des trojans sur vtsqo.dll et gebccode

Bonjour


Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4

* Double-clique VundoFix.exe afin de le lancer.
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
* Démarre ton PC à nouveau.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

Merci pour ta reponce.

Deja merci car mon antivirus AntiVir Guard ne me detecte plus de virus.

Mes bon que j'i connait vraiment pas en la matiere je preferer ton diagnostique voila les 2 rapports.

VundoFix V6.5.1

Checking Java version...

Java version is 1.5.0.8
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Java version is 1.5.0.11

Scan started at 12:39:07 28/06/2007

Listing files found while scanning....

C:\WINDOWS\system32\oqstv.bak1
C:\WINDOWS\system32\oqstv.bak2
C:\WINDOWS\system32\oqstv.ini
C:\WINDOWS\system32\oqstv.ini2
C:\WINDOWS\system32\oqstv.tmp
C:\WINDOWS\system32\vtsqo.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\oqstv.bak1
C:\WINDOWS\system32\oqstv.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\oqstv.bak2
C:\WINDOWS\system32\oqstv.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\oqstv.ini
C:\WINDOWS\system32\oqstv.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\oqstv.ini2
C:\WINDOWS\system32\oqstv.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\oqstv.tmp
C:\WINDOWS\system32\oqstv.tmp Has been deleted!

Attempting to delete C:\WINDOWS\system32\vtsqo.dll
C:\WINDOWS\system32\vtsqo.dll Has been deleted!

Performing Repairs to the registry.
Done!

ET CElui de HijackThis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:45:42, on 28/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\JMRaidTool.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SkyTel.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Mathieu\Mes documents\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32\efwhpdue.dll
O2 - BHO: (no name) - {36ADA89D-2440-4DC4-820A-3A05E8630935} - C:\Program Files\Video ActiveX Access\iesplg.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: (no name) - {D3A11A84-1DA8-4780-924C-9FF4C2EF5F90} - C:\WINDOWS\system32\vtsqo.dll (file missing)
O2 - BHO: (no name) - {DC192567-65F9-4AB6-ADB7-E13575F81726} - C:\WINDOWS\system32\gebccde.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [VGAUtil] C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [rect show build grey] C:\Documents and Settings\All Users\Application Data\curb open rect show\MAIL JOY.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [winupdates] C:\Program Files\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\system32\xvpqssdo.dll",forkonce
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DATAFREE] C:\DOCUME~1\Mathieu\APPLIC~1\CAMPAC~1\UPLOADSLOWREGS.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Program Files\Video ActiveX Access\iesmn.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986....
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5308E02B-4ABA-48E4-AA9E-8A7693661473} (GameCtl Class) - http://jeuxenligne.orange.fr/GisActiveX/Ax/GameAx.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://wanadoofr.oberon-media.com/online2/luxor_amun_ri...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.ca...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {C9E17F58-564C-41C6-989F-AB0FE0D2C9D1} (PopcapLoader Object) - http://jeuxenligne.orange.fr/orange2.0/OnlineHSS/zuma/P...
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O20 - Winlogon Notify: gebccde - gebccde.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: crawley - {8bbe40fd-0416-4c3f-80ea-0c7ad5fb1aab} - C:\WINDOWS\system32\igpfced.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

--
End of file - 11394 bytes


Voila les 2 rapport merci pour ta prochaine reponce.

Re


Tu n'as plus cette laete, mais le PC présente plusieurs infections.

Tu as deux antivirus (AVG7 et Antivir). Supprime en un, il y a risque de conflit.


Fais ceci avant de continuer le ménage.

$$ Télécharge SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Tu le mets sur le Bureau.
Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Poste le rapport.


$$ Télécharge LopxpMH sur ton Bureau.
http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2....
Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.
Poste le contenu du rapport qui va s'ouvrir.

re alors voila les rapports.

SmitFraudFix v2.197

Rapport fait à 0:04:23,59, 29/06/2007
Executé à partir de C:\Documents and Settings\Mathieu\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\JMRaidTool.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SkyTel.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\NoLimits Coasters v1.6\NoLimitsEditor.exe
C:\Documents and Settings\Mathieu\Mes documents\math.pen\utorrent\utorrent.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mathieu


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mathieu\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Mathieu\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\Video ActiveX Access\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8bbe40fd-0416-4c3f-80ea-0c7ad5fb1aab}"="crawley"

[HKEY_CLASSES_ROOT\CLSID\{8bbe40fd-0416-4c3f-80ea-0c7ad5fb1aab}\InProcServer32]
@="C:\WINDOWS\system32\igpfced.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8bbe40fd-0416-4c3f-80ea-0c7ad5fb1aab}\InProcServer32]
@="C:\WINDOWS\system32\igpfced.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\Google\\GOOGLE~2\\GOEC62~1.DLL"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Inventel Gateway - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{37CEF4FD-5D22-43D9-B4A8-8222F9A9DE04}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{37CEF4FD-5D22-43D9-B4A8-8222F9A9DE04}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{37CEF4FD-5D22-43D9-B4A8-8222F9A9DE04}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


et


Rapport lopxpMH2 version 2.0 fait à 0:06:14,57 le 29/06/2007
C:\Documents and Settings\Mathieu\Bureau

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 648E-CA02

Répertoire de C:\Documents and Settings\All Users\Application Data

07/01/2007 14:39 <REP> .
07/01/2007 14:39 <REP> ..
28/01/2007 19:38 <REP> Adobe
12/02/2007 14:19 <REP> AntiVir PersonalEdition Classic
30/01/2007 20:46 <REP> avg7
07/01/2007 18:09 <REP> curb open rect show
10/02/2007 20:07 <REP> CyberLink
19/01/2007 18:01 <REP> Google
30/01/2007 20:46 <REP> Grisoft
27/06/2007 16:20 <REP> Lavasoft
11/01/2007 21:55 <REP> Messenger Plus!
07/01/2007 14:39 <REP> Microsoft
11/02/2007 17:19 <REP> MumboJumbo
11/02/2007 16:50 <REP> MyCompany
19/01/2007 17:57 <REP> Nero
08/02/2007 18:10 <REP> NVIDIA
02/03/2007 19:30 <REP> OLYMPUS
02/03/2007 19:21 <REP> QuickTime
12/02/2007 20:01 <REP> TEMP
19/01/2007 18:01 <REP> WinZip
07/01/2007 17:28 305 addr_file.html
07/01/2007 14:39 62 desktop.ini
2 fichier(s) 367 octets
20 Rép(s) 88 213 544 960 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 648E-CA02

Répertoire de C:\Documents and Settings\Default User\Application Data

07/01/2007 14:39 <REP> .
07/01/2007 14:39 <REP> ..
07/01/2007 14:39 <REP> Microsoft
07/01/2007 14:39 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 88 213 544 960 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 648E-CA02

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

07/01/2007 14:39 <REP> .
07/01/2007 14:39 <REP> ..
0 fichier(s) 0 octets
2 Rép(s) 88 213 544 960 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 648E-CA02

Répertoire de C:\Documents and Settings\LocalService\Application Data

07/01/2007 14:48 <REP> .
07/01/2007 14:48 <REP> ..
30/01/2007 20:47 <REP> AVG7
03/03/2007 11:53 <REP> Google
07/01/2007 14:48 <REP> Microsoft
0 fichier(s) 0 octets
5 Rép(s) 88 213 544 960 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 648E-CA02

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

07/01/2007 14:48 <REP> .
07/01/2007 14:48 <REP> ..
03/03/2007 11:53 <REP> Google
07/01/2007 14:48 <REP> Microsoft
0 fichier(s) 0 octets
4 Rép(s) 88 213 544 960 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 648E-CA02

Répertoire de C:\Documents and Settings\Marc\Application Data

07/01/2007 14:49 <REP> .
07/01/2007 14:49 <REP> ..
28/01/2007 19:39 <REP> Adobe
07/01/2007 17:02 <REP> Ahead
09/02/2007 19:17 <REP> AVG7
14/06/2007 18:38 <REP> DivX
19/01/2007 18:02 <REP> Google
07/01/2007 14:49 <REP> Identities
07/01/2007 16:37 <REP> Macromedia
14/06/2007 18:38 <REP> Media Player Classic
07/01/2007 14:49 <REP> Microsoft
20/01/2007 20:01 <REP> Sun
28/01/2007 15:28 <REP> vlc
07/01/2007 14:49 62 desktop.ini
28/01/2007 19:16 346 dm.ini
23/03/2007 16:26 451 184 GDIPFONTCACHEV1.DAT
3 fichier(s) 451 592 octets
13 Rép(s) 88 213 540 864 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 648E-CA02

Répertoire de C:\Documents and Settings\Marc\Local Settings\Application Data

07/01/2007 14:49 <REP> .
07/01/2007 14:49 <REP> ..
28/01/2007 19:16 <REP> Adobe
07/01/2007 17:02 <REP> Ahead
19/01/2007 18:01 <REP> Google
08/05/2007 15:59 <REP> Help
11/01/2007 19:54 <REP> Identities
07/01/2007 14:49 <REP> Microsoft
07/01/2007 17:03 7 168 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
07/01/2007 15:06 453 184 GDIPFONTCACHEV1.DAT
07/01/2007 15:04 4 838 754 IconCache.db
3 fichier(s) 5 299 106 octets
8 Rép(s) 88 213 540 864 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 648E-CA02

Répertoire de C:\Documents and Settings\Marie\Application Data

18/01/2007 09:11 <REP> .
18/01/2007 09:11 <REP> ..
12/02/2007 15:23 <REP> Adobe
12/02/2007 15:23 <REP> AVG7
15/02/2007 08:54 <REP> Google
18/01/2007 09:11 <REP> Identities
15/02/2007 08:54 <REP> Macromedia
18/01/2007 09:11 <REP> Microsoft
18/01/2007 09:11 62 desktop.ini
1 fichier(s) 62 octets
8 Rép(s) 88 213 540 864 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 648E-CA02

Répertoire de C:\Documents and Settings\Marie\Local Settings\Application Data

18/01/2007 09:11 <REP> .
18/01/2007 09:11 <REP> ..
12/02/2007 15:23 <REP> Ahead
15/02/2007 08:54 <REP> Google
18/01/2007 09:11 <REP> Microsoft
18/01/2007 09:11 62 024 GDIPFONTCACHEV1.DAT
18/01/2007 09:12 3 243 348 IconCache.db
2 fichier(s) 3 305 372 octets
5 Rép(s) 88 213 540 864 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 648E-CA02

Répertoire de C:\Documents and Settings\Mathieu\Application Data

07/01/2007 17:30 <REP> .
07/01/2007 17:30 <REP> ..
19/05/2007 19:13 <REP> Ableton
28/01/2007 19:58 <REP> Adobe
27/01/2007 14:12 <REP> Ahead
12/01/2007 20:31 <REP> Atari
30/01/2007 20:48 <REP> AVG7
17/01/2007 14:37 <REP> Azureus
07/01/2007 18:08 <REP> campacidpile
24/01/2007 18:59 <REP> Copernic
10/02/2007 20:08 <REP> dvdcss
19/01/2007 18:18 <REP> Google
07/01/2007 17:30 <REP> Identities
07/01/2007 17:35 <REP> Macromedia
04/06/2007 10:34 <REP> Media Player Classic
07/01/2007 17:30 <REP> Microsoft
14/01/2007 16:29 <REP> NetMedia Providers
12/02/2007 20:07 <REP> PlayFirst
14/01/2007 16:29 <REP> Publish Providers
01/04/2007 18:18 <REP> Screenshot Sender
14/01/2007 16:28 <REP> Sony
12/01/2007 19:56 <REP> Sun
31/03/2007 13:47 <REP> uTorrent
20/01/2007 02:09 <REP> vlc
07/01/2007 17:30 62 desktop.ini
07/05/2007 19:22 451 184 GDIPFONTCACHEV1.DAT
2 fichier(s) 451 246 octets
24 Rép(s) 88 213 540 864 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 648E-CA02

Répertoire de C:\Documents and Settings\Mathieu\Local Settings\Application Data

07/01/2007 17:30 <REP> .
07/01/2007 17:30 <REP> ..
04/02/2007 01:19 <REP> Adobe
14/01/2007 01:53 <REP> Ahead
26/03/2007 21:34 <REP> ApplicationHistory
19/01/2007 18:18 <REP> Google
08/03/2007 13:44 <REP> Help
14/01/2007 13:22 <REP> Identities
07/01/2007 17:30 <REP> Microsoft
22/01/2007 19:13 <REP> WMTools Downloaded Files
17/01/2007 19:22 27 648 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
26/03/2007 21:34 130 fusioncache.dat
07/01/2007 17:30 451 576 GDIPFONTCACHEV1.DAT
07/01/2007 17:55 2 115 120 IconCache.db
4 fichier(s) 2 594 474 octets
10 Rép(s) 88 213 536 768 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 648E-CA02

Répertoire de C:\Documents and Settings\NetworkService\Application Data

07/01/2007 14:48 <REP> .
07/01/2007 14:48 <REP> ..
07/01/2007 14:48 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 88 213 536 768 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 648E-CA02

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

07/01/2007 14:48 <REP> .
07/01/2007 14:48 <REP> ..
07/01/2007 14:48 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 88 213 536 768 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 648E-CA02

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

07/01/2007 14:47 <REP> .
07/01/2007 14:47 <REP> ..
07/01/2007 14:47 <REP> Microsoft
07/01/2007 14:47 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 88 213 536 768 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 648E-CA02

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

07/01/2007 14:47 <REP> .
07/01/2007 14:47 <REP> ..
07/01/2007 15:06 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 88 213 536 768 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks


C:\WINDOWS\Tasks\AD390E3E918E84C2.job
\4hP~¬ªAŸ‹Â3£—œF Þ <
s "ˆ!× 9 c : \ d o c u m e ~ 1 \ m a t h i e u \ a p p l i c ~ 1 \ c a m p a c ~ 1 \ S t y l e A c e H e l p . e x e M a t h i e u € 0 Î   <
******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 648E-CA02

Répertoire de C:\Program Files

28/06/2007 22:39 <REP> .
28/06/2007 22:39 <REP> ..
15/05/2007 20:16 <REP> 1964
19/05/2007 19:13 <REP> Ableton
28/06/2007 22:39 <REP> Adobe
30/01/2007 21:01 <REP> Adverts
28/05/2007 14:38 <REP> America's Army
28/05/2007 14:38 <REP> America's Army Server Manager
26/06/2007 23:46 <REP> AntiVir PersonalEdition Classic
07/01/2007 18:40 <REP> Atari
26/03/2007 21:32 <REP> AviSynth 2.5
30/05/2007 18:46 <REP> BitDownload
16/05/2007 21:26 <REP> Bodom-Child - RaBBi
07/01/2007 18:08 <REP> campacidpile
07/01/2007 14:44 <REP> ComPlus Applications
24/01/2007 18:59 <REP> Copernic Agent
07/01/2007 16:21 <REP> CyberLink
27/06/2007 16:18 <REP> Fichiers communs
22/06/2007 22:59 <REP> GamesBar
07/01/2007 16:20 <REP> GigaByte
21/04/2007 01:15 <REP> Google
30/01/2007 20:46 <REP> Grisoft
29/01/2007 20:22 <REP> Guitar Pro 5
28/06/2007 21:50 <REP> HeavenAngelsDestinys
07/01/2007 17:24 <REP> Hewlett-Packard
07/01/2007 17:25 <REP> hp deskjet 920c series
19/01/2007 23:07 <REP> Infogrames
07/01/2007 16:09 <REP> Intel
07/01/2007 15:02 <REP> Internet Explorer
03/03/2007 17:43 <REP> Inventel
24/04/2007 17:50 <REP> Java
04/06/2007 10:28 <REP> K-Lite Codec Pack
27/06/2007 16:20 <REP> Lavasoft
25/06/2007 23:53 <REP> Messenger
17/06/2007 18:19 <REP> Messenger Plus! Live
07/05/2007 23:12 <REP> MessengerDiscovery
21/02/2007 20:47 <REP> Métronome - Version Démo
07/04/2007 18:50 <REP> Micro Application
27/01/2007 14:46 <REP> Microsoft AutoRoute
07/01/2007 14:46 <REP> microsoft frontpage
22/06/2007 23:12 <REP> Microsoft Games
23/03/2007 15:03 <REP> Microsoft Office
07/01/2007 15:01 <REP> Movie Maker
07/01/2007 14:43 <REP> MSN
07/01/2007 14:43 <REP> MSN Gaming Zone
26/06/2007 10:49 <REP> MSN Messenger
28/05/2007 14:22 <REP> MSXML 4.0
07/01/2007 17:00 <REP> Nero
11/01/2007 21:41 <REP> NetMeeting
28/05/2007 20:40 <REP> NoLimits Coasters v1.6
02/03/2007 19:25 <REP> OLYMPUS
11/02/2007 21:33 <REP> orange
03/03/2007 01:41 <REP> OrangeHSS
07/01/2007 15:00 <REP> Outlook Express
30/05/2007 20:43 <REP> PC Drummer Trial Edition
07/01/2007 17:12 <REP> PowerQuest
15/05/2007 20:28 <REP> Project64 1.6
26/03/2007 21:32 <REP> pspvideo9
02/03/2007 19:23 <REP> QuickTime
07/01/2007 16:13 <REP> Realtek
10/04/2007 20:59 <REP> Recuva
22/06/2007 23:53 <REP> SC
03/03/2007 12:28 <REP> Securitoo
07/01/2007 14:43 <REP> Services en ligne
14/01/2007 16:27 <REP> Sony
14/01/2007 18:49 <REP> Sony Setup
28/01/2007 14:05 <REP> SpeedSim
25/06/2007 23:48 <REP> Video ActiveX Access
20/01/2007 01:31 <REP> VideoLAN
14/01/2007 16:27 <REP> Vstplugins
28/06/2007 23:59 <REP> Wanadoo
03/06/2007 20:48 <REP> Windows Live
16/06/2007 13:43 <REP> Windows Live Safety Center
07/01/2007 17:56 <REP> Windows Media Player
07/01/2007 15:00 <REP> Windows NT
06/05/2007 15:26 <REP> WinRAR
19/01/2007 18:02 <REP> WinZip
07/01/2007 14:46 <REP> xerox
0 fichier(s) 0 octets
78 Rép(s) 88 213 532 672 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
*.hotmail.msn.com REG_BINARY
*.ke.voila.fr REG_BINARY
www.mikl.fr REG_BINARY
www.lesi.fr REG_BINARY
www.europe2.fr REG_BINARY
zonenxt.msn-int.com REG_BINARY
zonenxt.msn-ppe.com REG_BINARY
zone.msn.com REG_BINARY

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
rect show build grey REG_SZ C:\Documents and Settings\All Users\Application Data\curb open rect show\MAIL JOY.exe

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
DATAFREE REG_SZ C:\DOCUME~1\Mathieu\APPLIC~1\CAMPAC~1\UPLOADSLOWREGS.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************



Dit moi pour me rassuree ses infections ne sont pas trop garves ?????

Bonjour


Non, ce n'est pas grave, mais certaines infections sont collantes.
On continue en faisant un grand ménage.


Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.


1 Télécharge
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

Brute Force Uninstaller (de Merijn)
http://www.merijn.org/files/bfu.zip
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)


2 FAIS UN CLIC-DROIT sur le lien suivant
http://metallica.geekstogo.com/alcanshorty.bfu
et choisis "Enregistrer la cible sous..." afin de télécharger Alcanshorty.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : Alcanshorty.bfu et BFU.exe (très important).


3 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.


4 Relance un scan HijackThis et coche les lignes ci-dessous :

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32\efwhpdue.dll
O2 - BHO: (no name) - {36ADA89D-2440-4DC4-820A-3A05E8630935} - C:\Program Files\Video ActiveX Access\iesplg.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D3A11A84-1DA8-4780-924C-9FF4C2EF5F90} - C:\WINDOWS\system32\vtsqo.dll (file missing)
O2 - BHO: (no name) - {DC192567-65F9-4AB6-ADB7-E13575F81726} - C:\WINDOWS\system32\gebccde.dll (file missing)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [rect show build grey] C:\Documents and Settings\All Users\Application Data\curb open rect show\MAIL JOY.exe
O4 - HKLM\..\Run: [winupdates] C:\Program Files\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\system32\xvpqssdo.dll",forkonce
O4 - HKCU\..\Run: [DATAFREE] C:\DOCUME~1\Mathieu\APPLIC~1\CAMPAC~1\UPLOADSLOWREGS.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Program Files\Video ActiveX Access\iesmn.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5308E02B-4ABA-48E4-AA9E-8A7693661473} (GameCtl Class) - http://jeuxenligne.orange.fr/GisActiveX/Ax/GameAx.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-F [...] E_UNO1.cab
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://wanadoofr.oberon-media.com/ [...] uncher.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/bina [...] b56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b56907.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O20 - Winlogon Notify: gebccde - gebccde.dll (file missing)
O22 - SharedTaskScheduler: crawley - {8bbe40fd-0416-4c3f-80ea-0c7ad5fb1aab} - C:\WINDOWS\system32\igpfced.dll (file missing)

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »


5 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer


6 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\WINDOWS\system32\efwhpdue.dll
C:\WINDOWS\system32\xvpqssdo.dll
C:\Documents and Settings\All Users\Application Data\curb open rect show
C:\Documents and Settings\Mathieu\Application Data\campacidpile
C:\WINDOWS\Tasks\AD390E3E918E84C2.job
C:\Program Files\Adverts
C:\Program Files\campacidpile

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.


7 Lance le nettoyage avec CCleaner.


8 Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

alcanshorty.bfu

Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\alcanshorty.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.


9 Relance SmitfraudFix.
Choisis cette fois l’option 2 et réponds oui à tout.


10 Redémarre normalement


11 Télécharge Combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.

Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis et le deuxième rapport de SmitfraudFix.

Bonjours

Alors voila les 3 rapports.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22:00:59, on 29/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\JMRaidTool.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SkyTel.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Mathieu\Mes documents\math.pen\utorrent\utorrent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Mathieu\Mes documents\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [VGAUtil] C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {C9E17F58-564C-41C6-989F-AB0FE0D2C9D1} (PopcapLoader Object) - http://jeuxenligne.orange.fr/orange2.0/OnlineHSS/zuma/P...
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

--
End of file - 8194 bytes




ComboFix 07-06-27.7 - Service Pack 2 NTFS


((((((((((((((((((((((((( Files Created from 2007-05-28 to 2007-06-29 )))))))))))))))))))))))))))))))


2007-06-29 21:47 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-29 21:27 <REP> d-------- C:\bintheredunthat
2007-06-29 20:59 <REP> d-------- C:\Program Files\CCleaner
2007-06-29 20:10 <REP> d-------- C:\BFU
2007-06-29 00:04 3,168 --a------ C:\WINDOWS\system32\tmp.reg
2007-06-29 00:03 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-06-29 00:03 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-06-29 00:03 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-06-28 15:38 930,274 ---hs---- C:\WINDOWS\system32\odssqpvx.ini2
2007-06-28 12:39 <REP> d-------- C:\VundoFix Backups
2007-06-27 16:20 <REP> d-------- C:\Program Files\Lavasoft
2007-06-27 16:20 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft
2007-06-27 16:18 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-06-26 16:07 230,455 --a------ C:\WINDOWS\system\granny2.dll
2007-06-26 15:15 230,455 --a------ C:\WINDOWS\system32\granny2.dll
2007-06-22 00:59 <REP> d-------- C:\Program Files\SC
2007-06-14 18:38 <REP> d-------- C:\DOCUME~1\Marc\APPLIC~1\Media Player Classic
2007-06-14 18:38 <REP> d-------- C:\DOCUME~1\Marc\APPLIC~1\DivX
2007-06-12 23:08 <REP> d-------- C:\Program Files\HeavenAngelsDestinys
2007-06-04 15:18 9,344 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys
2007-06-04 15:17 8,320 --a------ C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-06-04 15:14 6,272 --a------ C:\WINDOWS\system32\drivers\AWRTPD.sys
2007-06-04 10:34 <REP> d-------- C:\DOCUME~1\Mathieu\APPLIC~1\Media Player Classic
2007-06-04 10:28 740,442 --a------ C:\WINDOWS\system32\divx.dll
2007-06-04 10:28 73,728 --a------ C:\WINDOWS\system32\dpl100.dll
2007-06-04 10:28 630,784 --a------ C:\WINDOWS\system32\vp7vfw.dll
2007-06-04 10:28 593,920 --a------ C:\WINDOWS\system32\xvidcore.dll
2007-06-04 10:28 548,864 --a------ C:\WINDOWS\system32\x264vfw.dll
2007-06-04 10:28 438,272 --a------ C:\WINDOWS\system32\vp6vfw.dll
2007-06-04 10:28 39,936 --a------ C:\WINDOWS\system32\huffyuv.dll
2007-06-04 10:28 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-06-04 10:28 217,088 --a------ C:\WINDOWS\system32\yv12vfw.dll
2007-06-04 10:28 217,088 --a------ C:\WINDOWS\system32\i420vfw.dll
2007-06-04 10:28 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2007-06-04 10:28 144,384 --a------ C:\WINDOWS\system32\Iacenc.dll
2007-06-04 10:28 10,752 --a------ C:\WINDOWS\system32\ff_vfw.dll
2007-06-04 10:28 1,565,480 --a------ C:\WINDOWS\system32\wmv9vcm.dll
2007-06-04 10:28 <REP> d-------- C:\Program Files\K-Lite Codec Pack
2007-06-04 09:44 <REP> d-------- C:\Fraps
2007-06-03 20:48 <REP> d-------- C:\Program Files\Windows Live
2007-05-30 18:46 <REP> d-------- C:\Program Files\BitDownload
2007-05-30 18:29 286,720 --a------ C:\WINDOWS\iun505.exe
2007-05-30 18:29 <REP> d-------- C:\Program Files\PC Drummer Trial Edition


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-29 20:14:28 -------- d-----w C:\Program Files\Wanadoo
2007-06-29 20:08:01 -------- d-----w C:\DOCUME~1\Mathieu\APPLIC~1\uTorrent
2007-06-29 19:31:25 5,112 ----a-w C:\WINDOWS\GPCIDrv.sys
2007-06-29 19:31:22 19,039 ----a-w C:\WINDOWS\system32\drivers\GVTDrv.sys
2007-06-26 08:49:20 -------- d-----w C:\Program Files\MSN Messenger
2007-06-25 21:53:33 -------- d-----w C:\Program Files\Messenger
2007-06-22 21:12:22 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-06-22 21:12:14 -------- d-----w C:\Program Files\Microsoft Games
2007-06-22 20:59:25 -------- d-----w C:\Program Files\GamesBar
2007-06-17 16:19:19 -------- d-----w C:\Program Files\Messenger Plus! Live
2007-06-16 11:43:28 -------- d-----w C:\Program Files\Windows Live Safety Center
2007-05-28 18:40:05 -------- d-----w C:\Program Files\NoLimits Coasters v1.6
2007-05-28 12:38:52 -------- d-----w C:\Program Files\America's Army Server Manager
2007-05-28 12:38:52 -------- d-----w C:\Program Files\America's Army
2007-05-28 12:22:44 -------- d-----w C:\Program Files\MSXML 4.0
2007-05-19 17:21:13 -------- d-----w C:\DOCUME~1\Mathieu\APPLIC~1\Ableton
2007-05-19 17:13:31 -------- d-----w C:\Program Files\Ableton
2007-05-19 13:06:44 -------- d-----w C:\DOCUME~1\Mathieu\APPLIC~1\dvdcss
2007-05-16 19:26:00 -------- d-----w C:\Program Files\Bodom-Child - RaBBi
2007-05-15 18:28:37 -------- d-----w C:\Program Files\Project64 1.6
2007-05-15 18:16:28 -------- d-----w C:\Program Files\1964
2007-05-07 21:12:57 -------- d-----w C:\Program Files\MessengerDiscovery
2007-05-07 17:22:41 451,184 ----a-w C:\DOCUME~1\Mathieu\APPLIC~1\GDIPFONTCACHEV1.DAT
2007-04-13 13:19:52 7,680 ----a-w C:\WINDOWS\system32\lsdelete.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
{AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\program files\google\googletoolbar3.dll [2007-01-20 00:55]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-04 09:59 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-04-24 09:20 C:\WINDOWS\SkyTel.exe]
"nwiz"="nwiz.exe" [2006-06-01 11:22 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 11:22 C:\WINDOWS\system32\nvmctray.dll]
"VGAUtil"="C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe" [2006-07-12 16:27]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 21:24]
"NWEReboot"="" []
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [2007-04-22 10:37]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-25 18:51]
"SystrayORAHSS"="C:\Program Files\OrangeHSS\Systray\SystrayApp.exe" []
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55]
"Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [2007-05-16 15:57]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 20:04]
"WOOKIT"="C:\Program Files\Wanadoo\Shell.exe" [2004-08-23 14:50]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\aawservice]


Contents of the 'Scheduled Tasks' folder
2007-06-29 20:00:00 C:\WINDOWS\tasks\AD390E3E918E84C2.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-29 22:14:42
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-29 22:15:01
C:\ComboFix2.txt ... 2007-06-29 21:49

--- E O F ---



SmitFraudFix v2.197

Rapport fait à 22:14:42.00, 2007-06-29
Executé à partir de C:\Documents and Settings\Mathieu\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\JMRaidTool.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SkyTel.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\ComboFix\catchme.cfexe
C:\ComboFix\nircmd.cfexe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mathieu


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mathieu\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Mathieu\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Inventel Gateway - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{37CEF4FD-5D22-43D9-B4A8-8222F9A9DE04}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{37CEF4FD-5D22-43D9-B4A8-8222F9A9DE04}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{37CEF4FD-5D22-43D9-B4A8-8222F9A9DE04}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



VOila les 3.

Merci pour votre aide les helpers.

Bien, un gros ménage de fait.
Hijackthis est propre.


Supprime ce fichier
C:\WINDOWS\system32\odssqpvx.ini2


Supprime aussi un des deux antivirus.


Fais une analyse antivirus en ligne sur Kaspersky
http://webscanner.kaspersky.fr/
Clique sur Démarrer Online Scanner.
Sélectionne le poste de travail comme analyse.
Colle son rapport ici.