Adware Virtumonde
Dernière réponse : dans Sécurité
Bonjour à tous, j'ai un adware apparament assez répandu, Virtumonde, et j'aimerais bien m'en débarrasser. Avast me le détecte et le supprime, mais il revient ensuite.
Si une âme charitable avait la bonté de m'aider, je lui en serait très reconaissant![:lol:]( ":lol:")
A noté que je suis actif et que je répondrais rapidement merci d'avance !
Si une âme charitable avait la bonté de m'aider, je lui en serait très reconaissant
A noté que je suis actif et que je répondrais rapidement merci d'avance ! Autres pages sur : adware virtumonde
Lassé par la pub ? Créez un compte
Bonjour
Télécharge HijackThis v1.99.1
http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://perso.orange.fr/rginformatique/section%20virus/d...
Fais un scan et poste l'analyse ici.
Télécharge HijackThis v1.99.1
http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://perso.orange.fr/rginformatique/section%20virus/d...
Fais un scan et poste l'analyse ici.
Bonsoir chercheur_, merci à toi de commencer de m'aider.
Voila le rapport de Hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 20:02:56, on 19/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Hamachi\hamachi.exe
C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\TrackMania Nations ESWC\TmNationsESWC.exe
C:\Program Files\ServerMania\ServerMania.exe
C:\Program Files\ServerMania\TmDedicatedServer\TrackManiaServer.exe
c:\wamp\wampmanager.exe
c:\wamp\apache2\bin\httpd.exe
C:\wamp\apache2\bin\httpd.exe
c:\wamp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\cmd.exe
C:\wamp\php\php.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {B71FA585-B351-4E48-8DA8-22F6F705EC73} - C:\WINDOWS\system32\wvuutro.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: winwim32 - C:\WINDOWS\SYSTEM32\winwim32.dll
O20 - Winlogon Notify: wvuutro - C:\WINDOWS\SYSTEM32\wvuutro.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP1a\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP1a\RpcSandraSrv.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: wampapache - Unknown owner - c:\wamp\apache2\bin\httpd.exe" -k runservice (file missing)
O23 - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe
Voila le rapport de Hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 20:02:56, on 19/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Hamachi\hamachi.exe
C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\TrackMania Nations ESWC\TmNationsESWC.exe
C:\Program Files\ServerMania\ServerMania.exe
C:\Program Files\ServerMania\TmDedicatedServer\TrackManiaServer.exe
c:\wamp\wampmanager.exe
c:\wamp\apache2\bin\httpd.exe
C:\wamp\apache2\bin\httpd.exe
c:\wamp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\cmd.exe
C:\wamp\php\php.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {B71FA585-B351-4E48-8DA8-22F6F705EC73} - C:\WINDOWS\system32\wvuutro.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: winwim32 - C:\WINDOWS\SYSTEM32\winwim32.dll
O20 - Winlogon Notify: wvuutro - C:\WINDOWS\SYSTEM32\wvuutro.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP1a\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP1a\RpcSandraSrv.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: wampapache - Unknown owner - c:\wamp\apache2\bin\httpd.exe" -k runservice (file missing)
O23 - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe
Au travail.
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer.
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
Démarre ton PC à nouveau.
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
Télécharge Combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis et le contenu du rapport situé dans C:\vundofix.txt
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer.
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
Démarre ton PC à nouveau.
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
Télécharge Combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis et le contenu du rapport situé dans C:\vundofix.txt
Merci de m'aider.
Voila le rapport combofix :
"Robin" - 2007-07-19 22:53:19 - ComboFix 07-07-14.6 - Service Pack 2 NTFS
(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\geedb.dll
C:\WINDOWS\system32\efccccy.dll
C:\WINDOWS\system32\qomklkl.dll
C:\WINDOWS\system32\efccccy.dll
C:\WINDOWS\system32\qomklkl.dll
C:\WINDOWS\system32\winwim32.dll
C:\WINDOWS\system32\cbxyvtr.dll
C:\WINDOWS\system32\cbxyvtr.dll
* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\winsys.exe
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
-------\LEGACY_DOMAINSERVICE
-------\nm
((((((((((((((((((((((((( Files Created from 2007-06-19 to 2007-07-19 )))))))))))))))))))))))))))))))
2007-07-19 22:51 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-19 22:43 <REP> d-------- C:\VundoFix Backups
2007-07-19 20:01 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-07-19 15:12 83,536 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-07-19 15:12 59,984 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-07-19 15:12 52,304 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-07-19 15:12 39,248 --a------ C:\WINDOWS\system32\drivers\ikfileflt.sys
2007-07-19 15:12 26,064 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-07-19 15:12 <REP> d-------- C:\Program Files\Spyware Doctor
2007-07-19 15:12 <REP> d-------- C:\DOCUME~1\Robin\APPLIC~1\PC Tools
2007-07-19 11:48 <REP> d-------- C:\wamp
2007-07-19 11:20 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-07-18 10:08 6,405 ---hs---- C:\WINDOWS\system32\kjllm.bak1
2007-07-17 19:41 <REP> d--h----- C:\WINDOWS\PIF
2007-07-17 10:29 <REP> d-------- C:\DOCUME~1\Robin\APPLIC~1\Skype
2007-07-17 10:28 <REP> d-------- C:\Program Files\Skype
2007-07-17 10:28 <REP> d-------- C:\Program Files\Fichiers communs\Skype
2007-07-17 10:28 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype
2007-07-15 14:59 6,369 ---hs---- C:\WINDOWS\system32\pqtwa.bak1
2007-07-14 21:37 <REP> d-------- C:\WINDOWS\NV19803436.TMP
2007-07-11 13:20 <REP> d-------- C:\Program Files\Steam
2007-07-08 22:17 <REP> d-------- C:\Program Files\iTunes
2007-07-08 22:17 <REP> d-------- C:\Program Files\iPod
2007-07-08 22:17 <REP> d-------- C:\DOCUME~1\Robin\APPLIC~1\Apple Computer
2007-07-08 14:41 <REP> d-------- C:\Program Files\Apple Software Update
2007-07-08 14:40 <REP> d-------- C:\Program Files\Fichiers communs\Apple
2007-07-08 14:40 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
2007-07-07 20:39 <REP> d-------- C:\Program Files\Activision
2007-07-07 20:33 <REP> d--hs---- C:\WINDOWS\ftpcache
2007-06-20 22:18 99,904 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2007-06-20 22:18 63,040 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2007-06-20 22:18 22,584 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-06-20 22:18 <REP> d-------- C:\WINDOWS\system32\LogFiles
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-07-19 20:27:03 -------- d-----w C:\Program Files\TrackMania Nations ESWC
2007-07-19 18:02:55 -------- d-----w C:\Program Files\Hijackthis Version Française
2007-07-19 13:40:46 -------- d-----w C:\DOCUME~1\Robin\APPLIC~1\Hamachi
2007-07-19 09:47:13 -------- d-----w C:\DOCUME~1\Robin\APPLIC~1\Azureus
2007-07-19 09:46:05 -------- d-----w C:\Program Files\xampp
2007-07-17 13:23:11 -------- d-----w C:\Program Files\Warcraft III
2007-07-15 13:38:18 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-07-14 16:50:01 -------- d-----w C:\Program Files\SpeedFan
2007-07-13 18:55:43 -------- d-----w C:\DOCUME~1\Robin\APPLIC~1\OpenOffice.org2
2007-07-08 20:13:25 -------- d-----w C:\Program Files\QuickTime
2007-07-07 15:47:59 -------- d-----w C:\Program Files\SUPERAntiSpyware
2007-07-07 12:37:46 951,175 --sh--w C:\WINDOWS\system32\srqss.bak2
2007-07-04 11:35:46 -------- d-----w C:\Program Files\Movie Maker
2007-06-30 16:11:52 -------- d-----w C:\Program Files\ServerMania
2007-06-29 10:29:13 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-06-20 19:33:57 -------- d-----w C:\Program Files\Electronic Arts
2007-06-18 08:31:05 80,727 ----a-w C:\WINDOWS\War3Unin.dat
2007-06-17 17:43:47 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2007-06-17 17:43:47 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2007-06-14 09:07:59 -------- d-----w C:\Program Files\Windows Live
2007-06-14 09:07:59 -------- d-----w C:\Program Files\MSN Messenger
2007-06-14 09:07:59 -------- d-----w C:\Program Files\Messenger Plus! Live
2007-06-07 08:04:06 920,838 --sh--w C:\WINDOWS\system32\srqss.bak1
2007-06-06 07:37:16 697,227 --sh--w C:\WINDOWS\system32\ehkmp.bak1
2007-06-05 16:05:13 697,112 --sh--w C:\WINDOWS\system32\onnmp.bak1
2007-06-05 06:51:55 695,968 --sh--w C:\WINDOWS\system32\ehhkj.bak1
2007-06-04 12:28:08 695,969 --sh--w C:\WINDOWS\system32\hjjlm.bak1
2007-06-03 17:52:45 695,969 --sh--w C:\WINDOWS\system32\ybadd.bak1
2007-06-03 09:20:21 696,124 --sh--w C:\WINDOWS\system32\ututv.bak1
2007-06-02 09:29:45 695,969 --sh--w C:\WINDOWS\system32\ddeeg.bak1
2007-06-01 17:41:49 695,758 --sh--w C:\WINDOWS\system32\rtutv.bak1
2007-06-01 08:24:07 -------- d-----w C:\DOCUME~1\Robin\APPLIC~1\La Bataille pour la Terre du Milieu ™ II
2007-06-01 08:21:58 653,524 --sh--w C:\WINDOWS\system32\ihkmp.bak1
2007-05-31 19:39:36 653,484 --sh--w C:\WINDOWS\system32\ppqss.bak1
2007-05-31 09:12:12 -------- d-----w C:\DOCUME~1\Robin\APPLIC~1\Ahead
2007-05-31 09:07:07 -------- d-----w C:\Program Files\Fichiers communs\Ahead
2007-05-31 09:05:51 -------- d-----w C:\Program Files\Nero
2007-05-31 08:04:55 653,524 --sh--w C:\WINDOWS\system32\llkkj.bak1
2007-05-30 19:19:55 653,484 --sh--w C:\WINDOWS\system32\xbeeg.bak1
2007-05-30 11:25:21 654,923 --sh--w C:\WINDOWS\system32\rtstv.bak1
2007-05-30 10:35:14 654,923 --sh--w C:\WINDOWS\system32\gjkkj.bak1
2007-05-28 20:09:11 -------- d-----w C:\Program Files\Hamachi
2007-05-28 20:08:43 25,544 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-05-16 07:42:22 972,336 ----a-w C:\WINDOWS\UNNeroMediaHome.exe
2007-05-15 07:45:14 972,336 ----a-w C:\WINDOWS\UNNeroVision.exe
2007-04-30 15:46:10 745,600 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-04-30 15:35:28 95,872 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-04-23 14:42:50 972,336 ----a-w C:\WINDOWS\UNRecode.exe
2007-04-19 11:26:00 888,832 ----a-w C:\WINDOWS\system32\nvmobls.dll
2007-04-19 11:26:00 86,016 ----a-w C:\WINDOWS\system32\nvmctray.dll
2007-04-19 11:26:00 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll
2007-04-19 11:26:00 794,624 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-04-19 11:26:00 7,700,480 ----a-w C:\WINDOWS\system32\nvcpl.dll
2007-04-19 11:26:00 581,632 ----a-w C:\WINDOWS\system32\nvhwvid.dll
2007-04-19 11:26:00 5,644,288 ----a-w C:\WINDOWS\system32\nvoglnt.dll
2007-04-19 11:26:00 5,619,712 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-04-19 11:26:00 5,255,168 ----a-w C:\WINDOWS\system32\nvdispsr.dll
2007-04-19 11:26:00 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll
2007-04-19 11:26:00 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll
2007-04-19 11:26:00 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll
2007-04-19 11:26:00 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe
2007-04-19 11:26:00 425,984 ----a-w C:\WINDOWS\system32\keystone.exe
2007-04-19 11:26:00 4,543,616 ----a-w C:\WINDOWS\system32\nv4_disp.dll
2007-04-19 11:26:00 35,840 ----a-w C:\WINDOWS\system32\nvcodins.dll
2007-04-19 11:26:00 35,840 ----a-w C:\WINDOWS\system32\nvcod.dll
2007-04-19 11:26:00 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll
2007-04-19 11:26:00 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll
2007-04-19 11:26:00 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll
2007-04-19 11:26:00 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll
2007-04-19 11:26:00 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll
2007-04-19 11:26:00 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll
2007-04-19 11:26:00 323,584 ----a-w C:\WINDOWS\system32\nvrshe.dll
2007-04-19 11:26:00 323,584 ----a-w C:\WINDOWS\system32\nvrsar.dll
2007-04-19 11:26:00 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll
2007-04-19 11:26:00 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll
2007-04-19 11:26:00 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll
2007-04-19 11:26:00 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll
2007-04-19 11:26:00 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll
2007-04-19 11:26:00 311,296 ----a-w C:\WINDOWS\system32\nvexpbar.dll
2007-04-19 11:26:00 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll
2007-04-19 11:26:00 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll
2007-04-19 11:26:00 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll
2007-04-19 11:26:00 3,203,072 ----a-w C:\WINDOWS\system32\nvgamesr.dll
2007-04-19 11:26:00 3,035,136 ----a-w C:\WINDOWS\system32\nvgames.dll
2007-04-19 11:26:00 299,008 ----a-w C:\WINDOWS\system32\nvwrssk.dll
2007-04-19 11:26:00 299,008 ----a-w C:\WINDOWS\system32\nvwrsno.dll
2007-04-19 11:26:00 294,912 ----a-w C:\WINDOWS\system32\nvwrssv.dll
2007-04-19 11:26:00 294,912 ----a-w C:\WINDOWS\system32\nvwrspl.dll
2007-04-19 11:26:00 294,912 ----a-w C:\WINDOWS\system32\nvwrsda.dll
2007-04-19 11:26:00 286,720 ----a-w C:\WINDOWS\system32\nvwrseng.dll
2007-04-19 11:26:00 286,720 ----a-w C:\WINDOWS\system32\nvwrscs.dll
2007-04-19 11:26:00 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll
2007-04-19 11:26:00 282,624 ----a-w C:\WINDOWS\system32\nvwrsar.dll
2007-04-19 11:26:00 278,528 ----a-w C:\WINDOWS\system32\nvwrshe.dll
2007-04-19 11:26:00 278,528 ----a-w C:\WINDOWS\system32\nvrsfr.dll
2007-04-19 11:26:00 274,432 ----a-w C:\WINDOWS\system32\nvrsit.dll
2007-04-19 11:26:00 274,432 ----a-w C:\WINDOWS\system32\nvrses.dll
2007-04-19 11:26:00 274,432 ----a-w C:\WINDOWS\system32\nvrsel.dll
2007-04-19 11:26:00 270,336 ----a-w C:\WINDOWS\system32\nvrsde.dll
2007-04-19 11:26:00 266,240 ----a-w C:\WINDOWS\system32\nvrspt.dll
2006-05-03 10:06:54 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47:16 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-05-01 12:07]
"nwiz"="nwiz.exe" [2007-04-19 13:26 C:\WINDOWS\system32\nwiz.exe]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 16:07]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 13:55]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"="C:\Program Files\SUPERAntiSpyware\SASSEH.DLL" [2006-09-28 12:22]
"{1FB63E52-4D6E-48C1-A08F-F630FE50F337}"="C:\WINDOWS\system32\cbxyvtr.dll" []
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Program Files\SUPERAntiSpyware\SASWINLO.dll --a------ 2006-10-19 10:12 258048 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sdauxservice]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sdcoreservice]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eca5ddca-0b6d-11dc-8543-0018f374a91e}]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
Contents of the 'Scheduled Tasks' folder
2007-07-17 17:25:10 C:\WINDOWS\tasks\AppleSoftwareUpdate.job
**************************************************************************
catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-19 22:57:35
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\wampmysqld]
"ImagePath"="c:\wamp\mysql\bin\mysqld-nt.exe --defaults-file=c:\wamp\mysql\my.ini wampmysqld"
Completion time: 2007-07-19 22:58:34 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-19 22:58
--- E O F ---
Rapport Hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 23:03:17, on 19/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP1a\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP1a\RpcSandraSrv.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: wampapache - Unknown owner - c:\wamp\apache2\bin\httpd.exe" -k runservice (file missing)
O23 - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe
Rapport situé dans C:\vundofix.txt :
VundoFix V6.5.6
Checking Java version...
Java version is 1.5.0.10
Scan started at 22:43:01 19/07/2007
Listing files found while scanning....
C:\windows\system32\wvuutro.dll
Beginning removal...
Attempting to delete C:\windows\system32\wvuutro.dll
C:\windows\system32\wvuutro.dll Could not be deleted.
Performing Repairs to the registry.
Done!
Beginning removal...
Attempting to delete C:\windows\system32\wvuutro.dll
C:\windows\system32\wvuutro.dll Has been deleted!
Performing Repairs to the registry.
Done!
Voila le rapport combofix :
"Robin" - 2007-07-19 22:53:19 - ComboFix 07-07-14.6 - Service Pack 2 NTFS
(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\geedb.dll
C:\WINDOWS\system32\efccccy.dll
C:\WINDOWS\system32\qomklkl.dll
C:\WINDOWS\system32\efccccy.dll
C:\WINDOWS\system32\qomklkl.dll
C:\WINDOWS\system32\winwim32.dll
C:\WINDOWS\system32\cbxyvtr.dll
C:\WINDOWS\system32\cbxyvtr.dll
* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\winsys.exe
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
-------\LEGACY_DOMAINSERVICE
-------\nm
((((((((((((((((((((((((( Files Created from 2007-06-19 to 2007-07-19 )))))))))))))))))))))))))))))))
2007-07-19 22:51 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-19 22:43 <REP> d-------- C:\VundoFix Backups
2007-07-19 20:01 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-07-19 15:12 83,536 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-07-19 15:12 59,984 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-07-19 15:12 52,304 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-07-19 15:12 39,248 --a------ C:\WINDOWS\system32\drivers\ikfileflt.sys
2007-07-19 15:12 26,064 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-07-19 15:12 <REP> d-------- C:\Program Files\Spyware Doctor
2007-07-19 15:12 <REP> d-------- C:\DOCUME~1\Robin\APPLIC~1\PC Tools
2007-07-19 11:48 <REP> d-------- C:\wamp
2007-07-19 11:20 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-07-18 10:08 6,405 ---hs---- C:\WINDOWS\system32\kjllm.bak1
2007-07-17 19:41 <REP> d--h----- C:\WINDOWS\PIF
2007-07-17 10:29 <REP> d-------- C:\DOCUME~1\Robin\APPLIC~1\Skype
2007-07-17 10:28 <REP> d-------- C:\Program Files\Skype
2007-07-17 10:28 <REP> d-------- C:\Program Files\Fichiers communs\Skype
2007-07-17 10:28 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype
2007-07-15 14:59 6,369 ---hs---- C:\WINDOWS\system32\pqtwa.bak1
2007-07-14 21:37 <REP> d-------- C:\WINDOWS\NV19803436.TMP
2007-07-11 13:20 <REP> d-------- C:\Program Files\Steam
2007-07-08 22:17 <REP> d-------- C:\Program Files\iTunes
2007-07-08 22:17 <REP> d-------- C:\Program Files\iPod
2007-07-08 22:17 <REP> d-------- C:\DOCUME~1\Robin\APPLIC~1\Apple Computer
2007-07-08 14:41 <REP> d-------- C:\Program Files\Apple Software Update
2007-07-08 14:40 <REP> d-------- C:\Program Files\Fichiers communs\Apple
2007-07-08 14:40 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
2007-07-07 20:39 <REP> d-------- C:\Program Files\Activision
2007-07-07 20:33 <REP> d--hs---- C:\WINDOWS\ftpcache
2007-06-20 22:18 99,904 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2007-06-20 22:18 63,040 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2007-06-20 22:18 22,584 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-06-20 22:18 <REP> d-------- C:\WINDOWS\system32\LogFiles
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-07-19 20:27:03 -------- d-----w C:\Program Files\TrackMania Nations ESWC
2007-07-19 18:02:55 -------- d-----w C:\Program Files\Hijackthis Version Française
2007-07-19 13:40:46 -------- d-----w C:\DOCUME~1\Robin\APPLIC~1\Hamachi
2007-07-19 09:47:13 -------- d-----w C:\DOCUME~1\Robin\APPLIC~1\Azureus
2007-07-19 09:46:05 -------- d-----w C:\Program Files\xampp
2007-07-17 13:23:11 -------- d-----w C:\Program Files\Warcraft III
2007-07-15 13:38:18 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-07-14 16:50:01 -------- d-----w C:\Program Files\SpeedFan
2007-07-13 18:55:43 -------- d-----w C:\DOCUME~1\Robin\APPLIC~1\OpenOffice.org2
2007-07-08 20:13:25 -------- d-----w C:\Program Files\QuickTime
2007-07-07 15:47:59 -------- d-----w C:\Program Files\SUPERAntiSpyware
2007-07-07 12:37:46 951,175 --sh--w C:\WINDOWS\system32\srqss.bak2
2007-07-04 11:35:46 -------- d-----w C:\Program Files\Movie Maker
2007-06-30 16:11:52 -------- d-----w C:\Program Files\ServerMania
2007-06-29 10:29:13 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-06-20 19:33:57 -------- d-----w C:\Program Files\Electronic Arts
2007-06-18 08:31:05 80,727 ----a-w C:\WINDOWS\War3Unin.dat
2007-06-17 17:43:47 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2007-06-17 17:43:47 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2007-06-14 09:07:59 -------- d-----w C:\Program Files\Windows Live
2007-06-14 09:07:59 -------- d-----w C:\Program Files\MSN Messenger
2007-06-14 09:07:59 -------- d-----w C:\Program Files\Messenger Plus! Live
2007-06-07 08:04:06 920,838 --sh--w C:\WINDOWS\system32\srqss.bak1
2007-06-06 07:37:16 697,227 --sh--w C:\WINDOWS\system32\ehkmp.bak1
2007-06-05 16:05:13 697,112 --sh--w C:\WINDOWS\system32\onnmp.bak1
2007-06-05 06:51:55 695,968 --sh--w C:\WINDOWS\system32\ehhkj.bak1
2007-06-04 12:28:08 695,969 --sh--w C:\WINDOWS\system32\hjjlm.bak1
2007-06-03 17:52:45 695,969 --sh--w C:\WINDOWS\system32\ybadd.bak1
2007-06-03 09:20:21 696,124 --sh--w C:\WINDOWS\system32\ututv.bak1
2007-06-02 09:29:45 695,969 --sh--w C:\WINDOWS\system32\ddeeg.bak1
2007-06-01 17:41:49 695,758 --sh--w C:\WINDOWS\system32\rtutv.bak1
2007-06-01 08:24:07 -------- d-----w C:\DOCUME~1\Robin\APPLIC~1\La Bataille pour la Terre du Milieu ™ II
2007-06-01 08:21:58 653,524 --sh--w C:\WINDOWS\system32\ihkmp.bak1
2007-05-31 19:39:36 653,484 --sh--w C:\WINDOWS\system32\ppqss.bak1
2007-05-31 09:12:12 -------- d-----w C:\DOCUME~1\Robin\APPLIC~1\Ahead
2007-05-31 09:07:07 -------- d-----w C:\Program Files\Fichiers communs\Ahead
2007-05-31 09:05:51 -------- d-----w C:\Program Files\Nero
2007-05-31 08:04:55 653,524 --sh--w C:\WINDOWS\system32\llkkj.bak1
2007-05-30 19:19:55 653,484 --sh--w C:\WINDOWS\system32\xbeeg.bak1
2007-05-30 11:25:21 654,923 --sh--w C:\WINDOWS\system32\rtstv.bak1
2007-05-30 10:35:14 654,923 --sh--w C:\WINDOWS\system32\gjkkj.bak1
2007-05-28 20:09:11 -------- d-----w C:\Program Files\Hamachi
2007-05-28 20:08:43 25,544 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-05-16 07:42:22 972,336 ----a-w C:\WINDOWS\UNNeroMediaHome.exe
2007-05-15 07:45:14 972,336 ----a-w C:\WINDOWS\UNNeroVision.exe
2007-04-30 15:46:10 745,600 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-04-30 15:35:28 95,872 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-04-23 14:42:50 972,336 ----a-w C:\WINDOWS\UNRecode.exe
2007-04-19 11:26:00 888,832 ----a-w C:\WINDOWS\system32\nvmobls.dll
2007-04-19 11:26:00 86,016 ----a-w C:\WINDOWS\system32\nvmctray.dll
2007-04-19 11:26:00 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll
2007-04-19 11:26:00 794,624 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-04-19 11:26:00 7,700,480 ----a-w C:\WINDOWS\system32\nvcpl.dll
2007-04-19 11:26:00 581,632 ----a-w C:\WINDOWS\system32\nvhwvid.dll
2007-04-19 11:26:00 5,644,288 ----a-w C:\WINDOWS\system32\nvoglnt.dll
2007-04-19 11:26:00 5,619,712 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-04-19 11:26:00 5,255,168 ----a-w C:\WINDOWS\system32\nvdispsr.dll
2007-04-19 11:26:00 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll
2007-04-19 11:26:00 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll
2007-04-19 11:26:00 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll
2007-04-19 11:26:00 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe
2007-04-19 11:26:00 425,984 ----a-w C:\WINDOWS\system32\keystone.exe
2007-04-19 11:26:00 4,543,616 ----a-w C:\WINDOWS\system32\nv4_disp.dll
2007-04-19 11:26:00 35,840 ----a-w C:\WINDOWS\system32\nvcodins.dll
2007-04-19 11:26:00 35,840 ----a-w C:\WINDOWS\system32\nvcod.dll
2007-04-19 11:26:00 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll
2007-04-19 11:26:00 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll
2007-04-19 11:26:00 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll
2007-04-19 11:26:00 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll
2007-04-19 11:26:00 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll
2007-04-19 11:26:00 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll
2007-04-19 11:26:00 323,584 ----a-w C:\WINDOWS\system32\nvrshe.dll
2007-04-19 11:26:00 323,584 ----a-w C:\WINDOWS\system32\nvrsar.dll
2007-04-19 11:26:00 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll
2007-04-19 11:26:00 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll
2007-04-19 11:26:00 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll
2007-04-19 11:26:00 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll
2007-04-19 11:26:00 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll
2007-04-19 11:26:00 311,296 ----a-w C:\WINDOWS\system32\nvexpbar.dll
2007-04-19 11:26:00 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll
2007-04-19 11:26:00 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll
2007-04-19 11:26:00 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll
2007-04-19 11:26:00 3,203,072 ----a-w C:\WINDOWS\system32\nvgamesr.dll
2007-04-19 11:26:00 3,035,136 ----a-w C:\WINDOWS\system32\nvgames.dll
2007-04-19 11:26:00 299,008 ----a-w C:\WINDOWS\system32\nvwrssk.dll
2007-04-19 11:26:00 299,008 ----a-w C:\WINDOWS\system32\nvwrsno.dll
2007-04-19 11:26:00 294,912 ----a-w C:\WINDOWS\system32\nvwrssv.dll
2007-04-19 11:26:00 294,912 ----a-w C:\WINDOWS\system32\nvwrspl.dll
2007-04-19 11:26:00 294,912 ----a-w C:\WINDOWS\system32\nvwrsda.dll
2007-04-19 11:26:00 286,720 ----a-w C:\WINDOWS\system32\nvwrseng.dll
2007-04-19 11:26:00 286,720 ----a-w C:\WINDOWS\system32\nvwrscs.dll
2007-04-19 11:26:00 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll
2007-04-19 11:26:00 282,624 ----a-w C:\WINDOWS\system32\nvwrsar.dll
2007-04-19 11:26:00 278,528 ----a-w C:\WINDOWS\system32\nvwrshe.dll
2007-04-19 11:26:00 278,528 ----a-w C:\WINDOWS\system32\nvrsfr.dll
2007-04-19 11:26:00 274,432 ----a-w C:\WINDOWS\system32\nvrsit.dll
2007-04-19 11:26:00 274,432 ----a-w C:\WINDOWS\system32\nvrses.dll
2007-04-19 11:26:00 274,432 ----a-w C:\WINDOWS\system32\nvrsel.dll
2007-04-19 11:26:00 270,336 ----a-w C:\WINDOWS\system32\nvrsde.dll
2007-04-19 11:26:00 266,240 ----a-w C:\WINDOWS\system32\nvrspt.dll
2006-05-03 10:06:54 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47:16 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-05-01 12:07]
"nwiz"="nwiz.exe" [2007-04-19 13:26 C:\WINDOWS\system32\nwiz.exe]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 16:07]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 13:55]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"="C:\Program Files\SUPERAntiSpyware\SASSEH.DLL" [2006-09-28 12:22]
"{1FB63E52-4D6E-48C1-A08F-F630FE50F337}"="C:\WINDOWS\system32\cbxyvtr.dll" []
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Program Files\SUPERAntiSpyware\SASWINLO.dll --a------ 2006-10-19 10:12 258048 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sdauxservice]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sdcoreservice]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eca5ddca-0b6d-11dc-8543-0018f374a91e}]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
Contents of the 'Scheduled Tasks' folder
2007-07-17 17:25:10 C:\WINDOWS\tasks\AppleSoftwareUpdate.job
**************************************************************************
catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-19 22:57:35
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\wampmysqld]
"ImagePath"="c:\wamp\mysql\bin\mysqld-nt.exe --defaults-file=c:\wamp\mysql\my.ini wampmysqld"
Completion time: 2007-07-19 22:58:34 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-19 22:58
--- E O F ---
Rapport Hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 23:03:17, on 19/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP1a\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP1a\RpcSandraSrv.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: wampapache - Unknown owner - c:\wamp\apache2\bin\httpd.exe" -k runservice (file missing)
O23 - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe
Rapport situé dans C:\vundofix.txt :
VundoFix V6.5.6
Checking Java version...
Java version is 1.5.0.10
Scan started at 22:43:01 19/07/2007
Listing files found while scanning....
C:\windows\system32\wvuutro.dll
Beginning removal...
Attempting to delete C:\windows\system32\wvuutro.dll
C:\windows\system32\wvuutro.dll Could not be deleted.
Performing Repairs to the registry.
Done!
Beginning removal...
Attempting to delete C:\windows\system32\wvuutro.dll
C:\windows\system32\wvuutro.dll Has been deleted!
Performing Repairs to the registry.
Done!
Bien
Relance un scan HijackThis et coche les lignes ci-dessous :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b56907.cab
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt....
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt![:p]( ":p")
aste List of Files/Folders to be moved.
C:\WINDOWS\system32\kjllm.bak1
C:\WINDOWS\system32\pqtwa.bak1
C:\WINDOWS\system32\srqss.bak2
C:\WINDOWS\system32\srqss.bak1
C:\WINDOWS\system32\ehkmp.bak1
C:\WINDOWS\system32\onnmp.bak1
C:\WINDOWS\system32\ehhkj.bak1
C:\WINDOWS\system32\hjjlm.bak1
C:\WINDOWS\system32\ybadd.bak1
C:\WINDOWS\system32\ututv.bak1
C:\WINDOWS\system32\ddeeg.bak1
C:\WINDOWS\system32\rtutv.bak1
C:\WINDOWS\system32\ihkmp.bak1
C:\WINDOWS\system32\ppqss.bak1
C:\WINDOWS\system32\llkkj.bak1
C:\WINDOWS\system32\xbeeg.bak1
C:\WINDOWS\system32\rtstv.bak1
C:\WINDOWS\system32\gjkkj.bak1
Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Il te sera peut être demander de redémarrer le PC pour achever la suppression. Si c'est le cas accepte par Yes.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles
Relance un scan HijackThis et coche les lignes ci-dessous :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b56907.cab
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt....
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt
aste List of Files/Folders to be moved.C:\WINDOWS\system32\kjllm.bak1
C:\WINDOWS\system32\pqtwa.bak1
C:\WINDOWS\system32\srqss.bak2
C:\WINDOWS\system32\srqss.bak1
C:\WINDOWS\system32\ehkmp.bak1
C:\WINDOWS\system32\onnmp.bak1
C:\WINDOWS\system32\ehhkj.bak1
C:\WINDOWS\system32\hjjlm.bak1
C:\WINDOWS\system32\ybadd.bak1
C:\WINDOWS\system32\ututv.bak1
C:\WINDOWS\system32\ddeeg.bak1
C:\WINDOWS\system32\rtutv.bak1
C:\WINDOWS\system32\ihkmp.bak1
C:\WINDOWS\system32\ppqss.bak1
C:\WINDOWS\system32\llkkj.bak1
C:\WINDOWS\system32\xbeeg.bak1
C:\WINDOWS\system32\rtstv.bak1
C:\WINDOWS\system32\gjkkj.bak1
Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Il te sera peut être demander de redémarrer le PC pour achever la suppression. Si c'est le cas accepte par Yes.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles
Voila le rapport situé dans C:\_OTMoveIt\MovedFiles :
C:\WINDOWS\system32\kjllm.bak1 moved successfully.
C:\WINDOWS\system32\pqtwa.bak1 moved successfully.
C:\WINDOWS\system32\srqss.bak2 moved successfully.
C:\WINDOWS\system32\srqss.bak1 moved successfully.
C:\WINDOWS\system32\ehkmp.bak1 moved successfully.
C:\WINDOWS\system32\onnmp.bak1 moved successfully.
C:\WINDOWS\system32\ehhkj.bak1 moved successfully.
C:\WINDOWS\system32\hjjlm.bak1 moved successfully.
C:\WINDOWS\system32\ybadd.bak1 moved successfully.
C:\WINDOWS\system32\ututv.bak1 moved successfully.
C:\WINDOWS\system32\ddeeg.bak1 moved successfully.
C:\WINDOWS\system32\rtutv.bak1 moved successfully.
C:\WINDOWS\system32\ihkmp.bak1 moved successfully.
C:\WINDOWS\system32\ppqss.bak1 moved successfully.
C:\WINDOWS\system32\llkkj.bak1 moved successfully.
C:\WINDOWS\system32\xbeeg.bak1 moved successfully.
C:\WINDOWS\system32\rtstv.bak1 moved successfully.
C:\WINDOWS\system32\gjkkj.bak1 moved successfully.
Created on 07/20/2007 10:49:55
C:\WINDOWS\system32\kjllm.bak1 moved successfully.
C:\WINDOWS\system32\pqtwa.bak1 moved successfully.
C:\WINDOWS\system32\srqss.bak2 moved successfully.
C:\WINDOWS\system32\srqss.bak1 moved successfully.
C:\WINDOWS\system32\ehkmp.bak1 moved successfully.
C:\WINDOWS\system32\onnmp.bak1 moved successfully.
C:\WINDOWS\system32\ehhkj.bak1 moved successfully.
C:\WINDOWS\system32\hjjlm.bak1 moved successfully.
C:\WINDOWS\system32\ybadd.bak1 moved successfully.
C:\WINDOWS\system32\ututv.bak1 moved successfully.
C:\WINDOWS\system32\ddeeg.bak1 moved successfully.
C:\WINDOWS\system32\rtutv.bak1 moved successfully.
C:\WINDOWS\system32\ihkmp.bak1 moved successfully.
C:\WINDOWS\system32\ppqss.bak1 moved successfully.
C:\WINDOWS\system32\llkkj.bak1 moved successfully.
C:\WINDOWS\system32\xbeeg.bak1 moved successfully.
C:\WINDOWS\system32\rtstv.bak1 moved successfully.
C:\WINDOWS\system32\gjkkj.bak1 moved successfully.
Created on 07/20/2007 10:49:55
Bien.
Fais une analyse antivirus en ligne sur Kaspersky
http://webscanner.kaspersky.fr/
Clique sur Démarrer Online Scanner.
Sélectionne le poste de travail comme analyse.
Colle son rapport ici.
Fais une analyse antivirus en ligne sur Kaspersky
http://webscanner.kaspersky.fr/
Clique sur Démarrer Online Scanner.
Sélectionne le poste de travail comme analyse.
Colle son rapport ici.
Voila le log de Kapersky, apparament il a trouvé des trojan que avast n'avait pas vu ou supprimé.KASPERSKY ON-LINE SCANNER REPORT
Monday, July 23, 2007 12:18:54 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 22/07/2007
Enregistrements dans la base antivirus Kaspersky : 343967
Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai
Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\
F:\
G:\
H:\
J:\
Statistiques de l'analyse
Total d'objets analysés 108943
Nombre de virus trouvés 5
Nombre d'objets infectés 12 / 0
Nombre d'objets suspects 0
Durée de l'analyse 01:06:46
Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\cert8.db L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\formhistory.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\GoogleToolbarData\googlesafebrowsing.db L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\history.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\key3.db L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\parent.lock L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\search.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\urlclassifier2.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-74a46bf2-63e56010.zip/BaaaaBaa.class Infecté : Trojan.Java.ClassLoader.ao ignoré
C:\Documents and Settings\Robin\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-74a46bf2-63e56010.zip/VaaaaaaaBaa.class Infecté : Trojan.Java.ClassLoader.ao ignoré
C:\Documents and Settings\Robin\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-74a46bf2-63e56010.zip/Baaaaa.class Infecté : Trojan.Java.ClassLoader.ao ignoré
C:\Documents and Settings\Robin\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-74a46bf2-63e56010.zip ZIP: infecté - 3 ignoré
C:\Documents and Settings\Robin\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Microsoft\Messenger\robinblanchard@hotmail.fr\SharingMetadata\Logs\Dfsr00005.log L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Microsoft\Messenger\robinblanchard@hotmail.fr\SharingMetadata\pending.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Microsoft\Messenger\robinblanchard@hotmail.fr\SharingMetadata\Working\database_826C_3BA8_6C3B_963F\dfsr.db L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Microsoft\Messenger\robinblanchard@hotmail.fr\SharingMetadata\Working\database_826C_3BA8_6C3B_963F\fsr.log L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Microsoft\Messenger\robinblanchard@hotmail.fr\SharingMetadata\Working\database_826C_3BA8_6C3B_963F\fsrtmp.log L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Microsoft\Messenger\robinblanchard@hotmail.fr\SharingMetadata\Working\database_826C_3BA8_6C3B_963F\tmp.edb L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Microsoft\Windows Live Contacts\robinblanchard@hotmail.fr\real\members.stg L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Microsoft\Windows Live Contacts\robinblanchard@hotmail.fr\shadow\members.stg L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Historique\History.IE5\MSHist012007072220070723\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Temp\~DF58D6.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Temp\~DF58E2.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Temp\~DF6825.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Temp\~DF6838.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré
C:\QooBox\Quarantine\C\WINDOWS\system32\winwim32.dll.vir Infecté : Trojan.Win32.Dialer.qn ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{5E2801C1-2924-4ADF-AB83-0A8930C90EC4}\RP219\A0067509.dll Infecté : Trojan.Win32.Dialer.qn ignoré
C:\System Volume Information\_restore{5E2801C1-2924-4ADF-AB83-0A8930C90EC4}\RP219\A0067533.exe/data.rar/keygen.exe Infecté : Trojan-Dropper.Win32.Small.ayg ignoré
C:\System Volume Information\_restore{5E2801C1-2924-4ADF-AB83-0A8930C90EC4}\RP219\A0067533.exe/data.rar/serial.exe Infecté : Trojan.Win32.Dialer.qn ignoré
C:\System Volume Information\_restore{5E2801C1-2924-4ADF-AB83-0A8930C90EC4}\RP219\A0067533.exe/data.rar/install.exe Infecté : Trojan-Downloader.Win32.Small.eqn ignoré
C:\System Volume Information\_restore{5E2801C1-2924-4ADF-AB83-0A8930C90EC4}\RP219\A0067533.exe/data.rar Infecté : Trojan-Downloader.Win32.Small.eqn ignoré
C:\System Volume Information\_restore{5E2801C1-2924-4ADF-AB83-0A8930C90EC4}\RP219\A0067533.exe RarSFX: infecté - 4 ignoré
C:\System Volume Information\_restore{5E2801C1-2924-4ADF-AB83-0A8930C90EC4}\RP222\change.log L'objet est verrouillé ignoré
C:\System Volume Information\_restore{8D39A5F1-79E8-4D10-A0F2-6A24565BEE00}\RP26\A0006532.dll Infecté : Trojan.Win32.BHO.o ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edbtmp.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_798.dat L'objet est verrouillé ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
J:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
Analyse terminée.
Monday, July 23, 2007 12:18:54 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 22/07/2007
Enregistrements dans la base antivirus Kaspersky : 343967
Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai
Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\
F:\
G:\
H:\
J:\
Statistiques de l'analyse
Total d'objets analysés 108943
Nombre de virus trouvés 5
Nombre d'objets infectés 12 / 0
Nombre d'objets suspects 0
Durée de l'analyse 01:06:46
Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\cert8.db L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\formhistory.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\GoogleToolbarData\googlesafebrowsing.db L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\history.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\key3.db L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\parent.lock L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\search.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\urlclassifier2.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-74a46bf2-63e56010.zip/BaaaaBaa.class Infecté : Trojan.Java.ClassLoader.ao ignoré
C:\Documents and Settings\Robin\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-74a46bf2-63e56010.zip/VaaaaaaaBaa.class Infecté : Trojan.Java.ClassLoader.ao ignoré
C:\Documents and Settings\Robin\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-74a46bf2-63e56010.zip/Baaaaa.class Infecté : Trojan.Java.ClassLoader.ao ignoré
C:\Documents and Settings\Robin\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-74a46bf2-63e56010.zip ZIP: infecté - 3 ignoré
C:\Documents and Settings\Robin\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Microsoft\Messenger\robinblanchard@hotmail.fr\SharingMetadata\Logs\Dfsr00005.log L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Microsoft\Messenger\robinblanchard@hotmail.fr\SharingMetadata\pending.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Microsoft\Messenger\robinblanchard@hotmail.fr\SharingMetadata\Working\database_826C_3BA8_6C3B_963F\dfsr.db L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Microsoft\Messenger\robinblanchard@hotmail.fr\SharingMetadata\Working\database_826C_3BA8_6C3B_963F\fsr.log L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Microsoft\Messenger\robinblanchard@hotmail.fr\SharingMetadata\Working\database_826C_3BA8_6C3B_963F\fsrtmp.log L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Microsoft\Messenger\robinblanchard@hotmail.fr\SharingMetadata\Working\database_826C_3BA8_6C3B_963F\tmp.edb L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Microsoft\Windows Live Contacts\robinblanchard@hotmail.fr\real\members.stg L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Microsoft\Windows Live Contacts\robinblanchard@hotmail.fr\shadow\members.stg L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Application Data\Mozilla\Firefox\Profiles\rhatsoc1.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Historique\History.IE5\MSHist012007072220070723\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Temp\~DF58D6.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Temp\~DF58E2.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Temp\~DF6825.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Temp\~DF6838.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Robin\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré
C:\QooBox\Quarantine\C\WINDOWS\system32\winwim32.dll.vir Infecté : Trojan.Win32.Dialer.qn ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{5E2801C1-2924-4ADF-AB83-0A8930C90EC4}\RP219\A0067509.dll Infecté : Trojan.Win32.Dialer.qn ignoré
C:\System Volume Information\_restore{5E2801C1-2924-4ADF-AB83-0A8930C90EC4}\RP219\A0067533.exe/data.rar/keygen.exe Infecté : Trojan-Dropper.Win32.Small.ayg ignoré
C:\System Volume Information\_restore{5E2801C1-2924-4ADF-AB83-0A8930C90EC4}\RP219\A0067533.exe/data.rar/serial.exe Infecté : Trojan.Win32.Dialer.qn ignoré
C:\System Volume Information\_restore{5E2801C1-2924-4ADF-AB83-0A8930C90EC4}\RP219\A0067533.exe/data.rar/install.exe Infecté : Trojan-Downloader.Win32.Small.eqn ignoré
C:\System Volume Information\_restore{5E2801C1-2924-4ADF-AB83-0A8930C90EC4}\RP219\A0067533.exe/data.rar Infecté : Trojan-Downloader.Win32.Small.eqn ignoré
C:\System Volume Information\_restore{5E2801C1-2924-4ADF-AB83-0A8930C90EC4}\RP219\A0067533.exe RarSFX: infecté - 4 ignoré
C:\System Volume Information\_restore{5E2801C1-2924-4ADF-AB83-0A8930C90EC4}\RP222\change.log L'objet est verrouillé ignoré
C:\System Volume Information\_restore{8D39A5F1-79E8-4D10-A0F2-6A24565BEE00}\RP26\A0006532.dll Infecté : Trojan.Win32.BHO.o ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edbtmp.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_798.dat L'objet est verrouillé ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
J:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
Analyse terminée.
Bonjour
Encore quelques corrections.
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt![:p]( ":p")
aste List of Files/Folders to be moved.
C:\Documents and Settings\Robin\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-74a46bf2-63e56010.zip
Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Il te sera peut-être demander de redémarrer le PC pour achever la suppression. Si c'est le cas accepte par Yes.
Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Cocher la case Désactiver la restauration du systéme et cliquer sur Appliquer.
Lance OTmoveIT.
Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargé).
NOTE : Normalement, ton firewall (parefeu) devrait te demander si OTmoveIT peut accéder a internet, Autorise le.
Une liste apparait dans la partie gauche d'OTmoveIT.
Un message apparait pour confirmer le nettoyage. Confirme
Redémarre le PC
Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Décocher la case Désactiver la restauration du systéme et cliquer sur Appliquer.
As tu encore des dysfonctionnements ?
Encore quelques corrections.
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt
aste List of Files/Folders to be moved.C:\Documents and Settings\Robin\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-74a46bf2-63e56010.zip
Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Il te sera peut-être demander de redémarrer le PC pour achever la suppression. Si c'est le cas accepte par Yes.
Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Cocher la case Désactiver la restauration du systéme et cliquer sur Appliquer.
Lance OTmoveIT.
NOTE : Normalement, ton firewall (parefeu) devrait te demander si OTmoveIT peut accéder a internet, Autorise le.
Redémarre le PC
Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Décocher la case Désactiver la restauration du systéme et cliquer sur Appliquer.
As tu encore des dysfonctionnements ?
Lassé par la pub ? Créez un compte
- Contenus similaires :
- ForumVirus win 32 adware virtumonde
- ForumInfecte par adware virtumonde
- ForumVirus adware virtumonde impossible a effacer
- ForumPb adware virtumonde dll
- ForumAdware virtumonde et privacyremover.m64
- ForumOrdi infecte avec adware win 32 virtumonde
- ForumVirus adware advertising et trojan virtumonde
- ForumVirtumonde .dll
- ForumAdware c est quoi
- ForumAdware
- Voir plus
