Salut à tous

Mon PC est infecté par le virus Win32.Worm.VB.NRM et Win32.Worm.VB.NPM Des personnes pourraient me donner les démarches à suivre pour les supprimer ?

J'ai fait un scan Bitdefender on line et Malwarebytes' Anti-Malware voici les rapports.

Merci à vous

Zabo

rapport bitdefender:

BitDefender Online Scanner - Rapport virus en temps réel







Généré à: Wed, Jul 09, 2008 - 19:16:52









Info d'analyse







Fichiers scannés


128169

Infectés Fichiers


35















Virus Détectés







Win32.Worm.VB.NRM


17

Win32.Worm.VB.NPM


18


autre rapport:

BitDefender Online Scanner







Rapport d'analyse généré à: Wed, Jul 09, 2008 - 19:15:13









Voie d'analyse: C:\;D:\;E:\;F:\;G:\;H:\;I:\;















Statistiques

Temps


00:36:30

Fichiers


119284

Directoires


8839

Secteurs de boot


3

Archives


2272

Paquets programmes


12022







Résultats

Virus identifiés


3

Fichiers infectés


35

Fichiers suspects


0

Avertissements


0

Désinfectés


0

Fichiers effacés


34







Info sur les moteurs

Définition virus


1362605

Version des moteurs


AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins


16

Archive des plugins


42

Unpack des plugins


7

E-mail plugins


6

Système plugins


5







Paramètres d'analyse

Première action


Message

Seconde Action


Supprimé

Heuristique


Oui

Acceptez les avertissements


Oui

Extensions analysées


exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions




Analyse d'emails


Oui

Analyse des Archives


Oui

Analyser paquets programmes


Oui

Analyse des fichiers


Oui

Analyse de boot


Oui








Fichier analysé


Statut

C:\Recycled\INFO.EXE


Infecté par: Win32.Worm.VB.NRM

C:\Recycled\INFO.EXE


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101669.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101669.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101670.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101670.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101675.EXE


Infecté par: Win32.Worm.VB.NRM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101675.EXE


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101686.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101686.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101687.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101687.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101692.EXE


Infecté par: Win32.Worm.VB.NRM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101692.EXE


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101712.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101712.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101713.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101713.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101718.EXE


Infecté par: Win32.Worm.VB.NRM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101718.EXE


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101726.EXE


Infecté par: Win32.Worm.VB.NRM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101726.EXE


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101729.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101729.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101730.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101730.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101795.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101795.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101796.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101796.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101801.EXE


Infecté par: Win32.Worm.VB.NRM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101801.EXE


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101812.EXE


Infecté par: Win32.Worm.VB.NRM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101812.EXE


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101815.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101815.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101816.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101816.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101881.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101881.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101882.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101882.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101886.EXE


Infecté par: Win32.Worm.VB.NRM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101886.EXE


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0102082.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0102082.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0102083.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0102083.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0102086.EXE


Infecté par: Win32.Worm.VB.NRM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0102086.EXE


Supprimé

C:\WINDOWS\Config\Svchost.exe


Infecté par: Win32.Worm.VB.NPM

C:\WINDOWS\Config\Svchost.exe


Supprimé

C:\WINDOWS\Config\System.exe


Infecté par: Win32.Worm.VB.NPM

C:\WINDOWS\Config\System.exe


Supprimé

C:\WINDOWS\System.exe


Infecté par: Win32.Worm.VB.NRM

C:\WINDOWS\System.exe


Echec de la suppression

C:\WINDOWS\System.exe


Echec de la suppression

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101678.EXE


Infecté par: Win32.Worm.VB.NRM

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101678.EXE


Supprimé

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101695.EXE


Infecté par: Win32.Worm.VB.NRM

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101695.EXE


Supprimé

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101721.EXE


Infecté par: Win32.Worm.VB.NRM

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101721.EXE


Supprimé

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101804.EXE


Infecté par: Win32.Worm.VB.NRM

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101804.EXE


Supprimé

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101889.EXE


Infecté par: Win32.Worm.VB.NRM

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101889.EXE


Supprimé

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0102089.EXE


Infecté par: Win32.Worm.VB.NRM

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0102089.EXE


Supprimé

D:\Recycled\INFO.EXE


Infecté par: Win32.Worm.VB.NRM

D:\Recycled\INFO.EXE

voici le rapport Malwarebytes' Anti-Malware:

Malwarebytes' Anti-Malware 1.19
Version de la base de données: 912
Windows 5.1.2600 Service Pack 2

19:59:52 09/07/2008
mbam-log-7-9-2008 (19-59-52).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 118565
Temps écoulé: 41 minute(s), 45 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Le fichier infecté étant apparement C:\WINDOWS\System.exe

Bonsoir,

Télécharge Hijackthis (de Trend Micro) sur ton Bureau.

• Double clique sur HJTInstall.exe pour lancer l'installation.
• Clique sur Install.
• Double clique sur le raccourci d'HijackThis qui vient d'être créé pour le lancer. (Clique droit -> lancer en tant qu'admin si sous Vista)
• Accepte la licence en cliquant sur Yes.
• Clique sur Do a system scan and save a logfile.
• Poste ici le rapport généré.

Note : Le rapport se trouve également ici : C:\Program Files\Trend Micro\Hijackthis\Hijackthis.log

Aide : Comment utiliser HijackThis.

Salut et merci à toi.

Voici le rapport HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:09:22, on 09/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F3 - REG:win.ini: load=System
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,System
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [OutpostFeedBack] C:\PROGRA~1\Agnitum\OUTPOS~1.0\feedback.exe /dumps_startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [AutoTBar] c:\Program Files\HP\Digital Imaging\bin\AUTOTBAR.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [slide.exe] C:\Program Files\Slide\Slide.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\Plugins\BrowserBar\ie_bar.dll (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr [...] NPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/ [...] DP-1.1.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://copainsdavant.linternaute.c [...] oader5.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E67885A0-82A9-482F-B96A-AA1FAEE72E6B}: NameServer = 212.27.32.176,212.27.32.177
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

--
End of file - 5721 bytes

Re,

Télécharge SDFix (d’Andy Manchesta).

• Enregistre le sur ton le bureau.
• Lance le.
• Fais install afin qu’il puisse s’extraire.

Redémarre en mode sans échec
/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\
• Double clique sur RunThis.bat (L’extension bat peut ne pas apparaître)
• Appuie sur Y pour le lancer.
• Il te sera demandé d'appuyer sur une touche pour redemarrer , fais le
• Il est probable que le redémarrage soit un peu plus long que d’habitude.
• Une fois l’apparition de ton Bureau, il affichera Finished
• Appuie sur une touche.
• Un rapport est généré , poste le dans ta réponse.

Il se trouve également. dans le dossier SDFix >Report.txt<

voici le rapport:


SDFix: Version 1.204
Run by HP_Propri‚taire on 10/07/2008 at 20:43

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\autorun.inf - Deleted
C:\WINDOWS\config\svchost.exe - Deleted


Could Not Remove C:\WINDOWS\System.exe



Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-10 20:55:39
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*isabled:AOL France"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*isabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%ProgramFiles%\\iTunes\\iTunes.exe"="%ProgramFiles%\\iTunes\\iTunes.exe:*:enabled:iTunes"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :

C:\WINDOWS\System.exe Found

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 12 Sep 2005 218 A.SHR --- "C:\BOOT.BAK"
Sun 18 Sep 2005 22 A.SH. --- "C:\WINDOWS\SMINST\HPCD.sys"
Thu 15 Sep 2005 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun 25 Sep 2005 401 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv12.bak"
Sat 16 Dec 2006 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Mon 21 Aug 2006 9,216 ...H. --- "C:\Documents and Settings\HP_Propri‚taire\Mes documents\Mes fichiers re‡us\~WRL2688.tmp"
Wed 24 Mar 2004 22,528 A..H. --- "C:\Documents and Settings\HP_Propri‚taire\Mes documents\Moniteur Educateur\~WRL0005.tmp"
Wed 30 Mar 2005 21,504 A..H. --- "C:\Documents and Settings\HP_Propri‚taire\Mes documents\Moniteur Educateur\~WRL0015.tmp"
Mon 2 Feb 2004 45,568 A..H. --- "C:\Documents and Settings\HP_Propri‚taire\Mes documents\Moniteur Educateur\~WRL2826.tmp"
Tue 22 Aug 2006 20,992 ...H. --- "C:\Documents and Settings\HP_Propri‚taire\Application Data\Microsoft\Word\~WRL0004.tmp"
Wed 20 Feb 2008 613,888 ...H. --- "C:\Documents and Settings\HP_Propri‚taire\Mes documents\Machina Deus Ex\cover cd figurines\~WRL3293.tmp"

Finished!

Re,

Oh !

Sélectionne l'intégralité du cadre ci-dessous :

• Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
• Enregistre le sous sur ton bureau sous le nom de Remove.txt

Télécharge The Avenger (de Swandog46).

• Dézippe le sur ton Bureau.
• Lance le en double cliquant sur l’exécutable puis fais ok.
• Sélectionne Load Script from File et clique sur l'cône en forme de dossier à droite.
• Sélectionne ton fichier remove.txt se trouvant sur le Bureau.
• Clique sur le feu vert puis sur oui.
• Le programme va te demander de redémarrer ton pc, accepte.
• Poste le rapport : C:\avenger.txt

Re

Quelques précisions par rapport à the avenger..

Lorque je selectionne Load Script from File je n'ai pas à cliker sur le dossier à droite, il me demande de chercher le fichier. Donc je pense bien que c'est le remove.txt ok ?

Puis, je n'ai pas de feu vert, juste un bouton executer, je clik ? Je pense qu'il va donc "delete C:\WINDOWS\System.exe" exact ? Et ce n'est pas un fichier important pour le fonctionnement de windows ?

Désol de mes questionnements cons !

J'ai lancé un post dans un autre forum, mais celui-ci reste le principal !
XmichouX a l'air de toucher sa bille !;-)

Zabo

Mon canned est obsolète, je vais le maj.

Euh il ne faut pas faire plusieurs sujets ...

Le fichier est nocif.

Pas de souci, je continue ici.

Donc pour les questions que je me posais, tout est ok, je peux faire le scan the avenger ?

merci encore

Ouaip

OK, je viens de faire the avenger. Le PC a redémarré normalement par contre une fenetre m'affiche "windows pas de disque" et le message exception processing message ....blahblah blah, des chifres + lettre
Je dois choisir entre annuler, recommencer ou continuer.

Malgré ce message, j'ai accès à tout sur mon pc...bizarre bizarre ?

Voici le rapport the avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\System.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.