Se connecter avec
S'enregistrer | Connectez-vous

[Résolu]NT\SYSTEM et chevaux de troie : demande d'aide...

Dernière réponse : dans Sécurité

Bonsoir à tous,

j'ai un gros souci avec mon PC, j'ai subi une attaque via le net (probablement via un fichier téléchargé...)

depuis, scans antivirus, formatages et ré-install (à plusieurs reprises) n'y font rien, Antivir me donne des messages d'alerte sur des chevaux de Troie :

TR/Crypt.XPACK.Gen
TR/Vundo.Gen
TR/Dldr.ConHook.Gen

et autres : HEUR-DBLEXT/Crypted

de plus, j'ai le fameux message AUTORITE NT/SYSTEM avec redémarrage très régulièrement (je me demande comment j'arrive à poster actuellement sans que celui-ci me "plante"...)

j'ai fait un Hijack :

Logfile of HijackThis v1.99.1
Scan saved at 23:08:55, on 27/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\WinDV.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\WinDV.exe
O2 - BHO: (no name) - {25405C29-2284-4E87-8610-D90135A56EBF} - C:\WINDOWS\System32\mlljh.dll
O2 - BHO: (no name) - {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} - C:\WINDOWS\System32\byxurop.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\ovpzlvtx.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O20 - Winlogon Notify: byxurop - C:\WINDOWS\SYSTEM32\byxurop.dll
O20 - Winlogon Notify: mlljh - C:\WINDOWS\System32\mlljh.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: app_filter - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows Drivers Version - Unknown owner - C:\WINDOWS\WinDV.exe

j'ai un gros problème, et je ne parviens pas à m'en débarrasser

si quelqu'un pouvait m'aider, ce serait très sympa !

merci d'avance :) 

Autres pages sur : resolu system chevaux troie demande aide

Lassé par la pub ? Créez un compte

Bonsoir,
Télécharge VundoFix.exe :

Double-clique VundoFix.exe .
Clique sur Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Ensuite clique sur YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu auras un message comme quoi l'ordinateur va s'éteindre, fais ok
Poste le rapport qui se trouve dans C:\vundofix.txt et un nouveau rapport hijackthis
&
Télécharge SDFix

Enregistre le sur ton le bureau.

Lances le.
Fais install afin qu'il puisse s'extraire.

Redémarre en mode sans échec (tuto)

Lance SDFix.
Double clique sur RunThis.bat ( Le .bat apparaît si tu affiches les dossiers cachés : Poste de travail >outil>option des dossiers>affichage>afficher les fichiers et dossiers cachés )
Appuie sur Y pour le lancer.

Il te sera demandé d'appuyer sur une touche pour redemarrer , fais le
Il est probable que le redémarrage soit un peu plus long que d'habitude.
Une fois l'apparition de ton Bureau, il affichera Finished

Appuie sur une touche.

Un rapport est généré , poste le dans ta réponse.
Il se trouve également. dans le dossier SDFix >Report.txt<
et un nouveau rapport Hijackthis

Rapport VundoFix :

Java version is 1.4.2.4
Old versions of java are exploitable and should be removed.

Scan started at 23:49:33 27/08/2007

Listing files found while scanning....

C:\WINDOWS\System32\hjllm.bak1
C:\WINDOWS\System32\hjllm.ini
C:\WINDOWS\System32\mlljh.dll

Beginning removal...

Attempting to delete C:\WINDOWS\System32\hjllm.bak1
C:\WINDOWS\System32\hjllm.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\System32\hjllm.ini
C:\WINDOWS\System32\hjllm.ini Has been deleted!

Attempting to delete C:\WINDOWS\System32\mlljh.dll
C:\WINDOWS\System32\mlljh.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\System32\mlljh.dll
C:\WINDOWS\System32\mlljh.dll Has been deleted!

Performing Repairs to the registry.
Done!

Rapport Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 00:17:21, on 28/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\WinDV.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\WinDV.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} - C:\WINDOWS\System32\byxurop.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {B020B790-1AB3-46CD-8075-5F676EB9787A} - C:\WINDOWS\System32\mlljh.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O20 - Winlogon Notify: byxurop - C:\WINDOWS\SYSTEM32\byxurop.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows Drivers Version - Unknown owner - C:\WINDOWS\WinDV.exe

désolée pour la lenteur mais j'ai beaucoup de messages d'antivir et une connexion internet bancale...

Relance Vundofix

Cette fois-ci , fais un au milieu de la fenêtre , clique sur Add more files ?
Séléctionne le fichier ci-dessou et colle le dans une case :
C:\WINDOWS\SYSTEM32\byxurop.dll

Clique sur Add files , puis sur Close Windows
et enfin sur Remove Vundo , tu dois voir apparaitre les fichier dans la fenêtre

Si il t'est demandé de redémarrer fais-le !

Poste le rapport Vundofix
et un nouveau rapport HijackThis

Citation :
désolée pour la lenteur mais j'ai beaucoup de messages d'antivir et une connexion internet bancale...

Pas grave, poste le rapport SDFix stp.


SDFix: Version 1.100

Run by Steph on 28/08/2007 at 00:26

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\Steph\Bureau\SDFix

Safe Mode:
Checking Services:


C:\WINDOWS\system32\Microsoft\backup.ftp Found
C:\WINDOWS\system32\Microsoft\backup.tftp Found

Checking files:

Genuine:
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\Microsoft\backup.tftp

Dummy:
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache\tftp.exe

Files copied to SDFix\Backups

Restoring files if backups are found

Final Check:

Genuine:
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\Microsoft\backup.tftp
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache\tftp.exe

Dummy:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\o - Deleted
C:\WINDOWS\system32\Tilecomfree.com - Deleted
C:\WINDOWS\system32\Tilecomnu.com - Deleted

Could Not Remove C:\WINDOWS\system32\Microsoft\backup.ftp
Could Not Remove C:\WINDOWS\system32\Microsoft\backup.tftp

Folder C:\Program Files\Fichiers communs\delsim - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

Remaining Files:
---------------
C:\WINDOWS\system32\Microsoft\backup.ftp Found
C:\WINDOWS\system32\Microsoft\backup.tftp Found

File Backups: - C:\DOCUME~1\Steph\Bureau\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\WINDOWS\WinDV.exe
C:\WINDOWS\system32\edssjpto.exe
C:\WINDOWS\system32\kwmlxy.exe
C:\WINDOWS\LastGood.Tmp\INF\oem10.inf
C:\WINDOWS\LastGood.Tmp\INF\oem10.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem11.inf
C:\WINDOWS\LastGood.Tmp\INF\oem11.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem5.inf
C:\WINDOWS\LastGood.Tmp\INF\oem5.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem6.inf
C:\WINDOWS\LastGood.Tmp\INF\oem6.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem7.inf
C:\WINDOWS\LastGood.Tmp\INF\oem7.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem8.inf
C:\WINDOWS\LastGood.Tmp\INF\oem8.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem9.inf
C:\WINDOWS\LastGood.Tmp\INF\oem9.PNF

Finished

j'ai un nouveau plantage de autorité NT system !

Rapport Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 00:43:32, on 28/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\WinDV.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Steph\Bureau\Steph\VundoFix.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\WinDV.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} - C:\WINDOWS\System32\byxurop.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {B020B790-1AB3-46CD-8075-5F676EB9787A} - C:\WINDOWS\System32\mlljh.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Unknown owner - VundoFixSVC.exe (file missing)
O23 - Service: Windows Drivers Version - Unknown owner - C:\WINDOWS\WinDV.exe

pour VundoFix, je n'ai pas de rapport : il m'a demandé si je voulais faire Remove Vundo, j'ai mis oui et le pc a redémarré, j'ai peut-être merdé :o (

On va vérifier mais je pense qu'il est toujours là :

Aller dans poste de travail>outils>option des dossiers>affichage>afficher les fichiers et dossiers cachés. - - > Appliquer - - > OK

Aller dans poste de travail>outils>option des dossiers>affichage>décocher masquer les fichiers protégés du système d%u2019exploitation. - - > Appliquer - - > OK

Vérifie si ce fichier est présent : C:\WINDOWS\System32\byxurop.dll
Si oui (je pense), ressaie la manip avec vundofix, tu dois avoir un rapport dans C

voilà le rapport :


VundoFix V6.5.7

Checking Java version...

Java version is 1.4.2.4
Old versions of java are exploitable and should be removed.

Scan started at 23:49:33 27/08/2007

Listing files found while scanning....

C:\WINDOWS\System32\hjllm.bak1
C:\WINDOWS\System32\hjllm.ini
C:\WINDOWS\System32\mlljh.dll

Beginning removal...

Attempting to delete C:\WINDOWS\System32\hjllm.bak1
C:\WINDOWS\System32\hjllm.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\System32\hjllm.ini
C:\WINDOWS\System32\hjllm.ini Has been deleted!

Attempting to delete C:\WINDOWS\System32\mlljh.dll
C:\WINDOWS\System32\mlljh.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\System32\mlljh.dll
C:\WINDOWS\System32\mlljh.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Beginning removal...

Beginning removal...

Attempting to delete C:\WINDOWS\SYSTEM32\byxurop.dll
C:\WINDOWS\SYSTEM32\byxurop.dll Could not be deleted.

Performing Repairs to the registry.
Done!

VundoFix V6.5.7

Checking Java version...

Java version is 1.4.2.4
Old versions of java are exploitable and should be removed.

Scan started at 00:41:54 28/08/2007

Listing files found while scanning....

C:\WINDOWS\SYSTEM32\byxurop.dll

Beginning removal...

Attempting to delete C:\WINDOWS\SYSTEM32\byxurop.dll
C:\WINDOWS\SYSTEM32\byxurop.dll Has been deleted!

Performing Repairs to the registry.
Done!

Re,
Reposte un Hijackthis.

1/ Télécharge Blacklight

Sauvegarde le sur ton Bureau

Double-clique fsbl.exe pour le lancer.
clique Scan puis sur Next

A la fin du scan, NE TOUCHE A RIEN et ferme Blacklight

Poste le rapport sur ton bureau qui se nomme fsbl.*******.log (les ******* sont des chiffres)

2/ Désinstalle ewido anti-spyware 4.0 et remplace le par
AVG Anti-Spyware Installes-le.
Lance AVG et fais une mise à jour.
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglet comment réagir, clique sur Actions recommandées. Choisis Quarantaine.
Ne fais pas d%u2019analyse pour le moment.

3/ Télécharge sur ton bureau : Clean
Dézippe le sur ton bureau. Double-clic sur ce dossier clean.
Double-clic sur clean.cmd. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 puis entrée. Ensuite appuies sur une touche comme il te sera demandé et poste le rapport ici.

4/ Très important si ton windows est légal, mets le SP2, toutes les mises à jour, et IE7 également.

Pour les virus détectés, on verra après, il ya encore du boulot avec ton rapport Hijackthis je pense.

Rapport de Blacklight :

08/28/07 22:00:28 [Info]: BlackLight Engine 1.0.64 initialized
08/28/07 22:00:28 [Info]: OS: 5.1 build 2600 (Service Pack 1)
08/28/07 22:00:28 [Note]: 7019 4
08/28/07 22:00:28 [Note]: 7005 0
08/28/07 22:00:34 [Note]: 7006 0
08/28/07 22:00:34 [Note]: 7011 1692
08/28/07 22:00:34 [Note]: 7026 0
08/28/07 22:00:34 [Note]: 7026 0
08/28/07 22:00:35 [Note]: FSRAW library version 1.7.1022
08/28/07 22:01:05 [Note]: 7007 0

Rapport de Clean :

28/08/2007 a 22:09:36,29

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\o FOUND

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !

Pour Windows, je ne peux rien faire...

j'ai deux nouvelles alertes :

HEUR-DBLEXT/Crypted
TR/Crypt.XPACK.Gen - encore :o (

merci pour ton aide en tout cas, je me rends compte que mon cas n'est pas... facile !

T'inquiète pas ;) 

Hmm fais le reste pour le moment, notamment la mise à jour xp et clean .

Fais analyser ces fichier sur ce site >> Virustotal <<

Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier :
C:\WINDOWS\WinDV.exe
Clique maintenant sur envoyer le fichier.
Poste le rapport
Fais la même chose avec ces fichiers : C:\WINDOWS\system32\edssjpto.exe
C:\WINDOWS\system32\kwmlxy.exe

Sinon pour faire un peu de nettoyage :

Redémarre en mode sans échec (tuto).
Relance Avg.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas.
Clique sur "Enregistrer le rapport". Ceci génère un rapport qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.
Poste le ici.
&
Toujours en mode sans échec, relance clean et fais l'option 2, poste le rapport.

Tu n'as pas de version légale .. C'est embêtant en effet.
A la fin, tu installeras le parefeu de ton choix à la place de celui de windows avec antivir et avg anti-Spywares 7.5. Mais bon système pas à jour = failles de sécurité ;) 

Oui fais ;) 

pour C:\WINDOWS\WinDV.exe :

AhnLab-V3 2007.8.29.0 2007.08.28 -
AntiVir 7.4.1.63 2007.08.28 HEUR/Crypted
Authentium 4.93.8 2007.08.28 -
Avast 4.7.1029.0 2007.08.28 -
AVG 7.5.0.484 2007.08.28 SHeur.JBV
BitDefender 7.2 2007.08.28 -
CAT-QuickHeal 9.00 2007.08.25 Backdoor.SdBot.gen
ClamAV 0.91.2 2007.08.28 -
DrWeb 4.33 2007.08.28 BackDoor.IRC.Sdbot.1826
eSafe 7.0.15.0 2007.08.28 -
eTrust-Vet 31.1.5091 2007.08.28 -
Ewido 4.0 2007.08.28 -
FileAdvisor 1 2007.08.28 -
Fortinet 2.91.0.0 2007.08.28 -
F-Prot 4.3.2.48 2007.08.28 -
F-Secure 6.70.13030.0 2007.08.28 Backdoor.Win32.SdBot.bnk
Ikarus T3.1.1.12 2007.08.28 Backdoor.Win32.SdBot.bhk
Kaspersky 4.0.2.24 2007.08.28 Backdoor.Win32.SdBot.bnk
McAfee 5107 2007.08.28 -
Microsoft 1.2803 2007.08.28 -
NOD32v2 2489 2007.08.28 -
Norman 5.80.02 2007.08.28 -
Panda 9.0.0.4 2007.08.28 W32/Sdbot.LBK.worm
Prevx1 V2 2007.08.28 Generic.Malware
Rising 19.38.12.00 2007.08.28 Backdoor.Win32.SdBot.ore
Sophos 4.21.0 2007.08.28 -
Sunbelt 2.2.907.0 2007.08.25 VIPRE.Suspicious
Symantec 10 2007.08.28 W32.Spybot.Worm
TheHacker 6.1.9.175 2007.08.28 Trojan/SdBot.gen
VBA32 3.12.2.3 2007.08.28 -
VirusBuster 4.3.26:9 2007.08.28 -
Webwasher-Gateway 6.0.1 2007.08.28 Heuristic.Crypted
Information additionnelle
File size: 657408 bytes
MD5: 74e219a565096cbefc536a3b3322057f
SHA1: 3dd6dc60e215c10a009fcf120c96cd41d944cdc2
packers: Themida
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=92EC6AC30023...
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

bonsoir

je me permets d'intervenir :) 

XmichouX poursuivra ta désinfection. mais ce serait vraiment gentil de ta part si tu faisais un upload de ce fichier vers un dévelloppeur.
Il pourra mettre à jour son outil grâce à toi, et on sera plus efficace pour les prochaines fois où on retombera sur ce fichier.

fais comme suis stp:

Télécharge Suspicious file Packer (de Safe-Networking.Org) pour le dézipper sur ton Bureau.

Redémarre en mode sans échec

Démarre SFP.exe
Sélectionne TOUS les emplacements suivants :

C:\WINDOWS\WinDV.exe

---> Clique-droit puis Copier

Retourne sur SFP.exe, fais un Clique-droit sur le cadre puis choisis Coller.
Clique maintenant sur Continue

Cela va créer un fichier .cab sur ton Bureau nommé requested-files[Date/Heure]
Fais un Clique-droit sur ce fichier, clique sur Envoyer vers puis sélectionne Dossier compressé.
Cela va créer un fichier .zip du même nom. Clique-droit sur ce fichier / Explorer / Fichier / Ajouter un mot de passe...
Nomme ce mot de passe malware.
Redémarre normalement pour envoyer ce fichier à cette adresse :

AndyManchesta(at)hotmail.com ( Remplace (at) par @ )

Supprime maintenant les fichier .zip et .cab qui se trouvent sur ton Bureau.


++++++++++++

merci à toi ;) 

Sham-Rock, impossible de faire la manip : je fais copier (dans mon répertoire), sans pouvoir coller (dans sfp.exe), clic droit -> tout est gris, inaccessible

le fichier C:\WINDOWS\WinDV.exe n'apparait pas comme les autres

que puis-je faire pour délier ce sac de noeud ?!

par contre, pour la 2ème fois depuis mes problèmes, j'ai vu cet icône (source probable de tout ça) : http://img262.imageshack.us/img262/1668/malwareri0.jpg

charmant...

tant pis,
XmichouX va poursuivre.

je l'avance un peu:

~Télécharge OTMoveIt (d'OldTimer). Sauvegarde-le sur ton Bureau.


~Sélectionne TOUS les emplacements suivants :


C:\WINDOWS\WinDV.exe
C:\WINDOWS\system32\edssjpto.exe
C:\WINDOWS\system32\kwmlxy.exe


---> Clique-droit puis Copier (ou Ctrl+C)
~Double-clique sur OTMoveIt.exe afin de le lancer.
fais un Clique-droit sur le cadre de gauche puis choisis Coller. (ou Ctrl+V).
~Clique maintenant sur [#ff0000]MoveIt![/#f]

!! Si un fichier ou dossier ne peut être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES

~Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport est la date de sa création.

ajoute un nouveau log hijackthis

virus total pour C:\WINDOWS\system32\edssjpto.exe :

AhnLab-V3 2007.8.29.0 2007.08.28 -
AntiVir 7.4.1.63 2007.08.28 -
Authentium 4.93.8 2007.08.28 -
Avast 4.7.1029.0 2007.08.28 -
AVG 7.5.0.484 2007.08.28 -
BitDefender 7.2 2007.08.28 -
CAT-QuickHeal 9.00 2007.08.25 -
ClamAV 0.91.2 2007.08.28 -
DrWeb 4.33 2007.08.28 BackDoor.IRC.Sdbot.1464
eSafe 7.0.15.0 2007.08.28 Suspicious Trojan/Worm
eTrust-Vet 31.1.5092 2007.08.28 -
Ewido 4.0 2007.08.28 -
FileAdvisor 1 2007.08.29 -
Fortinet 2.91.0.0 2007.08.28 -
F-Prot 4.3.2.48 2007.08.28 -
F-Secure 6.70.13030.0 2007.08.28 -
Ikarus T3.1.1.12 2007.08.28 -
Kaspersky 4.0.2.24 2007.08.29 -
McAfee 5107 2007.08.28 -
Microsoft 1.2803 2007.08.29 -
NOD32v2 2489 2007.08.28 -
Norman 5.80.02 2007.08.28 -
Panda 9.0.0.4 2007.08.28 -
Prevx1 V2 2007.08.29 -
Rising 19.38.12.00 2007.08.28 -
Sophos 4.21.0 2007.08.28 -
Sunbelt 2.2.907.0 2007.08.25 -
Symantec 10 2007.08.28 W32.IRCbot
TheHacker 6.1.9.175 2007.08.28 -
VBA32 3.12.2.3 2007.08.28 -
VirusBuster 4.3.26:9 2007.08.28 -
Webwasher-Gateway 6.0.1 2007.08.28 Win32.Malware.dam (suspicious)
Information additionnelle
File size: 23360 bytes
MD5: 9082118008de6ae3c7fe3e3085683e0c
SHA1: 559402d8de94941866c045012f953d108d58651f

rapport de hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 10:36:37, on 30/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\attrib.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\attrib.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} - C:\WINDOWS\System32\byxurop.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {B020B790-1AB3-46CD-8075-5F676EB9787A} - C:\WINDOWS\System32\mlljh.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: SATARAID5.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: attrib - Unknown owner - C:\WINDOWS\attrib.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

j'ai une nouvelle alerte (je ne sais pas si je dois te le signaler à chaque fois ?) : WORM/Sdbot.645632.2 dans c:/windows/attrib.exe

Télécharge SDFix

Enregistre le sur ton le bureau.

Lances le.
Fais install afin qu’il puisse s’extraire.

Redémarre en mode sans échec (tuto)

Lance SDFix.
Double clique sur RunThis.bat ( Le .bat apparaît si tu affiches les dossiers cachés : Poste de travail >outil>option des dossiers>affichage>afficher les fichiers et dossiers cachés )
Appuie sur Y pour le lancer.

Il te sera demandé d'appuyer sur une touche pour redemarrer , fais le
Il est probable que le redémarrage soit un peu plus long que d’habitude.
Une fois l’apparition de ton Bureau, il affichera Finished

Appuie sur une touche.

Un rapport est généré , poste le dans ta réponse.
Il se trouve également. dans le dossier SDFix >Report.txt<
et un nouveau rapport Hijackthis

rapport SDFix :

SDFix: Version 1.100

Run by Steph on 30/08/2007 at 11:16

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\Steph\Bureau\SDFix

Safe Mode:
Checking Services:


C:\WINDOWS\system32\Microsoft\backup.ftp Found
C:\WINDOWS\system32\Microsoft\backup.tftp Found

Checking files:

Genuine:
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\Microsoft\backup.tftp

Dummy:
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache\tftp.exe

Files copied to SDFix\Backups

Restoring files if backups are found

Final Check:

Genuine:
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\Microsoft\backup.tftp
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache\tftp.exe

Dummy:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\Program Files\Fichiers communs\delsim\del.exe - Deleted
C:\WINDOWS\system32\i - Deleted
C:\WINDOWS\system32\Microsoft\backup.ftp - Deleted
C:\WINDOWS\system32\Microsoft\backup.tftp - Deleted


Folder C:\Program Files\Fichiers communs\delsim - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

Remaining Files:
---------------

File Backups: - C:\DOCUME~1\Steph\Bureau\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\WINDOWS\system32\adty.exe
C:\WINDOWS\system32\jzqbtkr.exe
C:\WINDOWS\system32\qzwxbn.exe
C:\_OTMoveIt\MovedFiles\WINDOWS\WinDV.exe
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\edssjpto.exe
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\kwmlxy.exe
C:\WINDOWS\LastGood.Tmp\INF\oem10.inf
C:\WINDOWS\LastGood.Tmp\INF\oem10.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem11.inf
C:\WINDOWS\LastGood.Tmp\INF\oem11.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem5.inf
C:\WINDOWS\LastGood.Tmp\INF\oem5.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem6.inf
C:\WINDOWS\LastGood.Tmp\INF\oem6.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem7.inf
C:\WINDOWS\LastGood.Tmp\INF\oem7.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem8.inf
C:\WINDOWS\LastGood.Tmp\INF\oem8.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem9.inf
C:\WINDOWS\LastGood.Tmp\INF\oem9.PNF

Finished

rapport Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 11:22:54, on 30/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} - C:\WINDOWS\System32\byxurop.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {B020B790-1AB3-46CD-8075-5F676EB9787A} - C:\WINDOWS\System32\mlljh.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: SATARAID5.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: attrib - Unknown owner - C:\WINDOWS\attrib.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

C'est encore un petit peu mieux mais c'est pas tout à fait fini .

1/ Relance HiJackThis, do a system scan only , coche ces lignes :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} - C:\WINDOWS\System32\byxurop.dll (file missing)
O2 - BHO: (no name) - {B020B790-1AB3-46CD-8075-5F676EB9787A} - C:\WINDOWS\System32\mlljh.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

Fix Checked !


Aller dans poste de travail>outils>option des dossiers>affichage>afficher les fichiers et dossiers cachés. - - > Appliquer - - > OK

Aller dans poste de travail>outils>option des dossiers>affichage>décocher masquer les fichiers protégés du système d’exploitation. - - > Appliquer - - > OK


2/ Fais analyser ces fichier sur ce site >> Virustotal <<

Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier :
C:\WINDOWS\System32\msjava.dll
Clique maintenant sur envoyer le fichier.
Poste le rapport
Fais la même chose avec ces fichiers : C:\WINDOWS\system32\adty.exe
C:\WINDOWS\system32\jzqbtkr.exe
C:\WINDOWS\system32\qzwxbn.exe

Histoire de faire un peu de nettoyage (mais fait tout de même ce que j'ai mis ..)

Télécharge AVG Anti-Spyware Installes-le.
Lance AVG et fais une mise à jour.
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglet comment réagir, clique sur Actions recommandées. Choisis Quarantaine.
Ne fais pas d’analyse pour le moment.
Redémarre en mode sans échec (tuto).
Relance Avg.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas.
Clique sur "Enregistrer le rapport". Ceci génère un rapport qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.
Poste le ici.

pour C:\WINDOWS\System32\msjava.dll ;

AhnLab-V3 2007.8.29.0 2007.08.30 -
AntiVir 7.4.1.66 2007.08.30 -
Authentium 4.93.8 2007.08.29 -
Avast 4.7.1029.0 2007.08.29 -
AVG 7.5.0.484 2007.08.29 -
BitDefender 7.2 2007.08.30 -
CAT-QuickHeal 9.00 2007.08.30 -
ClamAV 0.91.2 2007.08.30 -
DrWeb 4.33 2007.08.30 -
eSafe 7.0.15.0 2007.08.29 -
eTrust-Vet 31.1.5095 2007.08.30 -
Ewido 4.0 2007.08.30 -
FileAdvisor 1 2007.08.30 -
Fortinet 3.11.0.0 2007.08.30 -
F-Prot 4.3.2.48 2007.08.29 -
F-Secure 6.70.13030.0 2007.08.30 -
Ikarus T3.1.1.12 2007.08.30 -
Kaspersky 4.0.2.24 2007.08.30 -
McAfee 5108 2007.08.29 -
Microsoft 1.2803 2007.08.30 -
NOD32v2 2492 2007.08.30 -
Norman 5.80.02 2007.08.30 -
Panda 9.0.0.4 2007.08.29 -
Prevx1 V2 2007.08.30 -
Rising 19.38.32.00 2007.08.30 -
Sophos 4.21.0 2007.08.30 -
Sunbelt 2.2.907.0 2007.08.25 -
Symantec 10 2007.08.30 -
TheHacker 6.1.9.175 2007.08.30 -
VBA32 3.12.2.3 2007.08.30 -
VirusBuster 4.3.26:9 2007.08.30 -
Webwasher-Gateway 6.0.1 2007.08.30 -
Information additionnelle
File size: 945693 bytes
MD5: a742aef87af3afe1981c9c1f854e6124
SHA1: e965433537c4f222d620a571a3fcb450af241443

un peu bizarre car c'est la 4ème fois que je le fais (ça n'a pas planté ce coup-ci) et les 3 fois précédentes, 2 worms étaient trouvés...

2 worms dans le rapport

là, ça fait 4 fois que j'essaie pour celui-là : C:\WINDOWS\system32\qzwxbn.exe

et ça plante à chaque fois avant la fin

je le re-fais et te poste le rapport de ce qu'il me trouve (2 aussi) avant le plantage :

AhnLab-V3 2007.8.31.0 2007.08.30 -
AntiVir 7.4.1.66 2007.08.30 -
Authentium 4.93.8 2007.08.29 -
Avast 4.7.1029.0 2007.08.29 -
AVG 7.5.0.484 2007.08.29 -
BitDefender 7.2 2007.08.30 -
CAT-QuickHeal 9.00 2007.08.30 -
ClamAV None 2007.08.30 -
DrWeb 4.33 2007.08.30 BackDoor.IRC.Sdbot.1464
eSafe 7.0.15.0 2007.08.29 Suspicious Trojan/Worm

je redémarre en mode sans échec et lance AVG...

en fait, C:\WINDOWS\system32\adty.exe et C:\WINDOWS\system32\jzqbtkr.exe n'existent pas (ou plus ?)

et pour C:\WINDOWS\system32\qzwxbn.exe, l'analyse débute sans problème puis au bout d'un moment, j'ai un plantage NT SYSTEM

comme tu dis, c'est du lourd, là, j'ai à nouveau plusieurs alertes dont celle de Vundo...


AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 17:38:46 30/08/2007

+ Résultat de l'analyse:



C:\System Volume Information\_restore{4001B51B-1CD4-44B0-A61F-B414CD3C7FAD}\RP15\A0019804.exe -> Backdoor.PoeBot.o : Nettoyé.
C:\WINDOWS\system32\jcgaudh.exe -> Backdoor.PoeBot.o : Nettoyé.
C:\WINDOWS\system32\spooIsv.exe -> Backdoor.PoeBot.o : Nettoyé.
C:\WINDOWS\system32\TFTP460 -> Backdoor.Rbot : Nettoyé.
C:\System Volume Information\_restore{4001B51B-1CD4-44B0-A61F-B414CD3C7FAD}\RP15\A0019805.com -> Backdoor.Rbot.aus : Nettoyé.
C:\System Volume Information\_restore{4001B51B-1CD4-44B0-A61F-B414CD3C7FAD}\RP15\A0016726.exe -> Backdoor.Rbot.bni : Nettoyé.
C:\System Volume Information\_restore{4001B51B-1CD4-44B0-A61F-B414CD3C7FAD}\RP15\A0017737.exe -> Backdoor.Rbot.bni : Nettoyé.
C:\WINDOWS\system32\jexim.exe -> Downloader.ConHook.ah : Nettoyé.
C:\System Volume Information\_restore{4001B51B-1CD4-44B0-A61F-B414CD3C7FAD}\RP15\A0019803.exe -> Downloader.Delf.ain : Nettoyé.
C:\WINDOWS\system32\wzan.exe -> Dropper.Small : Nettoyé.
C:\Documents and Settings\Steph\Cookies\steph@advertising[2].txt -> TrackingCookie.Advertising : Nettoyé.
C:\Documents and Settings\Steph\Cookies\steph@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Steph\Cookies\steph@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Steph\Cookies\steph@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Steph\Cookies\steph@fastclick[2].txt -> TrackingCookie.Fastclick : Nettoyé.
C:\Documents and Settings\Steph\Cookies\steph@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\Steph\Cookies\steph@smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Steph\Cookies\steph@statcounter[1].txt -> TrackingCookie.Statcounter : Nettoyé.
C:\Documents and Settings\Steph\Cookies\steph@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\Steph\Cookies\steph@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Steph\Cookies\steph@m.webtrends[2].txt -> TrackingCookie.Webtrends : Nettoyé.


Fin du rapport

Vide la quarantaine.
Désactive-réactive la restauration système (: >clique droit sur poste de travail>propriétés>restauration système>désactiver la restauration sur tous les lecteurs>appliquer>ok et après l'inverse

Passe une dernière fois SDFix pour voir ...

rapport SDFix: Version 1.100

Run by Steph on 30/08/2007 at 17:56

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\Steph\Bureau\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\o - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

Remaining Files:
---------------

File Backups: - C:\DOCUME~1\Steph\Bureau\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\WINDOWS\system32\eedimoo.exe
C:\WINDOWS\system32\ketsjjn.exe
C:\WINDOWS\system32\nddmo.exe
C:\WINDOWS\system32\qgfsyk.exe
C:\WINDOWS\system32\qzwxbn.exe
C:\WINDOWS\system32\sxxu.exe
C:\WINDOWS\system32\tqgvrujy.exe
C:\WINDOWS\system32\tsqte.exe
C:\WINDOWS\system32\vixy.exe
C:\WINDOWS\system32\xetot.exe
C:\_OTMoveIt\MovedFiles\WINDOWS\WinDV.exe
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\edssjpto.exe
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\kwmlxy.exe
C:\WINDOWS\LastGood.Tmp\INF\oem10.inf
C:\WINDOWS\LastGood.Tmp\INF\oem10.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem11.inf
C:\WINDOWS\LastGood.Tmp\INF\oem11.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem5.inf
C:\WINDOWS\LastGood.Tmp\INF\oem5.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem6.inf
C:\WINDOWS\LastGood.Tmp\INF\oem6.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem7.inf
C:\WINDOWS\LastGood.Tmp\INF\oem7.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem8.inf
C:\WINDOWS\LastGood.Tmp\INF\oem8.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem9.inf
C:\WINDOWS\LastGood.Tmp\INF\oem9.PNF

Finished

j'ai vidé la quarantaine d'AVG

par contre, tu vas peut-être hurler (!) mais j'ai deux disques durs que j'ai formaté la première fois que j'ai eu mes "soucis" dont j'ai préféré supprimer la partition

peuvent-ils être infectés même "vides" ?
Lassé par la pub ? Créez un compte

Répondre Créer un nouveau sujet

Tom's guide dans le monde