Aidez-moi SVP ! Je suis infecté par win32 adware-gen et win32:poebot-A

Un bonjour ?

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

Double-clique VundoFix.exe afin de le lancer

Clique sur le bouton Scan for Vundo

Lorsque le scan est complété, clique sur le bouton Remove Vundo

Une invite te demandera si tu veux supprimer les fichiers, clique YES

Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers

Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK

Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

Bonjour, Angeldark et merci de m'avoir si vite répondu.

Voici le contenu du rapport de vundofix :

VundoFix V6.3.17

Checking Java version...

Sun Java not detected
Scan started at 12:56:34 23/03/2007

Listing files found while scanning....

C:\WINDOWS\System32\ehkmp.bak2
C:\WINDOWS\System32\ehkmp.ini
C:\WINDOWS\system32\gebaaya.dll
C:\WINDOWS\system32\gjoiruqp.dll
C:\WINDOWS\system32\ntkhgxkj.dll
C:\WINDOWS\system32\opnljgd.dll
C:\WINDOWS\System32\pmkhe.dll
C:\WINDOWS\system32\uewxqdhb.dll

Beginning removal...

Attempting to delete C:\WINDOWS\System32\ehkmp.bak2
C:\WINDOWS\System32\ehkmp.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\System32\ehkmp.ini
C:\WINDOWS\System32\ehkmp.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\gebaaya.dll
C:\WINDOWS\system32\gebaaya.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\gjoiruqp.dll
C:\WINDOWS\system32\gjoiruqp.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\opnljgd.dll
C:\WINDOWS\system32\opnljgd.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\pmkhe.dll
C:\WINDOWS\System32\pmkhe.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\uewxqdhb.dll
C:\WINDOWS\system32\uewxqdhb.dll Has been deleted!

Performing Repairs to the registry.
Done!

Et voici le log de hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 13:06:25, on 23/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\InterVideo\FastTVSync\FastTVSync.exe
C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\WINDOWS\system32\explorer.exe
C:\WINDOWS\system32\ytasmdl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\lofo.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\hicgwgd.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Jean-Paul\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5EA3455D-60E9-4E5F-BE1B-5BB9C75C001B} - C:\WINDOWS\System32\pmkhe.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {D199B08D-ADCA-4326-9515-0C463B906889} - C:\WINDOWS\System32\opnljgd.dll (file missing)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [FastTVSync] "C:\Program Files\Fichiers communs\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [WINCINEMAMGR] "C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\system32\explorer.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\system32\ytasmdl.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\system32\hicgwgd.exe
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\wwxkmhuf.dll",setvm
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Udot] "C:\PROGRA~1\COMMON~1\CROSOF~1\tracert.exe" -vt yazb
O4 - HKCU\..\Run: [Win32] eim.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Program Files\InterVideo\DVD5R\SchSvr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Merci d'avance et à bientot.

Bonne journée !

Re,

Commence par désinstaller WinSOS.

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.

Redémarre en mode sans échec

Ouvre le dossier SDFix qui vient d'être créé à la racine de ton dique dur (C:) et double clique sur RunThis.bat pour lancer le script.

Appuie sur Y pour commencer le processus de nettoyage.

Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

Appuie sur une touche pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis.

Re,

Je n'ai pas réussi à supprimer winSOS : il n'est pas dans la liste des programmes dans le panneau de configuration, ni dans la liste program files. Que dois-je faire ?


Sinon voici le rapport de SDFix :

SDFix: Version 1.74

Run by Jean-Paul - 24/03/2007 - 14:16:45,14

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:





Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\system32\.exe - Deleted
C:\WINDOWS\system32\.exe - Deleted
C:\WINDOWS\system32\explorer.exe - Deleted
C:\WINDOWS\Temp\removalfile.bat - Deleted



ADS Check:

C:\WINDOWS\system32
No streams found.


Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\tcgsjs.exe"="C:\\WINDOWS\\system32\\tcgsjs.exe:* isabled:tcgsjs"
"C:\\WINDOWS\\system32\\explorer.exe"="C:\\WINDOWS\\system32\\explorer.exe:* isabled:explorer"
"C:\\WINDOWS\\system32\\vcxbqwy.exe"="C:\\WINDOWS\\system32\\vcxbqwy.exe:* isabled:vcxbqwy"
"C:\\WINDOWS\\system32\\ixvwmf.exe"="C:\\WINDOWS\\system32\\ixvwmf.exe:* isabled:ixvwmf"
"C:\\WINDOWS\\system32\\kyckrcwf.exe"="C:\\WINDOWS\\system32\\kyckrcwf.exe:* isabled:kyckrcwf"
"C:\\WINDOWS\\system32\\spintmyn.exe"="C:\\WINDOWS\\system32\\spintmyn.exe:* isabled:spintmyn"
"C:\\WINDOWS\\system32\\ytasmdl.exe"="C:\\WINDOWS\\system32\\ytasmdl.exe:* isabled:ytasmdl"
"C:\\WINDOWS\\system32\\eim.exe"="C:\\WINDOWS\\system32\\eim.exe:* isabled:eim"
"C:\\WINDOWS\\system32\\imywjdtz.exe"="C:\\WINDOWS\\system32\\imywjdtz.exe:* isabled:imywjdtz"
"C:\\WINDOWS\\system32\\dwqh.exe"="C:\\WINDOWS\\system32\\dwqh.exe:* isabled wqh"
"C:\\WINDOWS\\system32\\vcxgak.exe"="C:\\WINDOWS\\system32\\vcxgak.exe:*:Enabled:vcxgak"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Checking For Files with Hidden Attributes :

C:\Program Files\Fichiers communs\Yazzle1658OinUninstaller.exe
C:\WINDOWS\system32\knlcqemh.exe
C:\Program Files\Common Files\X10\Common\x10prod.sys

Finished

Je vais réécrire un message pour le log de hijackthis.

Merci encore et à plus.

Tu es parti sans me donner le Hijackthis   ?

voici le log de hijackthis (désolé pour le retard) :

Logfile of HijackThis v1.99.1
Scan saved at 18:01:39, on 24/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Fichiers communs\InterVideo\FastTVSync\FastTVSync.exe
C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\hicgwgd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Documents and Settings\Jean-Paul\Mes documents\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5EA3455D-60E9-4E5F-BE1B-5BB9C75C001B} - C:\WINDOWS\System32\pmkhe.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {D199B08D-ADCA-4326-9515-0C463B906889} - C:\WINDOWS\System32\opnljgd.dll (file missing)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [FastTVSync] "C:\Program Files\Fichiers communs\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [WINCINEMAMGR] "C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\system32\hicgwgd.exe
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\wwxkmhuf.dll",setvm
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Udot] "C:\PROGRA~1\COMMON~1\CROSOF~1\tracert.exe" -vt yazb
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Program Files\InterVideo\DVD5R\SchSvr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Re,

- Lance Hijackthis ->Do a system scan only
->Coche les lignes ci-dessous :

O2 - BHO: (no name) - {5EA3455D-60E9-4E5F-BE1B-5BB9C75C001B} - C:\WINDOWS\System32\pmkhe.dll (file missing)
O2 - BHO: (no name) - {D199B08D-ADCA-4326-9515-0C463B906889} - C:\WINDOWS\System32\opnljgd.dll (file missing)
O4 - HKCU\..\Run: [Udot] "C:\PROGRA~1\COMMON~1\CROSOF~1\tracert.exe" -vt yazb
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI

Clique sur Fix checked (en bas à gauche)

Télécharge OTMoveIt (d'OldTimer). Sauvegarde-le sur ton Bureau.
Sélectionne TOUS les emplacements en gras ci-dessous :

C:\Program Files\WINSOS
C:\WINDOWS\system32\tcgsjs.exe
C:\WINDOWS\system32\explorer.exe
C:\WINDOWS\system32\vcxbqwy.exe
C:\WINDOWS\system32\ixvwmf.exe
C:\\WINDOWS\system32\kyckrcwf.exe
C:\\WINDOWS\system32\spintmyn.exe
C:\WINDOWS\system32\ytasmdl.exe
C:\WINDOWS\system32\eim.exe
C:\WINDOWS\system32\imywjdtz.exe
C:\WINDOWS\system32\dwqh.exe
C:\WINDOWS\system32\vcxgak.exe
C:\Program Files\Fichiers communs\Yazzle1658OinUninstaller.exe
C:\WINDOWS\system32\knlcqemh.exe

---> Clique-droit puis Copier

Double-clique sur OTMoveIt.exe afin de le lancer.
Fais un Clique-droit sur le cadre de gauche puis choisis Coller.
Clique maintenant sur [#ff0000]MoveIt![/#f]

! Si un fichier ou dossier ne peut être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES !

Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport est la date de sa création.

Re,

voilà le rapport :

File/Folder C:\Program Files\WINSOS not found.
C:\WINDOWS\system32\tcgsjs.exe moved successfully.
File/Folder C:\WINDOWS\system32\explorer.exe not found.
C:\WINDOWS\system32\vcxbqwy.exe moved successfully.
C:\WINDOWS\system32\ixvwmf.exe moved successfully.
C:\\WINDOWS\system32\kyckrcwf.exe moved successfully.
C:\\WINDOWS\system32\spintmyn.exe moved successfully.
C:\WINDOWS\system32\ytasmdl.exe moved successfully.
File/Folder C:\WINDOWS\system32\eim.exe not found.
C:\WINDOWS\system32\imywjdtz.exe moved successfully.
C:\WINDOWS\system32\dwqh.exe moved successfully.
C:\WINDOWS\system32\vcxgak.exe moved successfully.
C:\Program Files\Fichiers communs\Yazzle1658OinUninstaller.exe moved successfully.
C:\WINDOWS\system32\knlcqemh.exe moved successfully.

Created on 03/24/2007 19:21:18

Reposte un rapport Hijackthis.

Logfile of HijackThis v1.99.1
Scan saved at 19:48:52, on 24/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\InterVideo\FastTVSync\FastTVSync.exe
C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\hicgwgd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jean-Paul\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [FastTVSync] "C:\Program Files\Fichiers communs\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [WINCINEMAMGR] "C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\system32\hicgwgd.exe
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\wwxkmhuf.dll",setvm
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Program Files\InterVideo\DVD5R\SchSvr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Re,

Télécharge combofix.exe (par sUBs) sur ton Bureau

Double clique combofix.exe.

Tape sur la touche Y (Yes) pour démarrer le scan.

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

voici le rapport :

"Jean-Paul" - 07-03-24 20:13:41 Service Pack 2
ComboFix 07-03-23 - Running from: "C:\Documents and Settings\Jean-Paul\Bureau"

((((((((((((((((((((((((((((((( Files Created from 2007-02-24 to 2007-03-24 ))))))))))))))))))))))))))))))))))


2007-03-23 13:03 57,856 --a------ C:\WINDOWS\system32\hicgwgd.exe
2007-03-23 13:00 57,856 --a------ C:\WINDOWS\system32\lofo.exe
2007-03-23 12:56 <REP> d-------- C:\VundoFix Backups
2007-03-23 12:54 123,972 --a------ C:\WINDOWS\system32\wwxkmhuf.dll
2007-03-21 11:33 114,176 --a------ C:\WINDOWS\system32\jxcxrzh.exe
2007-03-20 21:56 114,176 --a------ C:\WINDOWS\system32\iiwxb.exe
2007-03-20 21:50 114,176 --a------ C:\WINDOWS\system32\glxkpl.exe
2007-03-20 21:28 114,176 --a------ C:\WINDOWS\system32\lndkflyx.exe
2007-03-20 21:22 114,176 --a------ C:\WINDOWS\system32\fkfam.exe
2007-03-20 21:20 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-03-20 21:16 <REP> d-------- C:\DOCUME~1\JEAN-P~1\APPLIC~1\Lavasoft
2007-03-20 21:15 <REP> d-------- C:\Program Files\Lavasoft
2007-03-19 16:20 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
2007-03-19 16:11 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
2007-03-19 16:11 <REP> d-------- C:\DOCUME~1\JEAN-P~1\APPLIC~1\Adobe
2007-03-19 16:03 <REP> d--hs---- C:\WINDOWS\ftpcache
2007-03-19 16:03 <REP> d-------- C:\Program Files\Free


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-02-19 10:41 41472 --a------ C:\WINDOWS\system32\poyrizm.exe
2007-02-19 10:31 41472 --a------ C:\WINDOWS\system32\iyeye.exe
2007-02-19 10:04 41472 --a------ C:\WINDOWS\system32\ndleybmt.exe
2007-02-19 09:59 41472 --a------ C:\WINDOWS\system32\lybvclq.exe
2007-02-19 09:49 41472 --a------ C:\WINDOWS\system32\iqwboj.exe
2007-02-19 09:42 41472 --a------ C:\WINDOWS\system32\mmode.exe
2007-02-19 09:26 41472 --a------ C:\WINDOWS\system32\rucq.exe
2007-02-19 09:20 41472 --a------ C:\WINDOWS\system32\rhnhnzbg.exe
2007-02-16 16:00 41472 --a------ C:\WINDOWS\system32\jaqbylj.exe
2007-02-16 15:29 41472 --a------ C:\WINDOWS\system32\nalg.exe
2007-02-16 15:18 41472 --a------ C:\WINDOWS\system32\bstyknks.exe
2007-02-16 15:10 41472 --a------ C:\WINDOWS\system32\yrgxswtw.exe
2007-02-16 14:55 41472 --a------ C:\WINDOWS\system32\bglvf.exe
2007-02-16 10:21 41472 --a------ C:\WINDOWS\system32\gmwjyg.exe
2007-02-16 09:32 41472 --a------ C:\WINDOWS\system32\ifqg.exe
2007-02-16 09:04 41472 --a------ C:\WINDOWS\system32\csnxuc.exe
2007-02-16 08:56 41472 --a------ C:\WINDOWS\system32\beuwymda.exe
2007-02-15 11:17 41472 --a------ C:\WINDOWS\system32\ammge.exe
2007-02-15 11:09 41472 --a------ C:\WINDOWS\system32\hknwk.exe
2007-02-15 10:51 41472 --a------ C:\WINDOWS\system32\jvdv.exe
2007-02-15 10:42 41472 --a------ C:\WINDOWS\system32\zbuv.exe
2007-02-15 09:51 41472 --a------ C:\WINDOWS\system32\ntaybesu.exe
2007-02-15 09:45 41472 --a------ C:\WINDOWS\system32\wzlxddwk.exe
2007-02-15 09:31 41472 --a------ C:\WINDOWS\system32\nymx.exe
2007-02-15 08:58 41472 --a------ C:\WINDOWS\system32\cvdwfao.exe
2007-02-15 08:48 41472 --a------ C:\WINDOWS\system32\wbcwtqi.exe
2007-02-15 08:37 41472 --a------ C:\WINDOWS\system32\xzfpmbo.exe
2007-02-15 08:27 41472 --a------ C:\WINDOWS\system32\flsq.exe
2007-02-15 08:14 41472 --a------ C:\WINDOWS\system32\szdrnddv.exe
2007-02-14 10:20 41472 --a------ C:\WINDOWS\system32\asaqdtuf.exe
2007-02-14 10:13 41472 --a------ C:\WINDOWS\system32\jcaod.exe
2007-02-14 09:26 -------- d-------- C:\DOCUME~1\JEAN-P~1\APPLIC~1\help
2007-02-14 09:19 41472 --a------ C:\WINDOWS\system32\dqvwmpt.exe
2007-02-14 09:10 41472 --a------ C:\WINDOWS\system32\rjchr.exe
2007-02-13 11:02 41472 --a------ C:\WINDOWS\system32\bvszxfdp.exe
2007-02-13 10:48 41472 --a------ C:\WINDOWS\system32\ktirv.exe
2007-02-13 10:17 41472 --a------ C:\WINDOWS\system32\jltjwye.exe
2007-02-13 10:08 41472 --a------ C:\WINDOWS\system32\jjuaf.exe
2007-02-13 10:00 41472 --a------ C:\WINDOWS\system32\ztxfu.exe
2007-02-13 09:44 41472 --a------ C:\WINDOWS\system32\hudcggmn.exe
2007-02-13 09:24 41472 --a------ C:\WINDOWS\system32\bgatjbzl.exe
2007-02-13 09:16 41472 --a------ C:\WINDOWS\system32\nwvdszu.exe
2007-02-13 09:08 48616 --a------ C:\WINDOWS\system32\perfc00c.dat
2007-02-13 09:08 367658 --a------ C:\WINDOWS\system32\perfh00c.dat
2007-02-13 09:01 -------- d-------- C:\Program Files\messenger
2007-02-13 08:55 41472 --a------ C:\WINDOWS\system32\ftiojr.exe
2007-02-13 08:46 41472 --a------ C:\WINDOWS\system32\fbpi.exe
2007-02-13 08:38 41472 --a------ C:\WINDOWS\system32\cvhe.exe
2007-02-12 11:42 41472 --a------ C:\WINDOWS\system32\epuss.exe
2007-02-12 11:29 -------- d-------- C:\Program Files\movie maker
2007-02-12 11:28 41472 --a------ C:\WINDOWS\system32\ybmbkoco.exe
2007-02-12 11:27 -------- d-------- C:\Program Files\windows nt
2007-02-12 11:16 41472 --a------ C:\WINDOWS\system32\mbrpvami.exe
2007-02-12 10:58 41472 --a------ C:\WINDOWS\system32\egwzqghp.exe
2007-02-10 20:37 4212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-02-10 20:30 41472 --a------ C:\WINDOWS\system32\vllenma.exe
2007-02-10 19:37 41472 --a------ C:\WINDOWS\system32\blcigoq.exe
2007-02-10 19:36 -------- d-------- C:\Program Files\google
2007-02-10 12:59 41472 --a------ C:\WINDOWS\system32\okclpeld.exe
2007-02-09 11:21 41472 --a------ C:\WINDOWS\system32\teuvhnra.exe
2007-02-08 10:54 41472 --a------ C:\WINDOWS\system32\zrjh.exe
2007-02-08 10:54 193281 --a------ C:\WINDOWS\system32\ftoskk.exe
2007-02-08 10:37 41472 --a------ C:\WINDOWS\system32\wmjoqu.exe
2007-02-08 10:37 193281 --a------ C:\WINDOWS\system32\mkgb.exe
2007-02-08 10:29 41472 --a------ C:\WINDOWS\system32\dzkadt.exe
2007-02-08 10:29 193281 --a------ C:\WINDOWS\system32\atdeojoa.exe
2007-02-07 11:07 41472 --a------ C:\WINDOWS\system32\exzyzvm.exe
2007-02-07 11:07 193281 --a------ C:\WINDOWS\system32\hzbeubkq.exe
2007-02-07 10:58 -------- d--h----- C:\Program Files\windowsupdate
2007-02-07 10:39 41472 --a------ C:\WINDOWS\system32\dcetkaj.exe
2007-02-07 10:39 193281 --a------ C:\WINDOWS\system32\tcso.exe
2007-02-05 16:29 193281 --a------ C:\WINDOWS\system32\vrcqdf.exe
2007-02-05 16:18 193281 --a------ C:\WINDOWS\system32\zfxjle.exe
2007-02-04 19:05 41472 --a------ C:\WINDOWS\system32\gyvxoqx.exe
2007-02-04 18:49 41472 --a------ C:\WINDOWS\system32\jarz.exe
2007-02-04 18:49 -------- d-------- C:\Program Files\common files
2007-02-04 18:29 -------- d--h----- C:\Program Files\installshield installation information
2007-02-04 18:22 -------- d-------- C:\DOCUME~1\JEAN-P~1\APPLIC~1\intervideo
2007-02-04 18:20 -------- d-------- C:\Program Files\Fichiers communs\installshield
2007-02-04 18:15 -------- d-------- C:\Program Files\epson
2007-02-04 18:07 -------- d-------- C:\Program Files\x10 hardware
2007-02-04 18:06 -------- d-------- C:\Program Files\intervideo
2007-02-04 18:03 -------- d-------- C:\Program Files\Fichiers communs\intervideo
2007-02-03 19:22 0 -rahs---- C:\MSDOS.SYS
2007-02-03 19:22 0 -rahs---- C:\IO.SYS
2007-02-03 19:22 0 --a------ C:\CONFIG.SYS
2007-02-03 19:22 0 --a------ C:\AUTOEXEC.BAT
2007-02-03 19:22 -------- d-------- C:\Program Files\microsoft frontpage
2007-02-03 19:21 -------- d-------- C:\Program Files\services en ligne
2007-02-03 19:20 21892 --a------ C:\WINDOWS\system32\emptyregdb.dat
2007-02-03 19:20 -------- d-------- C:\Program Files\msn gaming zone
2007-02-03 19:20 -------- d-------- C:\Program Files\Fichiers communs\mssoap
2007-02-03 14:36 62 --ahs---- C:\DOCUME~1\JEAN-P~1\APPLIC~1\desktop.ini
2007-02-03 14:36 -------- d-------- C:\Program Files\Fichiers communs\speechengines
2007-02-03 14:36 -------- d-------- C:\Program Files\Fichiers communs\odbc
2007-01-15 18:32 689280 --a------ C:\WINDOWS\system32\aswboot.exe
2007-01-15 18:23 90112 --a------ C:\WINDOWS\system32\avastss.scr
2007-01-08 19:01 17408 --a------ C:\WINDOWS\system32\corpol.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Program Files\\Messenger\\MSMSGS.EXE\" /background"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.2.1128.5462\\GoogleToolbarNotifier.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"FastTVSync"="\"C:\\Program Files\\Fichiers communs\\InterVideo\\FastTVSync\\FastTVSync.exe\""
"Home Theater SchSvr"="\"C:\\Program Files\\Fichiers communs\\InterVideo\\SchSvr\\SchSvr.exe\""
"WINCINEMAMGR"="\"C:\\Program Files\\InterVideo\\Common\\Bin\\WinCinemaMgr.exe\""
"EPSON Stylus DX4800 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIADE.EXE /P26 \"EPSON Stylus DX4800 Series\" /O6 \"USB001\" /M \"Stylus DX4800\""
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"Advanced DHTML Enable"="C:\\WINDOWS\\system32\\hicgwgd.exe"
"SoundService"="rundll32.exe \"C:\\WINDOWS\\system32\\wwxkmhuf.dll\",setvm"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{D199B08D-ADCA-4326-9515-0C463B906889}"=""

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0



********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-03-24 20:14:58

Beaucoup de fichiers infectés !

Sélectionne TOUS les emplacements en gras ci-dessous :

C:\WINDOWS\system32\hicgwgd.exe
C:\WINDOWS\system32\lofo.exe
C:\VundoFix Backups
C:\WINDOWS\system32\wwxkmhuf.dll
C:\WINDOWS\system32\jxcxrzh.exe
C:\WINDOWS\system32\iiwxb.exe
C:\WINDOWS\system32\glxkpl.exe
C:\WINDOWS\system32\lndkflyx.exe
C:\WINDOWS\system32\fkfam.exe
C:\WINDOWS\system32\poyrizm.exe
C:\WINDOWS\system32\iyeye.exe
C:\WINDOWS\system32\ndleybmt.exe
C:\WINDOWS\system32\lybvclq.exe
C:\WINDOWS\system32\iqwboj.exe
C:\WINDOWS\system32\mmode.exe
C:\WINDOWS\system32\rucq.exe
C:\WINDOWS\system32\rhnhnzbg.exe
C:\WINDOWS\system32\jaqbylj.exe
C:\WINDOWS\system32\nalg.exe
C:\WINDOWS\system32\bstyknks.exe
C:\WINDOWS\system32\yrgxswtw.exe
C:\WINDOWS\system32\bglvf.exe
C:\WINDOWS\system32\gmwjyg.exe
C:\WINDOWS\system32\ifqg.exe
C:\WINDOWS\system32\csnxuc.exe
C:\WINDOWS\system32\beuwymda.exe
C:\WINDOWS\system32\ammge.exe
C:\WINDOWS\system32\hknwk.exe
C:\WINDOWS\system32\jvdv.exe
C:\WINDOWS\system32\zbuv.exe
C:\WINDOWS\system32\ntaybesu.exe
C:\WINDOWS\system32\wzlxddwk.exe
C:\WINDOWS\system32\nymx.exe
C:\WINDOWS\system32\cvdwfao.exe
C:\WINDOWS\system32\wbcwtqi.exe
C:\WINDOWS\system32\xzfpmbo.exe
C:\WINDOWS\system32\flsq.exe
C:\WINDOWS\system32\szdrnddv.exe
C:\WINDOWS\system32\asaqdtuf.exe
C:\WINDOWS\system32\jcaod.exe
C:\WINDOWS\system32\dqvwmpt.exe
C:\WINDOWS\system32\rjchr.exe
C:\WINDOWS\system32\bvszxfdp.exe
C:\WINDOWS\system32\ktirv.exe
C:\WINDOWS\system32\jltjwye.exe
C:\WINDOWS\system32\jjuaf.exe
C:\WINDOWS\system32\ztxfu.exe
C:\WINDOWS\system32\hudcggmn.exe
C:\WINDOWS\system32\bgatjbzl.exe
C:\WINDOWS\system32\nwvdszu.exe
C:\WINDOWS\system32\ftiojr.exe
C:\WINDOWS\system32\fbpi.exe
C:\WINDOWS\system32\cvhe.exe
C:\WINDOWS\system32\epuss.exe
C:\WINDOWS\system32\ybmbkoco.exe
C:\Program Files\windows nt
C:\WINDOWS\system32\mbrpvami.exe
C:\WINDOWS\system32\egwzqghp.exe
C:\WINDOWS\system32\zllictbl.dat
C:\WINDOWS\system32\vllenma.exe
C:\WINDOWS\system32\blcigoq.exe
C:\WINDOWS\system32\okclpeld.exe
C:\WINDOWS\system32\teuvhnra.exe
C:\WINDOWS\system32\zrjh.exe
C:\WINDOWS\system32\ftoskk.exe
C:\WINDOWS\system32\wmjoqu.exe
C:\WINDOWS\system32\mkgb.exe
C:\WINDOWS\system32\dzkadt.exe
C:\WINDOWS\system32\atdeojoa.exe
C:\WINDOWS\system32\exzyzvm.exe
C:\WINDOWS\system32\hzbeubkq.exe
C:\WINDOWS\system32\dcetkaj.exe
C:\WINDOWS\system32\tcso.exe
C:\WINDOWS\system32\vrcqdf.exe
C:\WINDOWS\system32\zfxjle.exe
C:\WINDOWS\system32\gyvxoqx.exe
C:\WINDOWS\system32\jarz.exe

---> Clique-droit puis Copier

Double-clique sur OTMoveIt.exe afin de le lancer.
Fais un Clique-droit sur le cadre de gauche puis choisis Coller.
Clique maintenant sur [#ff0000]MoveIt![/#f]

! Si un fichier ou dossier ne peut être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES !

Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport est la date de sa création.

C:\WINDOWS\system32\hicgwgd.exe moved successfully.
C:\WINDOWS\system32\lofo.exe moved successfully.
C:\VundoFix Backups moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\wwxkmhuf.dll
C:\WINDOWS\system32\wwxkmhuf.dll NOT unregistered.
C:\WINDOWS\system32\wwxkmhuf.dll moved successfully.
C:\WINDOWS\system32\jxcxrzh.exe moved successfully.
C:\WINDOWS\system32\iiwxb.exe moved successfully.
C:\WINDOWS\system32\glxkpl.exe moved successfully.
C:\WINDOWS\system32\lndkflyx.exe moved successfully.
C:\WINDOWS\system32\fkfam.exe moved successfully.
C:\WINDOWS\system32\poyrizm.exe moved successfully.
C:\WINDOWS\system32\iyeye.exe moved successfully.
C:\WINDOWS\system32\ndleybmt.exe moved successfully.
C:\WINDOWS\system32\lybvclq.exe moved successfully.
C:\WINDOWS\system32\iqwboj.exe moved successfully.
C:\WINDOWS\system32\mmode.exe moved successfully.
C:\WINDOWS\system32\rucq.exe moved successfully.
C:\WINDOWS\system32\rhnhnzbg.exe moved successfully.
C:\WINDOWS\system32\jaqbylj.exe moved successfully.
C:\WINDOWS\system32\nalg.exe moved successfully.
C:\WINDOWS\system32\bstyknks.exe moved successfully.
C:\WINDOWS\system32\yrgxswtw.exe moved successfully.
C:\WINDOWS\system32\bglvf.exe moved successfully.
C:\WINDOWS\system32\gmwjyg.exe moved successfully.
C:\WINDOWS\system32\ifqg.exe moved successfully.
C:\WINDOWS\system32\csnxuc.exe moved successfully.
C:\WINDOWS\system32\beuwymda.exe moved successfully.
C:\WINDOWS\system32\ammge.exe moved successfully.
C:\WINDOWS\system32\hknwk.exe moved successfully.
C:\WINDOWS\system32\jvdv.exe moved successfully.
C:\WINDOWS\system32\zbuv.exe moved successfully.
C:\WINDOWS\system32\ntaybesu.exe moved successfully.
C:\WINDOWS\system32\wzlxddwk.exe moved successfully.
C:\WINDOWS\system32\nymx.exe moved successfully.
C:\WINDOWS\system32\cvdwfao.exe moved successfully.
C:\WINDOWS\system32\wbcwtqi.exe moved successfully.
C:\WINDOWS\system32\xzfpmbo.exe moved successfully.
C:\WINDOWS\system32\flsq.exe moved successfully.
C:\WINDOWS\system32\szdrnddv.exe moved successfully.
C:\WINDOWS\system32\asaqdtuf.exe moved successfully.
C:\WINDOWS\system32\jcaod.exe moved successfully.
C:\WINDOWS\system32\dqvwmpt.exe moved successfully.
C:\WINDOWS\system32\rjchr.exe moved successfully.
C:\WINDOWS\system32\bvszxfdp.exe moved successfully.
C:\WINDOWS\system32\ktirv.exe moved successfully.
C:\WINDOWS\system32\jltjwye.exe moved successfully.
C:\WINDOWS\system32\jjuaf.exe moved successfully.
C:\WINDOWS\system32\ztxfu.exe moved successfully.
C:\WINDOWS\system32\hudcggmn.exe moved successfully.
C:\WINDOWS\system32\bgatjbzl.exe moved successfully.
C:\WINDOWS\system32\nwvdszu.exe moved successfully.
C:\WINDOWS\system32\ftiojr.exe moved successfully.
C:\WINDOWS\system32\fbpi.exe moved successfully.
C:\WINDOWS\system32\cvhe.exe moved successfully.
C:\WINDOWS\system32\epuss.exe moved successfully.
C:\WINDOWS\system32\ybmbkoco.exe moved successfully.
Folder cleanup failed. C:\Program Files\windows nt\Pinball scheduled to be deleted on reboot.
Folder cleanup failed. C:\Program Files\windows nt\Accessoires scheduled to be deleted on reboot.
Folder cleanup failed. C:\Program Files\windows nt scheduled to be deleted on reboot.
C:\WINDOWS\system32\mbrpvami.exe moved successfully.
C:\WINDOWS\system32\egwzqghp.exe moved successfully.
C:\WINDOWS\system32\zllictbl.dat moved successfully.
C:\WINDOWS\system32\vllenma.exe moved successfully.
C:\WINDOWS\system32\blcigoq.exe moved successfully.
C:\WINDOWS\system32\okclpeld.exe moved successfully.
C:\WINDOWS\system32\teuvhnra.exe moved successfully.
C:\WINDOWS\system32\zrjh.exe moved successfully.
C:\WINDOWS\system32\ftoskk.exe moved successfully.
C:\WINDOWS\system32\wmjoqu.exe moved successfully.
C:\WINDOWS\system32\mkgb.exe moved successfully.
C:\WINDOWS\system32\dzkadt.exe moved successfully.
C:\WINDOWS\system32\atdeojoa.exe moved successfully.
C:\WINDOWS\system32\exzyzvm.exe moved successfully.
C:\WINDOWS\system32\hzbeubkq.exe moved successfully.
C:\WINDOWS\system32\dcetkaj.exe moved successfully.
C:\WINDOWS\system32\tcso.exe moved successfully.
C:\WINDOWS\system32\vrcqdf.exe moved successfully.
C:\WINDOWS\system32\zfxjle.exe moved successfully.
C:\WINDOWS\system32\gyvxoqx.exe moved successfully.
C:\WINDOWS\system32\jarz.exe moved successfully.

Created on 03/24/2007 21:13:49

Tu peux refaire un scan Hijackthis & Combofix ?

Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 22:05:18, on 24/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\InterVideo\FastTVSync\FastTVSync.exe
C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\hicgwgd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jean-Paul\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [FastTVSync] "C:\Program Files\Fichiers communs\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [WINCINEMAMGR] "C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\system32\hicgwgd.exe
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\wwxkmhuf.dll",setvm
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Program Files\InterVideo\DVD5R\SchSvr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Combofix :

"Jean-Paul" - 07-03-24 22:06:08 Service Pack 2
ComboFix 07-03-23 - Running from: "C:\Documents and Settings\Jean-Paul\Bureau"

((((((((((((((((((((((((((((((( Files Created from 2007-02-24 to 2007-03-24 ))))))))))))))))))))))))))))))))))


2007-03-23 13:03 57,856 --------- C:\WINDOWS\system32\hicgwgd.exe
2007-03-23 12:54 123,972 --------- C:\WINDOWS\system32\wwxkmhuf.dll
2007-03-20 21:20 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-03-20 21:16 <REP> d-------- C:\DOCUME~1\JEAN-P~1\APPLIC~1\Lavasoft
2007-03-20 21:15 <REP> d-------- C:\Program Files\Lavasoft
2007-03-19 16:20 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
2007-03-19 16:11 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
2007-03-19 16:11 <REP> d-------- C:\DOCUME~1\JEAN-P~1\APPLIC~1\Adobe
2007-03-19 16:03 <REP> d--hs---- C:\WINDOWS\ftpcache
2007-03-19 16:03 <REP> d-------- C:\Program Files\Free


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-03-24 21:13 -------- d-------- C:\Program Files\windows nt
2007-02-14 09:26 -------- d-------- C:\DOCUME~1\JEAN-P~1\APPLIC~1\help
2007-02-13 09:08 48616 --a------ C:\WINDOWS\system32\perfc00c.dat
2007-02-13 09:08 367658 --a------ C:\WINDOWS\system32\perfh00c.dat
2007-02-13 09:01 -------- d-------- C:\Program Files\messenger
2007-02-12 11:29 -------- d-------- C:\Program Files\movie maker
2007-02-10 19:36 -------- d-------- C:\Program Files\google
2007-02-07 10:58 -------- d--h----- C:\Program Files\windowsupdate
2007-02-04 18:49 -------- d-------- C:\Program Files\common files
2007-02-04 18:29 -------- d--h----- C:\Program Files\installshield installation information
2007-02-04 18:22 -------- d-------- C:\DOCUME~1\JEAN-P~1\APPLIC~1\intervideo
2007-02-04 18:20 -------- d-------- C:\Program Files\Fichiers communs\installshield
2007-02-04 18:15 -------- d-------- C:\Program Files\epson
2007-02-04 18:07 -------- d-------- C:\Program Files\x10 hardware
2007-02-04 18:06 -------- d-------- C:\Program Files\intervideo
2007-02-04 18:03 -------- d-------- C:\Program Files\Fichiers communs\intervideo
2007-02-03 19:22 0 -rahs---- C:\MSDOS.SYS
2007-02-03 19:22 0 -rahs---- C:\IO.SYS
2007-02-03 19:22 0 --a------ C:\CONFIG.SYS
2007-02-03 19:22 0 --a------ C:\AUTOEXEC.BAT
2007-02-03 19:22 -------- d-------- C:\Program Files\microsoft frontpage
2007-02-03 19:21 -------- d-------- C:\Program Files\services en ligne
2007-02-03 19:20 21892 --a------ C:\WINDOWS\system32\emptyregdb.dat
2007-02-03 19:20 -------- d-------- C:\Program Files\msn gaming zone
2007-02-03 19:20 -------- d-------- C:\Program Files\Fichiers communs\mssoap
2007-02-03 14:36 62 --ahs---- C:\DOCUME~1\JEAN-P~1\APPLIC~1\desktop.ini
2007-02-03 14:36 -------- d-------- C:\Program Files\Fichiers communs\speechengines
2007-02-03 14:36 -------- d-------- C:\Program Files\Fichiers communs\odbc
2007-01-15 18:32 689280 --a------ C:\WINDOWS\system32\aswboot.exe
2007-01-15 18:23 90112 --a------ C:\WINDOWS\system32\avastss.scr
2007-01-08 19:01 17408 --a------ C:\WINDOWS\system32\corpol.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Program Files\\Messenger\\MSMSGS.EXE\" /background"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.2.1128.5462\\GoogleToolbarNotifier.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"FastTVSync"="\"C:\\Program Files\\Fichiers communs\\InterVideo\\FastTVSync\\FastTVSync.exe\""
"Home Theater SchSvr"="\"C:\\Program Files\\Fichiers communs\\InterVideo\\SchSvr\\SchSvr.exe\""
"WINCINEMAMGR"="\"C:\\Program Files\\InterVideo\\Common\\Bin\\WinCinemaMgr.exe\""
"EPSON Stylus DX4800 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIADE.EXE /P26 \"EPSON Stylus DX4800 Series\" /O6 \"USB001\" /M \"Stylus DX4800\""
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"Advanced DHTML Enable"="C:\\WINDOWS\\system32\\hicgwgd.exe"
"SoundService"="rundll32.exe \"C:\\WINDOWS\\system32\\wwxkmhuf.dll\",setvm"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{D199B08D-ADCA-4326-9515-0C463B906889}"=""

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0



********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-03-24 22:07:11
C:\ComboFix2.txt ... 07-03-24 20:14


Et Encore Merci de ton aide ......

Re,

- Lance Hijackthis ->Do a system scan only
->Coche les lignes ci-dessous :

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\system32\hicgwgd.exe
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\wwxkmhuf.dll",setvm

Clique sur Fix checked (en bas à gauche)

Sélectionne TOUS les emplacements en gras ci-dessous :

C:\WINDOWS\system32\hicgwgd.exe
C:\WINDOWS\system32\wwxkmhuf.dll
C:\Program Files\windows nt

---> Clique-droit puis Copier

Double-clique sur OTMoveIt.exe afin de le lancer.
Fais un Clique-droit sur le cadre de gauche puis choisis Coller.
Clique maintenant sur [#ff0000]MoveIt![/#f]

! Si un fichier ou dossier ne peut être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES !

Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport est la date de sa création.

C:\WINDOWS\system32\hicgwgd.exe moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\wwxkmhuf.dll
C:\WINDOWS\system32\wwxkmhuf.dll NOT unregistered.
C:\WINDOWS\system32\wwxkmhuf.dll moved successfully.
Folder cleanup failed. C:\Program Files\windows nt\Pinball scheduled to be deleted on reboot.
Folder cleanup failed. C:\Program Files\windows nt\Accessoires scheduled to be deleted on reboot.
Folder cleanup failed. C:\Program Files\windows nt scheduled to be deleted on reboot.

Created on 03/24/2007 22:54:52

Tu peux reposter un rapport Hijackthis ?

Logfile of HijackThis v1.99.1
Scan saved at 23:33:56, on 24/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\InterVideo\FastTVSync\FastTVSync.exe
C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Documents and Settings\Jean-Paul\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [FastTVSync] "C:\Program Files\Fichiers communs\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [WINCINEMAMGR] "C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Program Files\InterVideo\DVD5R\SchSvr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Re,

Télécharge puis installe AVG Anti-Spyware (AVG AS)
Une fois AVG AS lancé, clique sur "Mise à jour"
Ferme le programme.
AIDE : Tuto sur AVG Antispyware (Malekal)

Redémarre en mode sans échec

Relance AVG AS puis choisis l'onglet "Analyse"
Puis l'onglet "Paramètres"
Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

/!\ Si un fichier est infecté en fin d'analyse /!\
Clique sur "Appliquer toutes les actions"

Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
Enregistre ce fichier texte sur ton bureau.

Redémarre normalement
Copie/Colle le rapport AVG AS ainsi qu'un rapport Hijackthis.

Rapport AVG :

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 22:09:48 25/03/2007

+ Résultat de l'analyse:



C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP169\A0024342.dll -> Adware.Virtumonde : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP169\A0024344.dll -> Adware.Virtumonde : Nettoyé.
C:\SDFix\backups\backups.zip/backups/explorer.exe -> Backdoor.Rbot.bnz : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025389.exe -> Backdoor.Rbot.bnz : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025395.exe -> Backdoor.Rbot.bnz : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP169\A0024165.exe -> Backdoor.Rbot.bxa : Nettoyé.
D:\TOOLS\Tiscali\Tiscali.exe/Kit Tiscali/Elements_Kit/PC/Dialer/InstallDialer.exe/Dialer.exe -> Heuristic.Win32.Dialer : Nettoyé.
D:\TOOLS\Tiscali\Tiscali.exe/Kit Tiscali/Elements_Kit/PC1/Dialer Tiscali/InstallDialer.exe/Dialer.exe -> Heuristic.Win32.Dialer : Nettoyé.
D:\TOOLS\Tiscali\Tiscali.exe/Kit Tiscali/Programs/InstallDialer.exe/Dialer.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025444.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025445.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025446.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025447.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025448.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025449.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025484.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025485.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025486.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025487.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025488.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025489.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025490.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025491.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025492.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025493.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025494.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025495.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025496.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025497.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025498.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025499.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025500.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025501.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025502.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025503.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025504.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025505.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025506.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025507.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025508.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025509.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025510.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025511.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025512.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025513.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025514.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025515.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025516.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025517.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025518.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025519.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025520.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025521.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025522.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025523.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025524.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025525.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025526.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025527.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025528.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025529.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025539.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025540.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025541.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025542.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025543.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025544.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025545.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025547.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025549.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025551.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025553.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025565.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025566.exe -> Proxy.Agent.by : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025450.exe -> Proxy.Agent.mf : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025451.exe -> Proxy.Agent.mf : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025452.exe -> Proxy.Agent.mf : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025479.exe -> Proxy.Agent.mf : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025480.exe -> Proxy.Agent.mf : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025481.exe -> Proxy.Agent.mf : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025482.exe -> Proxy.Agent.mf : Nettoyé.
C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025483.exe -> Proxy.Agent.mf : Nettoyé.
C:\Documents and Settings\Jean-Paul\Cookies\jean-paul@bfast[2].txt -> TrackingCookie.Bfast : Nettoyé.
C:\Documents and Settings\Jean-Paul\Cookies\jean-paul@ehg-neuftelecom.hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Jean-Paul\Cookies\jean-paul@hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Jean-Paul\Cookies\jean-paul@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Documents and Settings\Jean-Paul\Cookies\jean-paul@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Jean-Paul\Cookies\jean-paul@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.


Fin du rapport






Hijackthis :


Logfile of HijackThis v1.99.1
Scan saved at 22:14:15, on 25/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\InterVideo\FastTVSync\FastTVSync.exe
C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jean-Paul\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [FastTVSync] "C:\Program Files\Fichiers communs\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [WINCINEMAMGR] "C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Program Files\InterVideo\DVD5R\SchSvr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Tu as toujours des problèmes ?

Fais un scan en ligne Kaspersky avec Internet Explorer :

Clique sur

Clique maintenant sur J'accepte.

Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.

Patiente pendant l'installation des Mises à jour.

Choisis par la suite l'analyse du Poste de travail

Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Tuto sur le scan en ligne

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Monday, March 26, 2007 12:34:52 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 26/03/2007
Enregistrements dans la base antivirus Kaspersky : 269625


Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\

Statistiques de l'analyse
Total d'objets analysés 69850
Nombre de virus trouvés 3
Nombre d'objets infectés 6 / 0
Nombre d'objets suspects 0
Durée de l'analyse 00:40:29

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\Jean-Paul\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Jean-Paul\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Jean-Paul\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Jean-Paul\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Jean-Paul\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Jean-Paul\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Jean-Paul\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\Jean-Paul\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP166\A0018025.dll Infecté : Trojan.Win32.BHO.g ignoré

C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP169\A0024341.dll Infecté : Trojan.Win32.BHO.g ignoré

C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP169\A0024343.dll Infecté : Trojan-Spy.Win32.VBStat.h ignoré

C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP169\A0024346.dll Infecté : Trojan-Spy.Win32.VBStat.h ignoré

C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025388.exe Infecté : Backdoor.Win32.Rbot.bni ignoré

C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP170\A0025394.exe Infecté : Backdoor.Win32.Rbot.bni ignoré

C:\System Volume Information\_restore{D8CF8AA3-64E1-4FAE-ACE4-BE9659C4C02D}\RP171\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\Perflib_Perfdata_1c8.dat L'objet est verrouillé ignoré

C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

Analyse terminée.

Que penses tu de ces analyses ?

En tout cas, grâce à toi ma connection internet est réparée.

Merci beaucoup !!!

Y a t il d'autres choses à faire ou tu penses que c'est bon ?

Pour me protéger, j'ai avast comme antivirus mais je n'ai rien d'autres. Que me conseilles tu ?

Merci.

Benoit

Re,

Désactive puis réactive la restauration du système.

Pour les protections :
http://www.infos-du-net.com/forum/266006-11-tutos

Re,

ça y est j'ai désactivé puis réactivé la restauration du système.

Merci pour tout

D'autres problèmes ?

Non plus aucun

merci.

Bon surf