWS\system\ctldlg32.dll
backup-20060908-162340-814
O16 - DPF: {3CA6DFF6-C6B0-11D4-8035-0050BF0BA18C} (BMSPX Control) - http://www.avidacom.com/bmspx.cab
backup-20060908-162029-968
O1 - Hosts: 84.252.148.18 www.barclays.com
backup-20060908-162029-996
O1 - Hosts: 84.252.148.18 barclays.com
backup-20060908-162029-178
O1 - Hosts: 84.252.148.18 www.barclays.pt
backup-20060908-162029-367
O1 - Hosts: 84.252.148.18 barclays.pt
backup-20060908-162029-267
O1 - Hosts: 84.252.148.18 www.barclays.pt
backup-20060908-162029-833
O1 - Hosts: 84.252.148.18 barclays.pt
backup-20060908-162029-135
O1 - Hosts: 84.252.148.18 www.citi.com
backup-20060908-162029-902
O1 - Hosts: 84.252.148.18 citi.com
backup-20060908-162029-289
O1 - Hosts: 84.252.148.18 www.citibank.com
backup-20060908-162029-659
O1 - Hosts: 84.252.148.18 citibank.com
backup-20060908-162029-346
O1 - Hosts: 84.252.148.18 www.etrade.com
backup-20060908-162029-411
O1 - Hosts: 84.252.148.18 etrade.com
backup-20060908-162029-584
O1 - Hosts: 84.252.148.18 www.neteller.com
backup-20060908-162029-595
O1 - Hosts: 84.252.148.18 neteller.com
backup-20060908-162029-371
O1 - Hosts: 84.252.148.18 tcfbank.com
backup-20060908-162029-236
O1 - Hosts: 84.252.148.18 www.tcfbank.com
backup-20060908-162029-375
O1 - Hosts: 84.252.148.18 hsbc.com
backup-20060908-162029-958
O1 - Hosts: 84.252.148.18 www.hsbc.com
backup-20060908-162029-193
O1 - Hosts: 84.252.148.18 hsbc.co.uk
backup-20060908-162029-503
O1 - Hosts: 84.252.148.18 www.hsbc.co.uk
backup-20060908-162029-839
O1 - Hosts: 84.252.148.18 aol.com
backup-20060908-162029-893
O1 - Hosts: 84.252.148.18 www.aol.com
backup-20060908-162029-732
O1 - Hosts: 84.252.148.18 comerica.com
backup-20060908-162029-213
O1 - Hosts: 84.252.148.18 www.comerica.com
backup-20060908-162029-912
O1 - Hosts: 84.252.148.18 www.3riversfcu.org
backup-20060908-162029-769
O1 - Hosts: 84.252.148.18 3riversfcu.org
backup-20060908-162029-463
O1 - Hosts: 84.252.148.18 www.53.com
backup-20060908-162029-115
O1 - Hosts: 84.252.148.18 53.com
backup-20060908-162029-160
O1 - Hosts: 84.252.148.18 www.bbt.com
backup-20060908-162029-104
O1 - Hosts: 84.252.148.18 bbt.com
backup-20060908-162029-645
O1 - Hosts: 84.252.148.18 www.boh.com
backup-20060908-162029-111
O1 - Hosts: 84.252.148.18 boh.com
backup-20060908-162029-514
O1 - Hosts: 84.252.148.18 www.capitalone.com
backup-20060908-162029-773
O1 - Hosts: 84.252.148.18 capitalone.com
backup-20060908-162029-795
O1 - Hosts: 84.252.148.18 www.cnbwax.com
backup-20060908-162029-271
O1 - Hosts: 84.252.148.18 barclays.co.uk
backup-20060908-162029-749
O1 - Hosts: 84.252.148.18 www.cwbk.com
backup-20060908-162029-725
O1 - Hosts: 84.252.148.18 cwbk.com
backup-20060908-162029-265
O1 - Hosts: 84.252.148.18 www.ebay.com
backup-20060908-162029-909
O1 - Hosts: 84.252.148.18 ebay.com
backup-20060908-162029-244
O1 - Hosts: 84.252.148.18 www.edsefcu.org
backup-20060908-162029-973
O1 - Hosts: 84.252.148.18 edsefcu.org
backup-20060908-162029-550
O1 - Hosts: 84.252.148.18 egold.com
backup-20060908-162029-197
O1 - Hosts: 84.252.148.18 www.egold.com
backup-20060908-162029-413
O1 - Hosts: 84.252.148.18 www.e-gold.com
backup-20060908-162029-296
O1 - Hosts: 84.252.148.18 e-gold.com
backup-20060908-162029-648
O1 - Hosts: 84.252.148.18 www.firstusa.com
backup-20060908-162029-591
O1 - Hosts: 84.252.148.18 firstusa.com
backup-20060908-162029-560
O1 - Hosts: 84.252.148.18 www.frontierbank.com
backup-20060908-162029-980
O1 - Hosts: 84.252.148.18 frontierbank.com
backup-20060908-162029-905
O1 - Hosts: 84.252.148.18 www.gncu.org
backup-20060908-162029-753
O1 - Hosts: 84.252.148.18 gncu.org
backup-20060908-162029-309
O1 - Hosts: 84.252.148.18 www.householdbank.com
backup-20060908-162029-313
O1 - Hosts: 84.252.148.18 householdbank.com
backup-20060908-162029-597
O1 - Hosts: 84.252.148.18 www.icicibank.com
backup-20060908-162029-276
O1 - Hosts: 84.252.148.18 icicibank.com
backup-20060908-162029-220
O1 - Hosts: 84.252.148.18 www.mbna.com
backup-20060908-162029-675
O1 - Hosts: 84.252.148.18 mbna.com
backup-20060908-162029-575
O1 - Hosts: 84.252.148.18 www.mibank.com
backup-20060908-162029-141
O1 - Hosts: 84.252.148.18 mibank.com
backup-20060908-162029-177
O1 - Hosts: 84.252.148.18 www.midamericabank.com
backup-20060908-162029-803
O1 - Hosts: 84.252.148.18 midamericabank.com
backup-20060908-162029-190
O1 - Hosts: 84.252.148.18 www.myindymacbank.com
backup-20060908-162029-701
O1 - Hosts: 84.252.148.18 myindymacbank.com
backup-20060908-162029-857
O1 - Hosts: 84.252.148.18 www.nafcunet.org
backup-20060908-162029-654
O1 - Hosts: 84.252.148.18 nafcunet.org
backup-20060908-162029-263
O1 - Hosts: 84.252.148.18 www.nationalcity.com
backup-20060908-162029-436
O1 - Hosts: 84.252.148.18 nationalcity.com
backup-20060908-162029-447
O1 - Hosts: 84.252.148.18 www.cnb.com
backup-20060908-162029-415
O1 - Hosts: 84.252.148.18 cnb.com
backup-20060908-162029-511
O1 - Hosts: 84.252.148.18 www.nationwide.com
backup-20060908-162029-210
O1 - Hosts: 84.252.148.18 www.barclays.co.uk
backup-20060908-162029-985
O1 - Hosts: 84.252.148.18 wellsfargo.com
backup-20060908-162029-947
O1 - Hosts: 84.252.148.18 www.wellsfargo.com
backup-20060908-162029-208
O1 - Hosts: 84.252.148.18 wachovia.com
backup-20060908-162029-788
O1 - Hosts: 84.252.148.18 www.wachovia.com
backup-20060908-162029-350
O1 - Hosts: 84.252.148.18 southtrust.com
backup-20060908-162029-407
O1 - Hosts: 84.252.148.18 www.southtrust.com
backup-20060908-162029-172
O1 - Hosts: 84.252.148.18 chase.com
backup-20060908-162029-450
O1 - Hosts: 84.252.148.18 disbank.com.tr
backup-20060908-162029-222
O1 - Hosts: 84.252.148.18 www.chase.com
backup-20060908-162029-952
O1 - Hosts: 84.252.148.18 www.disbank.com.tr
backup-20060908-162029-873
O1 - Hosts: 84.252.148.18 kocbank.com.tr
backup-20060908-162029-144
O1 - Hosts: 84.252.148.18 www.kocbank.com.tr
backup-20060908-162029-510
O1 - Hosts: 84.252.148.18 www.garanti.com.tr
backup-20060908-162029-809
O1 - Hosts: 84.252.148.18 garanti.com.tr
backup-20060908-162029-993
O1 - Hosts: 84.252.148.18 www.lloydstsb.co.uk
backup-20060908-162029-235
O1 - Hosts: 84.252.148.18 lloydstsb.co.uk
backup-20060908-162029-303
O1 - Hosts: 84.252.148.18 www.lloydstsb.com
backup-20060908-162029-563
O1 - Hosts: 84.252.148.18 lloydstsb.com
backup-20060908-162029-549
O1 - Hosts: 84.252.148.18 paypal.com
backup-20060908-162029-886
O1 - Hosts: 84.252.148.18 bankofamerica.com
backup-20060908-162029-555
O1 - Hosts: 84.252.148.18 www.paypal.com
backup-20060908-162029-420
O1 - Hosts: 84.252.148.18 www.halifax.co.uk
backup-20060908-162029-687
O1 - Hosts: 84.252.148.18 www.bankofamerica.com
backup-20060908-162029-580
O1 - Hosts: 84.252.148.18 www.halifax.com
backup-20060908-162029-598
O1 - Hosts: 84.252.148.18 halifax.co.uk
backup-20060908-162029-405
O1 - Hosts: 84.252.148.18 bankone.com
backup-20060908-162029-185
O1 - Hosts: 84.252.148.18 halifax.com
backup-20060908-162029-319
O1 - Hosts: 84.252.148.18 cnbwax.com
backup-20060908-162029-488
O1 - Hosts: 84.252.148.18 www.bankone.com

Completion time: 09/09/2006 15:34:54.11
ComboFix.txt

Reposte un rapport Hijackthis.

rapport de vundofix :


VundoFix V6.1.4

Checking Java version...

Java version is 1.5.0.6

Scan started at 14:08:33 09/09/2006

Listing files found while scanning....

C:\WINDOWS\system32\awtus.dll
C:\WINDOWS\system32\sutwa.ini
C:\WINDOWS\system32\sutwa.bak1
C:\WINDOWS\system32\sutwa.bak2
C:\WINDOWS\system32\sutwa.ini2
C:\WINDOWS\system32\yabyy.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awtus.dll
C:\WINDOWS\system32\awtus.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\sutwa.ini
C:\WINDOWS\system32\sutwa.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\sutwa.bak1
C:\WINDOWS\system32\sutwa.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\sutwa.bak2
C:\WINDOWS\system32\sutwa.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\sutwa.ini2
C:\WINDOWS\system32\sutwa.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\yabyy.dll
C:\WINDOWS\system32\yabyy.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.1.4

Checking Java version...

Java version is 1.5.0.6

Scan started at 14:23:38 09/09/2006

Listing files found while scanning....

C:\WINDOWS\system32\awtus.dll
C:\WINDOWS\system32\sutwa.ini

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awtus.dll
C:\WINDOWS\system32\awtus.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\sutwa.ini
C:\WINDOWS\system32\sutwa.ini Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.1.4

Checking Java version...

Java version is 1.5.0.6

Scan started at 14:32:41 09/09/2006

Listing files found while scanning....

C:\WINDOWS\system32\awtus.dll
C:\WINDOWS\system32\sutwa.ini

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awtus.dll
C:\WINDOWS\system32\awtus.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\sutwa.ini
C:\WINDOWS\system32\sutwa.ini Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.1.4

Checking Java version...

Java version is 1.5.0.6

Scan started at 14:37:22 09/09/2006

Listing files found while scanning....

C:\WINDOWS\system32\awtus.dll
C:\WINDOWS\system32\sutwa.ini

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awtus.dll
C:\WINDOWS\system32\awtus.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\sutwa.ini
C:\WINDOWS\system32\sutwa.ini Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Beginning removal...

Attempting to delete C:\WINDOWS\System32\awtus.dll
C:\WINDOWS\System32\awtus.dll Could not be deleted.

Performing Repairs to the registry.
Done!

VundoFix V6.1.4

Checking Java version...

Java version is 1.5.0.6

Scan started at 15:12:41 09/09/2006

Listing files found while scanning....

C:\WINDOWS\system32\awtus.dll
C:\WINDOWS\system32\sutwa.ini

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awtus.dll
C:\WINDOWS\system32\awtus.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\sutwa.ini
C:\WINDOWS\system32\sutwa.ini Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 15:39:26, on 09/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Ultravnc\winvnc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\DAP\DAP.EXE
C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Telechargement\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Académie de ROUEN
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.127.164.1:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\\vptray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ProxyWay] C:\Program Files\ProxyWay\proxyway.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.ac-rouen.fr/gestion/accueil.php
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O20 - Winlogon Notify: emul65 - C:\WINDOWS\SYSTEM32\emul65.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\Ultravnc\winvnc.exe" -service (file missing)

Plus de Vundo :youpi:

C:\WINDOWS\SYSTEM32\emul65.dll
-> bizarre...



Va sur le site de VirusTotal
Clique sur Parcourir... puis ouvre:

C:\WINDOWS\SYSTEM32\emul65.dll

Si tu vois ce message:

" Your file " ***.*** " is queued in position: ***. Estimated start time is between *** and *** minutes. "
Il te faudra patienter.

Clique ensuite sur Send
Poste le rapport en fin d'analyse.

oué quand j'ai lancé le virus en ligne de secuser ça ma mis a chaque fois erreur internet explorer sur le fichier emul65.dll et internet explorer se fermé, je vai aller voir virustotal et posté le rapport

Il ne m'a plu l'air bon le site virustotal ça fait
This page is parked free, courtesy of GoDaddy.com
et des liens sponsorisé en dessous

mais de toute façon le fichier C:\WINDOWS\SYSTEM32\emul65.dll il existe pas sur mon pc

Telecharge Hoster
http://www.funkytoad.com/download/hoster.zip
Ensuite, tu le dézippes sur ton bureau.

Lance Hoster - Toadbee et clique sur " Restore original Hosts "

Retente VirusTotal.

Au lieu de faire parcourir, tu colle l'emplacement du fichier dans la case.

j'ai fait restore hosts
j'ai ressayé d'aller sur le site virustotal, j'ai ça :

On passe un coup d'antispy puissant.

Télécharge SpySweeper (de Webroot, version d'essai de 14 jours) :

-Clique sur "Télécharger la version test".
-Installe le programme en choississant "installation standard".
-Accepte le redémarrage
-L'option de le mettre à jour s'affichera, acceptes la mise à jour
-Lorsque les mises à jour seront installées, dans colonne de gauche clique sur l'onglet Options puis analyse.
-Sous Eléments à analyser et Autres options coche toutes les cases.
-Ferme SpySweeper

La suite étant faite en mode sans échec, imprime ou copie/colle dans un fichier texte les instructions suivantes

Redémarre en mode sans échec : au redémarrage, tapotes immédiatement la touche F8, tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

Démarre SpySweeper
-Clique Analyser sur la gauche puis sur Démarrer l'analyse.
-Quand le scan est terminé, clique sur Suivant.
-Assure-toi que tous les éléments trouvés sont tous cochés, puis clic sur Suivant.
-Tous les éléments cochés seront alors mis en quarantaine.
-Dans "Récapitulatif", sélectionne en bas Afficher le journal de session puis Enregistrer dans un fichier afin de sauvegarder le rapport.

Redémarre normalement

Désinstalle SpySweeper à partir de ajout/suppression de programme sauf si tu veux continuer l'évaluation pendant 15 jours.

Copie/colle le rapport de SpySweeper ici

Bonjour testeur115, bonjour Angeldark,

--> infection Haxdoor

si SpySweeper la vire pas, faudra utiliser Haxfix

--> emul65.dll est toujours là sinon HijackThis mettrait "file missing"

  Esteban,

J'ai compri pourquoi il n'y avait rien sur castlecops !

J'ai bien colle :
emul65.dll
mais en validant j'ai appuye sur *

Merci de l'avoir vu, je commencais a devenir vous avec ce emule65  

Je prend de l'avance.

Si en faisant un rapport Hijackthis tu as exactement cette ligne :
C:\WINDOWS\SYSTEM32\emul65.dll

Alors :

Télécharger haxfix.exe[/color]
et le sauvegarde sur le bureau.

Double cliquer sur haxfix.exe pour installer haxfix. (l'installation standard est c:\program Files\haxfix)

Cocher "Create a desktop icon"

Cliquer "Next"

Quand l'installation est terminée, s'assurer que "Launch HaxFix" est coché

Cliquer "Finish"

Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes:
1. Make logfile (créer un rapport)
2. Run auto fix (lancer la réparation en mode automatique)
3. Run manual fix (lancer la réparation en mode manuel)
E. Exit Haxfix (quitter Haxfix)

Selectionner l'option 1. Make logfile en tapant 1 puis taper "Entrée"

Haxfix va analyser le système. Quand il a fini, un rapport s'ouvrira: haxlog.txt > (c:\haxlog.txt)

Copier le contenu de ce rapport et l'inclure (coller) dans votre réponse.

ça m'étonnait aussi que ça t'ait échappé  

ça m'étonnait aussi que ça t'ait échappé  
-> arrete tu vas me faire rougir  

ok me revoila lol, un peu long le spysweeper donc voici son rapport :
17:37: Processus de suppression lancé. Durée 00:01:03
17:37: Mise en quarantaine de toutes les traces : dfm-mind_spamrelayer
17:37: Mise en quarantaine de toutes les traces : trojan-backdoor-adagoe
17:37: Mise en quarantaine de toutes les traces : reliablestats cookie
17:37: Mise en quarantaine de toutes les traces : weborama cookie
17:37: Mise en quarantaine de toutes les traces : enhance cookie
17:37: Mise en quarantaine de toutes les traces : 247realmedia cookie
17:37: Mise en quarantaine de toutes les traces : serving-sys cookie
17:37: Mise en quarantaine de toutes les traces : atwola cookie
17:37: Mise en quarantaine de toutes les traces : bs.serving-sys cookie
17:37: Mise en quarantaine de toutes les traces : xiti cookie
17:37: Avertissement: Failed to delete profile shadow file "C:\WINDOWS\Temp\SST10F.tmp". Reason: Le fichier spécifié est introuvable
17:37: Avertissement: Failed to delete profile shadow file ".log". Reason: Le fichier spécifié est introuvable
17:37: Avertissement: Failed to delete profile shadow file "C:\WINDOWS\Temp\SSTFF.tmp". Reason: Le fichier spécifié est introuvable
17:37: Avertissement: Failed to delete profile shadow file ".log". Reason: Le fichier spécifié est introuvable
17:37: Avertissement: Failed to delete profile shadow file "C:\WINDOWS\Temp\SSTEF.tmp". Reason: Le fichier spécifié est introuvable
17:37: Avertissement: Failed to delete profile shadow file ".log". Reason: Le fichier spécifié est introuvable
17:37: Mise en quarantaine de toutes les traces : hotbar
17:37: Avertissement: Failed to delete profile shadow file "C:\WINDOWS\Temp\SSTD5.tmp". Reason: Le fichier spécifié est introuvable
17:37: Avertissement: Failed to delete profile shadow file ".log". Reason: Le fichier spécifié est introuvable
17:36: Avertissement: Failed to delete profile shadow file "C:\WINDOWS\Temp\SSTC5.tmp". Reason: Le fichier spécifié est introuvable
17:36: Avertissement: Failed to delete profile shadow file ".log". Reason: Le fichier spécifié est introuvable
17:36: Mise en quarantaine de toutes les traces : cws-aboutblank
17:36: Mise en quarantaine de toutes les traces : prosearch.com hijack
17:36: Mise en quarantaine de toutes les traces : trojan-phisher-metafisher
17:36: Mise en quarantaine de toutes les traces : trojan agent winlogonhook
17:36: Mise en quarantaine de toutes les traces : security2k hijacker
17:36: Processus de suppression lancé.
17:36: Traces trouvées : 34
17:36: Analyse complète terminée. Durée 01:10:54
17:36: Analyse des fichiers terminée, temps passé : 01:08:30
17:36: Avertissement: Failed to access drive D:
17:35: portugues.language (ID = 166442)
17:32: polski.language (ID = 61677)
17:32: russian.language (ID = 61680)
17:32: german.language (ID = 61675)
17:32: swedish.language (ID = 61682)
17:32: romanian.language (ID = 61679)
17:32: spanish.language (ID = 61681)
17:32: dutch.language (ID = 61669)
17:32: french.language (ID = 61671)
17:32: english.language (ID = 61670)
17:32: arabic.language (ID = 61667)
17:14: geowhere.lnk (ID = 61674)
17:12: geowhere.lnk (ID = 61674)
17:12: geowhere.lnk (ID = 61674)
17:12: Trouvé Adware: geowhere
17:11: Avertissement: Failed to open file "c:\documents and settings\administrateur\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
17:11: Avertissement: Failed to open file "c:\documents and settings\administrateur\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
17:11: Avertissement: Failed to open file "c:\documents and settings\administrateur\ntuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
17:11: Avertissement: Failed to open file "c:\documents and settings\administrateur\ntuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:56: ctldlg32.dll (ID = 318754)
16:56: Trouvé Trojan Horse: dfm-mind_spamrelayer
16:39: z152560.exe (ID = 350)
16:39: Avertissement: Failed to open file "c:\windows\system32\config\systemprofile\application data\webroot\spy sweeper\data\settings.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:39: Avertissement: Failed to open file "c:\windows\system32\config\default". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:39: Avertissement: Failed to open file "c:\windows\system32\config\software". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:39: Avertissement: Failed to open file "c:\windows\system32\config\system". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:39: Avertissement: Failed to open file "c:\windows\system32\config\security.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:39: Avertissement: Failed to open file "c:\windows\system32\config\sam.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:39: Avertissement: Failed to open file "c:\windows\system32\config\sam". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:39: Avertissement: Failed to open file "c:\windows\system32\config\security". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:39: Avertissement: Failed to open file "c:\windows\system32\config\default.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:39: Avertissement: Failed to open file "c:\windows\system32\config\software.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:39: Avertissement: Failed to open file "c:\windows\system32\config\system.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:28: ynp2560.exe (ID = 350)
16:28: Trouvé Trojan Horse: trojan-backdoor-adagoe
16:27: Démarrage de l’analyse des fichiers
16:27: Avertissement: Failed to open file "c:\pagefile.sys". Accès refusé
16:27: Analyse des cookies terminée, temps passé : 00:00:00
16:27: clg victor hugo@stats1.reliablestats[2].txt (ID = 3254)
16:27: Trouvé Spy Cookie: reliablestats cookie
16:27: clg victor hugo@weborama[2].txt (ID = 3658)
16:27: Trouvé Spy Cookie: weborama cookie
16:27: clg victor hugo@c.enhance[1].txt (ID = 2614)
16:27: Trouvé Spy Cookie: enhance cookie
16:27: clg victor hugo@247realmedia[1].txt (ID = 1953)
16:27: Trouvé Spy Cookie: 247realmedia cookie
16:27: clg victor hugo@serving-sys[1].txt (ID = 3343)
16:27: Trouvé Spy Cookie: serving-sys cookie
16:27: clg victor hugo@atwola[1].txt (ID = 2255)
16:27: Trouvé Spy Cookie: atwola cookie
16:27: clg victor hugo@bs.serving-sys[2].txt (ID = 2330)
16:27: Trouvé Spy Cookie: bs.serving-sys cookie
16:27: clg victor hugo@xiti[1].txt (ID = 3717)
16:27: Trouvé Spy Cookie: xiti cookie
16:27: Démarrage de l’analyse des cookies
16:27: Analyse du Registre terminée, temps passé :00:00:14
16:27: HKU\WRSS_Profile_S-1-5-21-1996877932-539582026-1745474826-1006\software\microsoft\internet explorer\main\ || search page_bak (ID = 774883)
16:27: HKU\WRSS_Profile_S-1-5-21-1996877932-539582026-1745474826-1006\software\microsoft\internet explorer\toolbar\shellbrowser\ || {74cc49f7-eb32-4a08-b204-948962a6e3db} (ID = 685412)
16:27: HKU\WRSS_Profile_S-1-5-21-1996877932-539582026-1745474826-1006\software\microsoft\internet explorer\extensions\cmdmapping\ || {e77eda01-3c56-4a96-8d08-02b42891c169} (ID = 127576)
16:27: HKU\WRSS_Profile_S-1-5-21-1996877932-539582026-1745474826-1006\software\microsoft\internet explorer\extensions\cmdmapping\ || {946b3e9e-e21a-49c8-9f63-900533fafe14} (ID = 127575)
16:27: Trouvé Adware: hotbar
16:27: HKU\WRSS_Profile_S-1-5-21-1996877932-539582026-1745474826-1006\software\microsoft\internet explorer\main\ || search page_bak (ID = 115925)
16:27: Trouvé Adware: cws-aboutblank
16:27: HKLM\software\microsoft\internet explorer\main\ || search page_bak (ID = 1250789)
16:27: Trouvé Adware: prosearch.com hijack
16:27: HKLM\software\microsoft\windows\currentversion\control panel\load\ (ID = 1150937)
16:27: Trouvé Trojan Horse: trojan-phisher-metafisher
16:27: HKLM\software\microsoft\mssmgr\ (ID = 937101)
16:27: Trouvé Trojan Horse: trojan agent winlogonhook
16:27: HKLM\software\microsoft\windows\currentversion\explorer\browser helper objecta\ (ID = 735573)
16:27: Trouvé Adware: security2k hijacker
16:27: Démarrage de l’analyse du Registre
16:27: Analyse de la mémoire terminée, temps passé : 00:00:33
16:26: Démarrage de l’analyse de la mémoire
16:25: Analyse lancée avec la version des définitions 723
16:25: Spy Sweeper 5.0.7.1608 démarrée
16:25: | Début de session, samedi 9 septembre 2006 |
********
16:25: | Fin de session, samedi 9 septembre 2006 |
16:25: Version du programme : 5.0.7.1608 - Définitions de logiciels espions 723
16:25: Spy Sweeper 5.0.7.1608 démarrée
16:25: | Début de session, samedi 9 septembre 2006 |
********

et voila le hijackthis donc encore le ptit emule65 donc jvai essayé haxfix :
Logfile of HijackThis v1.99.1
Scan saved at 17:46:08, on 09/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\Program Files\DAP\DAP.EXE
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Program Files\Ultravnc\winvnc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Telechargement\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Académie de ROUEN
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.127.164.1:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AOLDialer] "C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\\vptray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [AVG7_CC] "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" /STARTUP
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ProxyWay] C:\Program Files\ProxyWay\proxyway.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.ac-rouen.fr/gestion/accueil.php
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O20 - Winlogon Notify: emul65 - C:\WINDOWS\SYSTEM32\emul65.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\Ultravnc\winvnc.exe" -service (file missing)

Fais HaxFix (en haut)

oui c'est en cours  

voila :
HAXFIX logfile - by Marckie
______________
version 4.16
09/09/2006 17:48:56,63

checking for haxdoor
--------------------
checking for a3d files....
a3d files found
ps.a3d

checking for matching notify keys....
matching notify keys found
emul65

checking for matching services....
matching services found
CmBatt
emul65
emul37

checking for matching safeboot services....
matching safeboot services found
emul65.sys
emul37.sys

checking for other haxdoorfiles....


Checking for goldun
-------------------
checking for notify keys....
no notify keys found

checking for services....
no services found

checking for other goldunfiles....


Finished

HaxDoor effectivement  

Ouvrir le dossier C:\Program Files\haxfix et double-cliquer sur fix.bat
(ou double-cliquer sur l'icone du bureau fix.bat )

Fermer toutes les autres fenêtres, car Haxfix re-démarerra le système.

Selectionner l'option 2. Run auto fix en tapant 2 puis "Entrée"
si une infection est trouvée, Vous aurez un message demandant de fermer toutes les autres fenêtres ouvertes.

Fermer toutes les autres fenêtres sauf la fenêtre à fond rouge de haxfix puis taper "Entrée"

La machine sera re-démarrée

En fin de re-démarrage un rapport s'ouvrira > (c:\haxfix.txt)

Poster le contenu de ce rapport ainsi qu'un nouveau rapport HijackThis .

rapport haxfix :
HAXFIX logfile - by Marckie
--------------
version 4.16
09/09/2006 18:07:00,99

--- Auto Haxdoorfix ---


searching for files:


searching for services....
service emul65 found
[SWSC] DeleteService SUCCESS
service emul37 found
[SWSC] DeleteService SUCCESS


--- Goldunfix ---


searching for files:

searching for notifykeys:
no notifykeys found

searching for services:
no services found


.....rebooting the computer.....


searching for notifykeys

notifykey emul65 not found


searching for services

service emul65 not found
service emul37 not found


searching for safeboot services

safeboot service emul65.sys not found
safeboot service emul37.sys not found


searching for files

emul65.dll exists
deleting emul65.dll
emul65.dll has been deleted

emul37.sys exists
deleting emul37.sys
emul37.sys has been deleted

emul65.sys exists
deleting emul65.sys
emul65.sys has been deleted


checking for other files

qy.sys exists
deleting qy.sys
qy.sys has been deleted

qz.dll exists
deleting qz.dll
qz.dll has been deleted

qz.sys exists
deleting qz.sys
qz.sys has been deleted

x8.xxd exists
deleting x8.xxd
x8.xxd has been deleted

zxcsedr.dll exists
deleting zxcsedr.dll
zxcsedr.dll has been deleted


checking for a3d files

ps.a3d
deleting a3d files
a3d files are deleted


Finished










--------------------------
rapport hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 18:14:03, on 09/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Program Files\Ultravnc\winvnc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Webroot\Spy Sweeper\SSU.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Telechargement\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Académie de ROUEN
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.127.164.1:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AOLDialer] "C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\\vptray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [AVG7_CC] "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" /STARTUP
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ProxyWay] C:\Program Files\ProxyWay\proxyway.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.ac-rouen.fr/gestion/accueil.php
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\Ultravnc\winvnc.exe" -service (file missing)

Good !

Si tu n'as plus de problemes :

Rapporte tes infections ca serait sympas pour nous.
Infections = VUNDO + HAXDOOR

Dénonce ton infection pour faire condamner les auteurs.
Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :
- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)
---> http://www.malwarecomplaints.info/viewforum.php?f=10
Plus d'informations ici

- Consulte ces pages pour éviter que ces problèmes ne réapparaissent pas :

http://gerard.melone.free.fr/IT/IT-AM0.html
http://www.malekal.com/securiser_ordinateur.html

Merci à Malekal pour le passage sur Malware-Complaints.