Infecté avecWin32.Monder.gen

  Bonjour,

Télécharge OTScanIt2.exe sur ton Bureau, et fais un double clic dessus pour extraire les fichiers. Cela va créer un dossier nommé OTScanIt2 sur ton Bureau.

N.B : Si pendant le téléchargement et/ou l’installation tu reçois une alerte de ton antivirus, ignore-là. Certains composants de OTscanIT peuvent être détectés comme un virus par certains antivirus. Pense aussi à désactiver tes protections résidentes durant la procédure.

Note : Vous devez avoir ouvert une session avec un compte ayant les droits Administrateur pour exécuter ce programme.

Ferme TOUS LES AUTRES PROGRAMMES et laisse travailler OTscanIT2.

Ouvre le dossier OTScanIt2 et fais un double clic sur OTScanIt2.exe pour lancer le programme (si tu es sous Windows Vista, fais un clic droit sur le programme et choisis Exécuter en tant qu'Administrateur).

Sous "File Age" en haut, clique sur le menu déroulant et sélectionne "90 days".

Sous Additional Scans coche la case située devant les éléments suivants afin de les sélectionner : Reg - ColumnHandlers, Reg - Desktop Components, Reg - Disabled MS Config Items, Reg - File Associations, Reg - NetSvcs, Reg - Protocol Filters, Reg - Protocol Handlers, Reg - SafeBoot Minimal, Reg - SafeBoot Network, Reg - Session Manager Settings, Reg - Winsock2 Catalogs, File - Lop Check, File - Purity Scan, Files - Signature Check, and Evnt - EventViewer Logs ( Last 10 Errors).

Sous "Rootkit search", sélectionne "Yes".

Sous "Custom Scans", copie et colle la sélection ci-dessous :

%systemroot%\Prefetch\*.* /s
%systemroot%\system32\drivers\*.dat
%systemroot%\Temp\bca4e2da.$$$
%systemroot%\Temp\ed47fa.$
%systemroot%\Temp\fa56d7ec.$$$
%systemroot%\System32\antiwpa.dll
%ProgramFiles%\*crack*.
%ProgramFiles%\*keygen*.
%systemDrive%\*crack*.
%systemDrive%\*keygen*.
%systemDrive%\*.zip
%systemDrive%\*.rar
%systemDrive%\*.exe
%ProgramFiles%\*.zip
%ProgramFiles%\*.rar
%ProgramFiles%\*.exe
%ProgramFiles%\Common Files\*bak*.
%systemroot%\SYSTEM32\*bak*.
%ProgramFiles%\*bak*.

Ne modifie aucun autre paramètre.

Ensuite, cliquez sur le bouton Run Scan dans la barre d'outils.

Laissez le programme tourner sans intervenir.

Lorsque l'analyse est terminée le Bloc-notes va s'ouvrir pour afficher le fichier rapport.

Cliquez sur le menu Format et vérifiez que Retour automatique à la ligne n'est pas coché. S'il l'est, cliquez dessus afin de le décocher.

Upload-moi le rapport sur mediafire. Ne le poste pas sur le forum !

Uploader un fichier sur mediafire :

Rends-toi sur ce lien : http://www.mediafire.com/

Clique en haut sur "Upload files To Media fire". Choisis ensuite "I want to upload without an account"

Une fenêtre de ton explorateur windows va s'ouvrir. Navigue jusqu'au rapport que je te demande d'uploader, sélectionne-le puis clique sur "ouvrir".

Clique ensuite sur "Upload".

A droite de l'écran, choisis : "upload to a new folder". Laisse le nom par défaut ( = la date )

Valide et laisse l'upload se faire.

Clique sur "Vieuw uploaded file" et copie-moi l'url ( = le lien ) du nouvel onglet ou de la nouvelle fenêtre qui va s'ouvrir dans ton prochain message. Ainsi, je pourrais télécharger le rapport demandé.

 

Le lien que tu m'as demandé .............. Merci

http://www.mediafire.com/?sharekey=08ecc78c6c92c45391b2...

Re,

1) On va maintenant devoir modifier le registre. Modifier le registre peut se révéler être très dangereux, c'est pourquoi nous allons créer une sauvegarde du registre avant d'effectuer nos modifications. Ainsi, en cas de souci, il n'y aura qu'à restaurer.

Merci de procéder EXACTEMENT comme décrit ci-dessous :

Télécharge ERUNT
( ERUNT = Emergency Recovery Utility NT, c'est un programme gratuit qui te permet de conserver une sauvegarde complète de ta base de registre et de la restaurer quand cela s'avère nécessaire )

Installe ERUNT en suivant les instructions suivantes
( suis les directives d'installation par défaut, mais dis non quand on te demande d'ajouter ERUNT au startup folder ( dossier start up ), d'autant plus que si tu le souhaites tu pourras ajouter cette option ultérieurement )

Lance ERUNT ( soit en double-cliquant sur l'icône présente sur ton bureau soit en choisissant de lancer le programme en fin d'installation )

Choisis un emplacement pour la sauvegarde ( l'emplacement par défaut est : C:\WINDOWS\ERDNT ce qui est acceptable ).

Assure-toi que les deux premières cases suivantes soient bien cochées !!!

Clique sur OK

Clique sur YES pour créer le dossier de sauvegarde.


2) Ouvre le dossier OTScanIt2 et fais un double clic sur OTScanIt2.exe pour lancer le programme (si tu es sous Windows Vista, fais un clic droit sur le programme et choisis Exécuter en tant qu'Administrateur).

Fais un copier/coller des informations de la zone Code ci-dessous dans la zone de saisie intitulée "Paste fix here" puis cliquez sur le bouton Run Fix.

[Kill Explorer]
[Unregister Dlls]
[Registry - Safe List]
< Internet Explorer Settings [HKEY_CURRENT_USER\] > ->
YN -> HKEY_CURRENT_USER\: SearchURL\\"" -> http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
< Run [HKEY_CURRENT_USER\] > -> HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
YY -> "WhenUSave" -> %ProgramFiles%\Save\Save.exe ["C:\Program Files\Save\Save.exe"]
< Winlogon\Notify settings [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
YN -> rqrpppq ->
< ShellExecuteHooks [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
YN -> "{8E3FBDE2-7DBD-4040-85D9-29BBC559C129}" [HKLM] -> Reg Error: Key does not exist or could not be opened. []
< LSA Authentication Packages [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\Authentication Packages
*LSA Authentication Packages* -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\Authentication Packages
YY -> C:\WINDOWS\system32\gebyv.dll -> %SystemRoot%\system32\gebyv.dll
< LSA Authentication Packages [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\Authentication Packages
< Standard Profile Authorized Applications List > -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
YN -> "C:\Documents and Settings\Michel\Local Settings\Temp\Rar$EX00.672\eMule0.47c\emule.exe" -> C:\Documents and Settings\Michel\Local Settings\Temp\Rar$EX00.672\eMule0.47c\emule.exe [C:\Documents and Settings\Michel\Local Settings\Temp\Rar$EX00.672\eMule0.47c\emule.exe:*:Enabled:eMule]
YN -> "C:\Documents and Settings\Michel\Local Settings\Temp\Rar$EX03.672\Active Webcam 4.4 Fixed Cracked-Tsrh\WebCam.exe" -> C:\Documents and Settings\Michel\Local Settings\Temp\Rar$EX03.672\Active Webcam 4.4 Fixed Cracked-Tsrh\WebCam.exe [C:\Documents and Settings\Michel\Local Settings\Temp\Rar$EX03.672\Active Webcam 4.4 Fixed Cracked-Tsrh\WebCam.exe:*:Enabled:Active WebCam]
YN -> "C:\Documents and Settings\Michel\Local Settings\Temp\Rar$EX03.704\eMule0.47c\emule.exe" -> C:\Documents and Settings\Michel\Local Settings\Temp\Rar$EX03.704\eMule0.47c\emule.exe [C:\Documents and Settings\Michel\Local Settings\Temp\Rar$EX03.704\eMule0.47c\emule.exe:*:Enabled:eMule]
[Files/Folders - Created Within 90 Days]
NY -> 7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp
[Files/Folders - Modified Within 90 Days]
NY -> 7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp
NY -> 1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp
NY -> qmgr0.dat -> C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
NY -> qmgr1.dat -> C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
NY -> 26 C:\Documents and Settings\Michel\Local Settings\Temp\*.tmp files -> C:\Documents and Settings\Michel\Local Settings\Temp\*.tmp
[Purity]
[Empty Temp Folders]
[Start Explorer]
[Reboot]

L'exécution devrait être très rapide. Lorsque la correction est terminée, soit tu veras un message t'annonçant que c'est fini (finished), soit tu seras invité à faire redémarrer le PC pour terminer l'exécution. Si c'est fini, clique sur le bouton Ok et le Bloc-notes va s'ouvrir pour afficher un rapport de toutes les actions réalisées. Envoie-moi ces informations en réponse.

Si un redémarrage est nécessaire, clique sur le bouton "Yes" pour faire redémarrer la machine. Après ce redémarrage, OTScanIt2 va finir de déplacer les fichiers qui ne pouvaient pas l'être précédemment, puis le Bloc-notes va s'ouvrir et afficher à ce moment-là les résultats finaux. Envoie-moi ces informations en réponse.

3) [~]Aller dans poste de travail/outils/option des dossiers/affichage/afficher les fichiers et dossiers cachés/Appliquer - - > OK
[~]Aller dans poste de travail/outils/option des dossiers/affichage/décocher masquer les fichiers protégés du système d'exploitation./Appliquer - - > OK
Tu recocheras après.

[~] Poste de travail/outils/option des dossiers/affichage/décocher masquer les extensions dont le type est connu./Appliquer - - > OK

Puis :

Rends toi sur ce lien : Virus Total

Clique sur Parcourir

Rends toi jusque sur ce fichier si tu le trouves :

C:\WINDOWS\temp\gis128ae22\2.4.1368.5602\ci.dll

Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.

Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.

Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté

Une nouvelle fenêtre de ton navigateur va apparaître

Clique alors sur cette image :

Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier

Enfin colle le résultat dans ta prochaine réponse.
Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

 

Bonjour,

Le lien en réponse du point N°2 =
http://www.mediafire.com/?sharekey=08ecc78c6c92c45391b2...

Concernant le point N°3 =
Pas trouvé de fichier c:\windows\temp\gis128ae22\2.4.1368.5602\ci.dll !!!!!!!!

Dans l'attente .........

Re,

N'upload pas de rapports sur mediafire si je ne t'en fais pas la demande. Merci  

1) Télécharge MalwareByte's Anti-Malware sur ton Bureau.
Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.
AIDE : Redémarrer en mode sans échec

Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".

Afin de lancer la recherche, clic sur"Rechercher".

Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
-- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
-- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

AIDE : Tuto en images sur MBAM

2) ~Fais une analyse antivirus en ligne sur le site de Kaspersky
http://www.kaspersky.com/kos/eng/partner/default/kavweb...

Clique sur Accept

Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.

clique une nouvelle fois sur "Accept"

Les bases de mises à jour vont s'installer, patiente un moment

Clique sur Next.

Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera. Et poste-moi le rapport que tu obtiens.

3) Télécharge Lop S&D.exe (d’ Eric 71 & Angeldark) sur ton bureau.

Double-clique dessus pour lancer l'installation

Puis double-clique sur le raccourci Lop S&D présent sur ton bureau (Si tu es sous Vista, clique droit -> exécuter en tant qu'admin)

Séléctionne la langue souhaitée , puis choisis l'Option 1 (Recherche)

Patiente jusqu'à la fin du scan

Poste le rapport généré (C:\lopR.txt)

[#008040]Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "Nouvelle tâche (exécuter)"
Tapes explorer et valide. Cela te fera apparaitre ton bureau

 

Bonjour,

De retour de WE, ci-dessous les résultats attendus :

Malewarebyte :

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1463
Windows 5.1.2600 Service Pack 2

05/12/2008 11:35:57
mbam-log-2008-12-05 (11-35-57).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 215574
Temps écoulé: 45 minute(s), 45 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 28
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 33
Fichier(s) infecté(s): 77

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{df901432-1b9f-4f5b-9e56-301c553f9095} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{43382522-a846-46f4-ac57-1f71ae6e1086} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{572fb162-c0ba-4edf-8cff-e3846153b9b0} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{72a836d1-bc00-43c0-a941-17960e4fb842} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a9aae1ab-9688-42c5-86f5-c12f6b9015ad} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8e3fbde2-7dbd-4040-85d9-29bbc559c129} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a93c934-025b-4c3a-b38e-9654a7003239} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8e3fbde2-7dbd-4040-85d9-29bbc559c129} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\jkwslist (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SaveNow (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\ACM.DLL (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\searchassistant (Adware.Starware) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\Starware354 (Adware.Starware) -> Quarantined and deleted successfully.
C:\Program Files\Starware354\bin (Adware.Starware) -> Quarantined and deleted successfully.
C:\Program Files\Starware354\icons (Adware.Starware) -> Quarantined and deleted successfully.
C:\Program Files\Save (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354 (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\buttons (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\contexts (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\SimpleUpdate (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354 (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\BrowserSearch (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Configurator (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\ErrorSearch (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Games (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Games\images (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Games\images\active (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Games\images\default (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Layouts (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Manager (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Movies (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Movies\images (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Movies\images\active (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Movies\images\default (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\RecipeSearch_Foreign (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Recipes_Foreign (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\RelatedSearch (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\ScreensaversMarketingSitePager (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\ScreensaversMarketingSitePager\images (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\ScreensaversMarketingSitePager\images\active (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\ScreensaversMarketingSitePager\images\default (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Toolbar (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\ToolbarLogo (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\ToolbarSearch (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\TravelSearch (Adware.Starware) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\Save\ACM.dll (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\f.exe (Spyware.FirePass) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{787DC6C3-51B9-452C-97E3-A31D31627396}\RP600\A0127088.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\_OTScanIt\MovedFiles\12042008_113314\C_Program Files\Save\Save.exe (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Program Files\Starware354\brand.bmp (Adware.Starware) -> Quarantined and deleted successfully.
C:\Program Files\Starware354\Starware354Config.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Program Files\Starware354\Starware354Uninstall.exe (Adware.Starware) -> Quarantined and deleted successfully.
C:\Program Files\Starware354\icons\star_16.ico (Adware.Starware) -> Quarantined and deleted successfully.
C:\Program Files\Save\ffext.mod (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Program Files\Save\save.db (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Program Files\Save\save.htm (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Program Files\Save\SaveUninst.exe (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Program Files\Save\store.db (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\buttons\FindIt.bmp (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\buttons\FindItHot.bmp (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\buttons\findithotxp.png (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\buttons\finditxp.png (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\buttons\Highlight.bmp (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\buttons\HighlightHot.bmp (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\buttons\highlighthotxp.png (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\buttons\highlightxp.png (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\buttons\recipes.bmp (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\buttons\recipes.png (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\buttons\recipes_foreign_feed.bmp (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\buttons\recipes_foreign_feed.png (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\buttons\starware_toolbar_icon.bmp (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\contexts\error.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\contexts\Related.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\contexts\Travel.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\SimpleUpdate\ProductMessagingConfig.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\SimpleUpdate\ProductMessagingConfig.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\SimpleUpdate\SimpleUpdateConfig.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\SimpleUpdate\SimpleUpdateConfig.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\SimpleUpdate\TimerManagerConfig.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Starware354\SimpleUpdate\TimerManagerConfig.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\BrowserSearch\BrowserSearch.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\BrowserSearch\BrowserSearch.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Configurator\Configurator.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Configurator\Configurator.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\ErrorSearch\ErrorSearchOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\ErrorSearch\ErrorSearchOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Games\GamesOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Games\GamesOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Games\images\active\Games0.bmp (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Layouts\ToolbarLayout.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Layouts\ToolbarLayout.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Manager\ManagerOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Manager\ManagerOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Movies\MoviesOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Movies\MoviesOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Movies\images\active\Movies0.bmp (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\RecipeSearch_Foreign\RecipeSearch_ForeignOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\RecipeSearch_Foreign\RecipeSearch_ForeignOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Recipes_Foreign\Recipes_ForeignOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Recipes_Foreign\Recipes_ForeignOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\RelatedSearch\RelatedSearchOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\RelatedSearch\RelatedSearchOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\ScreensaversMarketingSitePager\ScreensaversMarketingSitePagerOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\ScreensaversMarketingSitePager\ScreensaversMarketingSitePagerOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\ScreensaversMarketingSitePager\images\active\ScreensaversMarketingSitePager0.bmp (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Toolbar\TBProductsOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\Toolbar\TBProductsOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\ToolbarLogo\ToolbarLogoOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\ToolbarLogo\ToolbarLogoOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\ToolbarSearch\ToolbarSearchOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\ToolbarSearch\ToolbarSearchOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\TravelSearch\TravelSearchOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie\Application Data\Starware354\TravelSearch\TravelSearchOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
C:\Program Files\A.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\Program Files\B.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMe7eef818.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\crevpq_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\elxjaw_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\crevpq_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\elxjaw_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.

Kaspersky :

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Sunday, December 7, 2008
Operating System: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Sunday, December 07, 2008 09:20:51
Records in database: 1441946
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
Z:\

Scan statistics:
Files scanned: 154624
Threat name: 2
Infected objects: 2
Suspicious objects: 0
Duration of the scan: 02:13:27


File name / Threat name / Threats count
C:\Documents and Settings\Michel\Mes documents\Michel-Hinniger\install_wrar380fr.sfx.exe Infected: Backdoor.Win32.Small.gus 1
C:\Program Files\DAEMON Tools\SetupDTSB.exe Infected: not-a-virus:WebToolbar.Win32.WhenU.a 1

The selected area was scanned.

LOP S&D


--------------------\\ Lop S&D 4.2.4-9c XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.06GHz )
BIOS : Default System BIOS
USER : Michel ( Administrator )
BOOT : Normal boot
Antivirus : Kaspersky Anti-Virus 7.0.1.321 (Not Activated)
C:\ (Local Disk) - NTFS - Total:90 Go (Free:50 Go)
D:\ (Local Disk) - FAT32 - Total:91 Go (Free:27 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)
G:\ (USB)
H:\ (USB)
I:\ (USB)
J:\ (USB)
Z:\ (Network Disk) - FAT - Total:45 Go (Free:6 Go)

"C:\Lop SD" ( MAJ : 01-11-2008|16:30 )
Option : [1] ( 07/12/2008|21:35 )

--------------------\\ Listing des dossiers dans APPLIC~1

[12/02/2006|00:08] C:\DOCUME~1\ADMINI~1\APPLIC~1\Identities
[06/10/2007|16:08] C:\DOCUME~1\ADMINI~1\APPLIC~1\Macromedia
[01/12/2007|18:20] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft
[22/12/2007|20:05] C:\DOCUME~1\ADMINI~1\APPLIC~1\Mozilla
[16/12/2005|02:23] C:\DOCUME~1\ADMINI~1\APPLIC~1\Symantec

[31/10/2008|23:17] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[22/10/2006|09:33] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
[18/02/2008|09:29] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avery
[28/12/2007|14:15] C:\DOCUME~1\ALLUSE~1\APPLIC~1\BVRP Software
[11/06/2006|21:00] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CyberLink
[10/06/2006|23:47] C:\DOCUME~1\ALLUSE~1\APPLIC~1\eConsole
[28/12/2007|14:28] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Global Software Publishing
[07/12/2008|15:37] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google Updater
[10/11/2008|17:19] C:\DOCUME~1\ALLUSE~1\APPLIC~1\hps
[05/12/2008|11:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kaspersky Lab
[21/01/2008|09:41] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kaspersky Lab Setup Files
[07/01/2007|16:17] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Macromedia
[05/12/2008|09:30] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
[29/11/2008|17:08] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[11/02/2007|20:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MumboJumbo
[25/11/2006|16:53] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MyCompany
[17/08/2006|21:24] C:\DOCUME~1\ALLUSE~1\APPLIC~1\NtiDvdCopy
[17/08/2006|17:53] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Oberongames
[01/03/2008|15:25] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Pinnacle
[18/01/2008|20:44] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Pinnacle Studio
[22/09/2006|17:35] C:\DOCUME~1\ALLUSE~1\APPLIC~1\PlayFirst
[27/10/2007|22:04] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype
[17/09/2008|08:18] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
[18/08/2006|19:52] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec
[22/12/2007|21:02] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
[06/05/2007|15:21] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Trymedia
[11/06/2006|21:24] C:\DOCUME~1\ALLUSE~1\APPLIC~1\UDL
[17/07/2006|09:05] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
[24/02/2007|16:54] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Live Toolbar
[14/04/2008|08:47] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller
[22/07/2007|14:45] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Yahoo! Companion
[13/05/2007|16:54] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zylom

[30/03/2008|16:47] C:\DOCUME~1\CCILE~1\APPLIC~1\Adobe
[12/08/2006|15:11] C:\DOCUME~1\CCILE~1\APPLIC~1\AdobeUM
[27/10/2006|13:49] C:\DOCUME~1\CCILE~1\APPLIC~1\CyberLink
[04/02/2007|16:04] C:\DOCUME~1\CCILE~1\APPLIC~1\EoRezo
[10/07/2006|13:49] C:\DOCUME~1\CCILE~1\APPLIC~1\Help
[12/02/2006|00:08] C:\DOCUME~1\CCILE~1\APPLIC~1\Identities
[03/12/2006|16:14] C:\DOCUME~1\CCILE~1\APPLIC~1\Macromedia
[06/08/2007|17:39] C:\DOCUME~1\CCILE~1\APPLIC~1\Microsoft
[17/06/2006|11:32] C:\DOCUME~1\CCILE~1\APPLIC~1\Mozilla
[04/11/2007|21:22] C:\DOCUME~1\CCILE~1\APPLIC~1\Real
[10/07/2006|13:41] C:\DOCUME~1\CCILE~1\APPLIC~1\Sun
[16/12/2005|02:23] C:\DOCUME~1\CCILE~1\APPLIC~1\Symantec
[06/08/2007|17:52] C:\DOCUME~1\CCILE~1\APPLIC~1\Talkback
[30/06/2006|20:28] C:\DOCUME~1\CCILE~1\APPLIC~1\vlc

[12/02/2006|00:08] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Identities
[06/10/2007|16:08] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Macromedia
[01/12/2007|18:20] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft
[16/12/2005|02:23] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Symantec

[26/11/2006|12:02] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft
[22/07/2006|16:10] C:\DOCUME~1\LOCALS~1\APPLIC~1\Mozilla

[30/07/2006|12:08] C:\DOCUME~1\Manou\APPLIC~1\Adobe
[30/07/2006|12:08] C:\DOCUME~1\Manou\APPLIC~1\AdobeUM
[24/02/2007|16:05] C:\DOCUME~1\Manou\APPLIC~1\EoRezo
[12/02/2006|00:08] C:\DOCUME~1\Manou\APPLIC~1\Identities
[30/07/2006|11:02] C:\DOCUME~1\Manou\APPLIC~1\Macromedia
[20/05/2007|14:34] C:\DOCUME~1\Manou\APPLIC~1\Microsoft
[30/07/2006|12:06] C:\DOCUME~1\Manou\APPLIC~1\Mozilla
[29/10/2006|16:35] C:\DOCUME~1\Manou\APPLIC~1\Real
[16/12/2005|02:23] C:\DOCUME~1\Manou\APPLIC~1\Symantec

[07/10/2007|18:25] C:\DOCUME~1\Marie\APPLIC~1\7Wonders
[25/03/2008|17:53] C:\DOCUME~1\Marie\APPLIC~1\Adobe
[18/10/2006|13:53] C:\DOCUME~1\Marie\APPLIC~1\AdobeUM
[19/02/2007|11:34] C:\DOCUME~1\Marie\APPLIC~1\Apple Computer
[25/10/2006|08:02] C:\DOCUME~1\Marie\APPLIC~1\CyberLink
[17/06/2007|18:08] C:\DOCUME~1\Marie\APPLIC~1\dvdcss
[17/03/2007|19:24] C:\DOCUME~1\Marie\APPLIC~1\EoRezo
[11/11/2008|16:16] C:\DOCUME~1\Marie\APPLIC~1\EPSON
[19/12/2007|15:12] C:\DOCUME~1\Marie\APPLIC~1\FrostWire
[01/01/2007|20:16] C:\DOCUME~1\Marie\APPLIC~1\funkitron
[25/07/2007|09:17] C:\DOCUME~1\Marie\APPLIC~1\Google
[17/06/2006|20:28] C:\DOCUME~1\Marie\APPLIC~1\Help
[12/02/2006|00:08] C:\DOCUME~1\Marie\APPLIC~1\Identities
[28/12/2007|14:15] C:\DOCUME~1\Marie\APPLIC~1\InstallShield
[19/12/2007|15:12] C:\DOCUME~1\Marie\APPLIC~1\LimeWire
[12/06/2006|08:16] C:\DOCUME~1\Marie\APPLIC~1\Macromedia
[01/01/2007|20:21] C:\DOCUME~1\Marie\APPLIC~1\Magic Match
[17/04/2008|14:10] C:\DOCUME~1\Marie\APPLIC~1\Microsoft
[23/06/2008|17:37] C:\DOCUME~1\Marie\APPLIC~1\Mozilla
[10/11/2006|17:27] C:\DOCUME~1\Marie\APPLIC~1\Opera
[25/03/2008|22:17] C:\DOCUME~1\Marie\APPLIC~1\Real
[29/10/2007|09:13] C:\DOCUME~1\Marie\APPLIC~1\Skype
[15/11/2008|17:38] C:\DOCUME~1\Marie\APPLIC~1\Studio-Scrap
[06/09/2006|16:58] C:\DOCUME~1\Marie\APPLIC~1\Sun
[16/12/2005|02:23] C:\DOCUME~1\Marie\APPLIC~1\Symantec
[04/02/2007|22:16] C:\DOCUME~1\Marie\APPLIC~1\Talkback
[16/06/2006|20:53] C:\DOCUME~1\Marie\APPLIC~1\vlc

[31/10/2008|23:20] C:\DOCUME~1\Michel\APPLIC~1\Adobe
[27/06/2008|17:37] C:\DOCUME~1\Michel\APPLIC~1\AdobeUM
[03/08/2006|10:02] C:\DOCUME~1\Michel\APPLIC~1\Apple Computer
[15/02/2008|18:13] C:\DOCUME~1\Michel\APPLIC~1\ArcSoft
[17/09/2006|10:33] C:\DOCUME~1\Michel\APPLIC~1\CyberLink
[18/03/2007|12:19] C:\DOCUME~1\Michel\APPLIC~1\EoRezo
[09/11/2008|11:18] C:\DOCUME~1\Michel\APPLIC~1\EPSON
[22/12/2007|21:07] C:\DOCUME~1\Michel\APPLIC~1\FrostWire
[20/09/2008|10:09] C:\DOCUME~1\Michel\APPLIC~1\GARMIN
[21/10/2006|15:40] C:\DOCUME~1\Michel\APPLIC~1\Google
[07/07/2006|16:57] C:\DOCUME~1\Michel\APPLIC~1\Help
[12/02/2006|00:08] C:\DOCUME~1\Michel\APPLIC~1\Identities
[01/03/2008|15:09] C:\DOCUME~1\Michel\APPLIC~1\InstallShield
[23/05/2008|16:09] C:\DOCUME~1\Michel\APPLIC~1\Juniper Networks
[09/02/2007|15:34] C:\DOCUME~1\Michel\APPLIC~1\K9
[07/01/2007|16:23] C:\DOCUME~1\Michel\APPLIC~1\Macromedia
[05/12/2008|09:30] C:\DOCUME~1\Michel\APPLIC~1\Malwarebytes
[16/03/2007|19:05] C:\DOCUME~1\Michel\APPLIC~1\Microsoft
[23/06/2008|08:30] C:\DOCUME~1\Michel\APPLIC~1\Mozilla
[25/06/2006|17:26] C:\DOCUME~1\Michel\APPLIC~1\MSNInstaller
[17/09/2008|10:03] C:\DOCUME~1\Michel\APPLIC~1\OnlineStorage
[04/11/2006|17:43] C:\DOCUME~1\Michel\APPLIC~1\Opera
[22/09/2006|17:35] C:\DOCUME~1\Michel\APPLIC~1\PlayFirst
[21/10/2006|15:23] C:\DOCUME~1\Michel\APPLIC~1\Real
[07/07/2008|19:59] C:\DOCUME~1\Michel\APPLIC~1\Skype
[07/07/2008|15:04] C:\DOCUME~1\Michel\APPLIC~1\skypePM
[22/07/2007|15:32] C:\DOCUME~1\Michel\APPLIC~1\Snapfish
[03/12/2008|12:15] C:\DOCUME~1\Michel\APPLIC~1\Studio-Scrap
[27/10/2006|22:00] C:\DOCUME~1\Michel\APPLIC~1\Sun
[11/06/2006|12:52] C:\DOCUME~1\Michel\APPLIC~1\Symantec
[05/02/2007|09:20] C:\DOCUME~1\Michel\APPLIC~1\Talkback
[17/06/2006|16:36] C:\DOCUME~1\Michel\APPLIC~1\vlc

[01/12/2007|18:20] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

[07/12/2008 21:01][--a------] C:\WINDOWS\tasks\GoogleUpdateTaskUser.job
[07/12/2008 21:32][--a------] C:\WINDOWS\tasks\V‚rifier les mises … jour de Windows Live Toolbar.job
[03/12/2008 17:50][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[05/12/2008 11:40][--ah-----] C:\WINDOWS\tasks\SA.DAT
[05/08/2004 06:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Listing des dossiers dans C:\Program Files

[02/12/2006|13:06] C:\Program Files\ABBYY FineReader 6.0 Sprint
[10/06/2006|18:08] C:\Program Files\Acer
[02/11/2008|11:06] C:\Program Files\Adobe
[29/07/2006|09:45] C:\Program Files\ahead
[18/08/2006|19:57] C:\Program Files\Alwil Software
[22/10/2006|09:32] C:\Program Files\Apple Software Update
[17/09/2006|11:17] C:\Program Files\Astase
[18/02/2008|09:29] C:\Program Files\Avery Dennison
[06/08/2007|17:21] C:\Program Files\BFG
[15/07/2007|18:12] C:\Program Files\CCleaner
[31/12/2006|10:28] C:\Program Files\CDex_170b2
[24/12/2006|10:13] C:\Program Files\Cobian Backup 8
[16/12/2005|02:06] C:\Program Files\ComPlus Applications
[17/06/2006|20:36] C:\Program Files\CyberLink
[17/06/2006|20:36] C:\Program Files\CyberLink DVD Solution
[14/01/2008|10:24] C:\Program Files\DAEMON Tools
[03/12/2008|18:42] C:\Program Files\eMule
[18/03/2007|12:19] C:\Program Files\eoRezo
[11/06/2006|21:23] C:\Program Files\epson
[04/12/2008|11:30] C:\Program Files\ERUNT
[21/06/2008|09:41] C:\Program Files\Fichiers communs
[09/11/2007|17:18] C:\Program Files\Gamenext
[20/09/2008|10:09] C:\Program Files\Garmin
[06/10/2007|16:08] C:\Program Files\Google
[28/12/2007|14:20] C:\Program Files\Happyneuron
[23/12/2006|12:37] C:\Program Files\IncrediMail
[01/12/2008|10:39] C:\Program Files\InstallShield Installation Information
[15/10/2008|21:06] C:\Program Files\Internet Explorer
[11/06/2006|20:31] C:\Program Files\Inventel
[17/03/2007|18:07] C:\Program Files\IrfanView
[24/11/2008|09:41] C:\Program Files\Java
[10/11/2007|18:47] C:\Program Files\Jewel Of Atlantis
[20/01/2008|20:56] C:\Program Files\Kaspersky Lab
[09/02/2007|15:28] C:\Program Files\KeirNet
[17/02/2008|17:52] C:\Program Files\Lesaccros2-Service Photo
[20/12/2007|12:14] C:\Program Files\LimeWire
[07/01/2007|16:17] C:\Program Files\Macromedia
[12/01/2007|18:22] C:\Program Files\Magentic
[05/12/2008|09:30] C:\Program Files\Malwarebytes' Anti-Malware
[20/10/2008|09:26] C:\Program Files\Mares
[17/09/2008|09:51] C:\Program Files\mes donn‚es
[17/08/2008|16:13] C:\Program Files\Messenger
[09/05/2007|09:01] C:\Program Files\Microsoft CAPICOM 2.1.0.2
[12/02/2006|00:10] C:\Program Files\microsoft frontpage
[02/03/2007|17:40] C:\Program Files\Microsoft Games
[23/06/2007|11:47] C:\Program Files\Microsoft Money
[29/06/2007|19:34] C:\Program Files\Microsoft Money 2005
[11/06/2006|12:55] C:\Program Files\Microsoft Office
[11/06/2006|12:55] C:\Program Files\Microsoft Visual Studio
[15/02/2008|15:57] C:\Program Files\Movie Maker
[07/12/2008|19:14] C:\Program Files\Mozilla Firefox
[25/06/2006|17:25] C:\Program Files\MSN
[12/02/2006|00:10] C:\Program Files\MSN Gaming Zone
[18/11/2006|00:06] C:\Program Files\MSXML 4.0
[20/10/2008|09:26] C:\Program Files\National Instruments
[15/02/2008|15:54] C:\Program Files\NetMeeting
[10/06/2006|18:07] C:\Program Files\NewTech Infosystems
[12/02/2006|00:10] C:\Program Files\Online Services
[02/02/2007|17:26] C:\Program Files\Opera
[08/09/2006|10:49] C:\Program Files\orange
[15/02/2008|15:53] C:\Program Files\Outlook Express
[04/12/2008|15:10] C:\Program Files\PhotoFiltre Studio
[10/10/2008|17:56] C:\Program Files\Picasa2
[01/03/2008|15:23] C:\Program Files\Pinnacle
[04/12/2008|16:58] C:\Program Files\Popims
[26/01/2007|17:02] C:\Program Files\PopTray
[22/10/2006|09:33] C:\Program Files\QuickTime
[03/12/2006|16:14] C:\Program Files\Real
[12/02/2006|00:10] C:\Program Files\Realtek
[27/10/2008|09:43] C:\Program Files\SDM
[12/02/2006|00:10] C:\Program Files\Services en ligne
[17/11/2006|23:58] C:\Program Files\SimpleOCR
[27/10/2007|22:04] C:\Program Files\Skype
[23/12/2007|01:21] C:\Program Files\Spybot - Search & Destroy
[02/12/2008|19:29] C:\Program Files\Studio-Scrap
[10/11/2007|17:32] C:\Program Files\Suunto
[11/04/2008|16:58] C:\Program Files\Tracker Software
[03/12/2008|17:46] C:\Program Files\Trend Micro
[16/06/2006|20:50] C:\Program Files\VideoLAN
[11/10/2007|20:27] C:\Program Files\Virtual Villagers
[05/12/2008|11:42] C:\Program Files\Wanadoo
[14/04/2008|08:49] C:\Program Files\Windows Live
[01/12/2007|18:19] C:\Program Files\Windows Live Favorites
[01/12/2007|18:19] C:\Program Files\Windows Live Toolbar
[09/12/2006|19:48] C:\Program Files\Windows Media Connect 2
[15/02/2008|15:57] C:\Program Files\Windows Media Player
[15/02/2008|15:53] C:\Program Files\Windows NT
[16/12/2005|02:07] C:\Program Files\WindowsUpdate
[03/03/2007|18:08] C:\Program Files\WinLemm
[04/12/2008|18:04] C:\Program Files\WinRAR
[16/12/2006|16:16] C:\Program Files\WinZip
[12/02/2006|00:10] C:\Program Files\xerox
[15/07/2007|18:12] C:\Program Files\Yahoo!
[06/01/2007|18:28] C:\Program Files\Zuma Deluxe

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

[27/10/2007|11:08] C:\Program Files\Fichiers communs\{34DDCB2B-0BF3-1036-0113-060503170021}
[31/10/2008|23:16] C:\Program Files\Fichiers communs\Adobe
[10/06/2006|18:08] C:\Program Files\Fichiers communs\ArcSoft
[11/06/2006|12:55] C:\Program Files\Fichiers communs\Designer
[11/06/2006|21:27] C:\Program Files\Fichiers communs\InstallShield
[16/12/2005|02:21] C:\Program Files\Fichiers communs\Java
[07/01/2007|16:17] C:\Program Files\Fichiers communs\Macromedia
[10/11/2008|17:18] C:\Program Files\Fichiers communs\Microsoft Shared
[12/02/2006|00:09] C:\Program Files\Fichiers communs\MSSoap
[16/12/2005|02:20] C:\Program Files\Fichiers communs\muvee Technologies
[16/12/2005|02:19] C:\Program Files\Fichiers communs\NewTech Infosystems
[12/02/2006|00:09] C:\Program Files\Fichiers communs\ODBC
[15/09/2007|14:36] C:\Program Files\Fichiers communs\Real
[12/02/2006|00:09] C:\Program Files\Fichiers communs\Services
[26/03/2008|16:29] C:\Program Files\Fichiers communs\Skype
[12/02/2006|00:09] C:\Program Files\Fichiers communs\SpeechEngines
[15/02/2008|15:53] C:\Program Files\Fichiers communs\System
[14/04/2008|08:48] C:\Program Files\Fichiers communs\WindowsLiveInstaller
[15/09/2007|14:36] C:\Program Files\Fichiers communs\xing shared

--------------------\\ Process

( 52 Processes )

... OK !

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Verification du Registre

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE


--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-07 21:39:28
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Recherche d'autres infections

C:\WINDOWS\Pack.epk
==> EGDACCESS <==

C:\WINDOWS\system32\lqixgkfc.ini
C:\WINDOWS\system32\lqixgkfc.ini2
C:\WINDOWS\system32\vybeg.ini
C:\WINDOWS\system32\vybeg.ini2
==> VUNDO <==

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\Michel\Recent\Photofiltre Studio 7.02 Et Keygen Fr.rar.lnk


[F:962][D:16]-> C:\DOCUME~1\Michel\LOCALS~1\Temp
[F:2][D:0]-> C:\DOCUME~1\Michel\Cookies
[F:119][D:4]-> C:\DOCUME~1\Michel\LOCALS~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 07/12/2008|21:41 - Option : [1]

--------------------\\ Fin du rapport a 21:41:50

Dans l'attente ................... merci !

Re,

On dirait que ton PC est encore plus pourri qu'au début de la désinfection...   Comme si un crack piégé avait été ouvert...

[#ff0000]! Désactive tes protections résidentes (antivirus, Spybot-S&D, etc.) ![/#f]

Télécharge ComboFix ([#ff0000]sUBs[/#f]) sur ton Bureau.

Double clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.

Il va te demander d'installer la console de récupération : accepte.

Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\combofix.txt*) dans ta prochaine réponse.


AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
* le nom de la partition peut changer

 

Bonjour,

Rapport généré par ComboFix éxécuté ce jour.

ComboFix 08-12-12.02 - Michel 2008-12-13 10:18:27.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.383.110 [GMT 1:00]
Lancé depuis: c:\documents and settings\Michel\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Fichiers communs\{34DDC~1
c:\windows\Downloaded Program Files\ODCTOOLS
c:\windows\Downloaded Program Files\ODCTOOLS\ef6b26db-344d-4ad3-ba24-aca0bdaa999a.cab
c:\windows\Downloaded Program Files\ODCTOOLS\f04d289f-c60a-422b-8396-6c372047042e.cab
c:\windows\pack.epk
c:\windows\system32\aohuoowf.ini
c:\windows\system32\bocjyidk.ini
c:\windows\system32\bscaqsxa.ini
c:\windows\system32\djmgtqgy.ini
c:\windows\system32\euanhehk.ini
c:\windows\system32\fyteqmdi.ini
c:\windows\system32\gmmhbefg.ini
c:\windows\system32\gnxtdvfj.ini
c:\windows\system32\hrhkceei.ini
c:\windows\system32\jfjxxpnh.ini
c:\windows\system32\kqndxeaf.ini
c:\windows\system32\ktxapsvv.ini
c:\windows\system32\lqixgkfc.ini
c:\windows\system32\lqixgkfc.ini2
c:\windows\system32\ltxhtloc.ini
c:\windows\system32\mbgwbtxx.ini
c:\windows\system32\nhivoqba.ini
c:\windows\system32\nhojgker.ini
c:\windows\system32\pubgcalr.ini
c:\windows\system32\qroivfyb.ini
c:\windows\system32\qxevsmdi.ini
c:\windows\system32\taskkill.exe
c:\windows\system32\tjhugavv.ini
c:\windows\system32\unsvchosts.lzma
c:\windows\system32\vybeg.ini
c:\windows\system32\vybeg.ini2
c:\windows\system32\wujsmopx.ini

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DOMAINSERVICE


((((((((((((((((((((((((((((( Fichiers créés du 2008-11-13 au 2008-12-13 ))))))))))))))))))))))))))))))))))))
.

2008-12-09 19:17 . 2008-12-09 21:08 <REP> d-------- c:\documents and settings\Marie\.jenny
2008-12-08 16:52 . 2008-12-08 16:52 <REP> d-------- c:\documents and settings\Marie\Application Data\OnlineStorage
2008-12-08 16:48 . 2008-12-08 16:48 22,016 --ahs---- C:\Thumbs.db
2008-12-07 21:34 . 2008-12-08 16:48 <REP> d-------- C:\Lop SD
2008-12-05 09:30 . 2008-12-05 09:30 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-05 09:30 . 2008-12-05 09:30 <REP> d-------- c:\documents and settings\Michel\Application Data\Malwarebytes
2008-12-05 09:30 . 2008-12-05 09:30 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-05 09:30 . 2008-12-03 19:54 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-05 09:30 . 2008-12-03 19:54 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-04 16:58 . 2008-12-04 16:58 <REP> d-------- c:\program files\Popims
2008-12-04 15:08 . 2008-12-04 15:10 <REP> d-------- c:\program files\PhotoFiltre Studio
2008-12-04 15:08 . 2008-12-04 15:08 45 ---h----- c:\windows\dace2455.dat
2008-12-04 11:30 . 2008-12-04 11:30 <REP> d-------- c:\program files\ERUNT
2008-12-03 18:56 . 2008-12-03 18:56 <REP> d-------- C:\_OTScanIt
2008-12-03 17:46 . 2008-12-03 17:46 <REP> d-------- c:\program files\Trend Micro
2008-12-01 18:20 . 2008-12-01 18:20 85,837 ---h----- C:\Miniatures.dat
2008-12-01 17:24 . 2008-12-02 12:08 <REP> d-------- c:\documents and settings\Michel\.jenny
2008-11-24 09:42 . 2008-11-24 09:41 410,976 --a------ c:\windows\system32\deploytk.dll
2008-11-21 17:39 . 2008-11-21 17:39 <REP> d-------- C:\Media

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-13 09:26 1,013,792 --sha-w c:\windows\system32\drivers\fidbox2.dat
2008-12-13 09:26 --------- d-----w c:\program files\Wanadoo
2008-12-13 09:24 20,031,008 --sha-w c:\windows\system32\drivers\fidbox.dat
2008-12-13 09:23 95,996 --sha-w c:\windows\system32\drivers\fidbox2.idx
2008-12-13 09:23 269,228 --sha-w c:\windows\system32\drivers\fidbox.idx
2008-12-13 08:52 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
2008-12-12 13:37 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater
2008-12-03 17:42 --------- d-----w c:\program files\eMule
2008-12-03 11:15 --------- d-----w c:\documents and settings\Michel\Application Data\Studio-Scrap
2008-12-02 18:29 --------- d-----w c:\program files\Studio-Scrap
2008-12-01 09:39 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-24 08:41 --------- d-----w c:\program files\Java
2008-11-17 14:27 7,168 --sha-w c:\program files\Thumbs.db
2008-11-15 16:38 --------- d-----w c:\documents and settings\Marie\Application Data\Studio-Scrap
2008-11-11 21:30 53,440 ----a-w c:\documents and settings\Marie\Application Data\GDIPFONTCACHEV1.DAT
2008-11-11 15:16 --------- d-----w c:\documents and settings\Marie\Application Data\EPSON
2008-11-10 16:19 --------- d-----w c:\documents and settings\All Users\Application Data\hps
2008-11-09 10:18 --------- d-----w c:\documents and settings\Michel\Application Data\EPSON
2008-10-31 22:16 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-10-27 08:43 --------- d-----w c:\program files\SDM
2008-10-24 17:29 53,440 ----a-w c:\documents and settings\Michel\Application Data\GDIPFONTCACHEV1.DAT
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-20 08:26 --------- d-----w c:\program files\National Instruments
2008-10-20 08:26 --------- d-----w c:\program files\Mares
2008-07-07 07:24 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat
2006-12-03 15:14 774,144 -c--a-w c:\program files\RngInterstitial.dll
2006-07-09 15:26 40,688 -c----w c:\documents and settings\Cécile\Application Data\GDIPFONTCACHEV1.DAT
2006-07-07 16:06 768 -c--a-w c:\program files\SDMV11DIVES.TPS
2006-07-07 16:06 768 -c--a-w c:\program files\SDMV10SIMPR.TPS
2006-07-07 16:06 768 -c--a-w c:\program files\SDMV10PROF.TPS
2006-07-07 16:06 1,280 -c--a-w c:\program files\SDMV13SIMDIVE.TPS
2006-06-30 08:15 172 -c----w c:\documents and settings\All Users\Application Data\puk.dat
2006-06-11 19:31 278,528 -c--a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
2004-08-09 21:30 40,960 -c--a-w c:\program files\Uninstall_CDS.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]
"LaunchList"="c:\program files\Pinnacle\Studio 11\LaunchList2.exe" [2007-03-21 145496]
"Google Update"="c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2008-09-05 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-24 136600]
"snpstd"="c:\windows\vsnpstd.exe" [2003-12-31 40960]
"RemoteControl"="c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-06-28 32768]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-09-01 282624]
"PinnacleDriverCheck"="c:\windows\system32\\PSDrvCheck.exe" [2004-03-11 406016]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"ntiMUI"="c:\program files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 45056]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"MediaSync"="c:\program files\Acer\Acer eConsole\MediaSync.exe" [2005-09-21 425984]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 397312]
"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2006-11-12 157592]
"Backup NOW! Scheduler"="c:\program files\NewTech Infosystems\NTI Backup NOW! 4\Schdlr32.exe" [2005-03-24 86016]
"AspireService"="c:\program files\Acer\Acer eMode Management\AspireService.exe" [2005-09-29 114688]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-12-18 227856]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-09-22 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2006-12-16 118784]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= vdrcodec.dll
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Java\\jre1.5.0_05\\bin\\javaw.exe"=
"c:\\Program Files\\Java\\jre1.5.0_08\\bin\\javaw.exe"=
"c:\\Program Files\\Java\\jre1.5.0_09\\bin\\javaw.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\WINDOWS\\system32\\rtcshare.exe"=
"c:\\Program Files\\NetMeeting\\conf.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"=
"c:\\Program Files\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"c:\\Program Files\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"c:\\Program Files\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"c:\\Program Files\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"c:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 7.0.1.321\\French\\setup.exe"=
"c:\\Program Files\\Fichiers communs\\NewTech Infosystems\\LiveUpdate\\LiveUpdate.exe"=
"c:\\Program Files\\Pinnacle\\Studio 11\\programs\\RM.exe"=
"c:\\Program Files\\Pinnacle\\Studio 11\\programs\\Studio.exe"=
"c:\\Program Files\\Pinnacle\\Studio 11\\programs\\PMSRegisterFile.exe"=
"c:\\Program Files\\Pinnacle\\Studio 11\\programs\\umi.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

R0 m5287;m5287;c:\windows\system32\drivers\m5287.sys [2005-02-05 85888]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2007-12-13 24592]
S3 511b1dd4-e86a-4f85-8301-c34b1f57eb1a;511b1dd4-e86a-4f85-8301-c34b1f57eb1a;\??\e:\player\cds300.dll []
S3 NiViPxiK;NiViPxiK;c:\windows\system32\drivers\NiViPxiK.sys [2004-03-30 24064]
.
Contenu du dossier 'Tâches planifiées'

2008-12-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2006-08-29 13:21]

2008-12-12 c:\windows\Tasks\GoogleUpdateTaskUser.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-09-05 16:24]

2008-12-12 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{A13B22FB-9E13-4D73-8732-7294CC860F98} - c:\windows\system32\gebyv.dll
HKCU-Run-updateMgr - c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
HKCU-Run-Magentic - c:\progra~1\Magentic\bin\Magentic.exe
HKCU-Run-IncrediMail - c:\program files\IncrediMail\bin\IncMail.exe


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.orange.fr
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Ouvrir dans un nouvel onglet d'arrière-plan - c:\program files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?65c276542f074815880a2ed861915dd4
IE: Ouvrir dans un nouvel onglet de premier plan - c:\program files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?65c276542f074815880a2ed861915dd4
IE: { - c:\program files\Messenger\msmsgs.exe
IE: {c:\program files\Messenger\msmsgs.exe - -
TCP: {0AB1343D-D97E-46FF-BA68-B7A5FE3BE9E5} = 192.168.1.1

c:\windows\Downloaded Program Files\GameEvents.dll - c:\windows\Downloaded Program Files\GameAx.dll
O16 -: {5308E02B-4ABA-48E4-AA9E-8A7693661473}
hxxp://jeuxenligne.orange.fr/GisActiveX/Ax/GameAx.cab
c:\windows\Downloaded Program Files\GameAx.inf

c:\program files\Wanadoo\msvcp60.dll - c:\windows\system32\atl.dll
c:\windows\Downloaded Program Files\AdVerifierADP.dll
c:\windows\Downloaded Program Files\AdSignerADP.dll
O16 -: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF}
hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
c:\windows\Downloaded Program Files\AdSignerADP.inf

c:\windows\Downloaded Program Files\Popcap.dll - O16 -: {C9E17F58-564C-41C6-989F-AB0FE0D2C9D1}
hxxp://jeuxentelechargement.orange.fr/orange2.0/OnlineHSS/zuma/Popcap.cab
c:\windows\Downloaded Program Files\Popcap.inf

c:\windows\Downloaded Program Files\Oberongamesloader.dll - O16 -: {E1342154-4889-42B5-BEF6-19237577048F}
hxxp://jeuxentelechargement.orange.fr/online2/insaniquarium/Oberongamesloader.cab
c:\windows\Downloaded Program Files\Oberongamesloader.inf
FF - ProfilePath - c:\documents and settings\Michel\Application Data\Mozilla\Firefox\Profiles\st0bj99y.Mimi\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\1.2.131.27\npGoogleOneClick6.dll
FF - plugin: c:\program files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeploytk.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npjp2.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeploytk.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npgcplug.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npracplug.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\program files\Picasa2\npPicasa2.dll
FF - plugin: c:\program files\Real\RealArcade\Plugins\Mozilla\npracplug.dll
FF - plugin: c:\program files\Yahoo!\Common\npyaxmpb.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-13 10:25:07
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1200)
c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\klogon.dll

- - - - - - - > 'lsass.exe'(1256)
c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\dnsq.dll
c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll
c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\fssync.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\program files\Acer\Acer eConsole\MediaServerService.exe
c:\windows\system32\FTRTSVC.exe
c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\wscntfy.exe
c:\progra~1\Wanadoo\TaskBarIcon.exe
.
**************************************************************************
.
Heure de fin: 2008-12-13 10:31:08 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-13 09:31:02

Avant-CF: 54 112 976 896 octets libres
Après-CF: 54,136,221,696 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

280 --- E O F --- 2008-12-12 21:55:18

Re,

Rends toi sur ce lien : Virus Total

Clique sur Parcourir

Rends toi jusque sur ce fichier si tu le trouves :

c:\windows\dace2455.dat

Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.

Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.

Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté

Une nouvelle fenêtre de ton navigateur va apparaître

Clique alors sur cette image :

Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier

Enfin colle le résultat dans ta prochaine réponse.
Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

 

Bonjour,

Suite de l'opération ....

Fichier dace2455.dat reçu le 2008.12.14 11:15:05 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.12.12.2 2008.12.14 -
AntiVir 7.9.0.45 2008.12.12 -
Authentium 5.1.0.4 2008.12.13 -
Avast 4.8.1281.0 2008.12.13 -
AVG 8.0.0.199 2008.12.13 -
BitDefender 7.2 2008.12.14 -
CAT-QuickHeal 10.00 2008.12.13 -
ClamAV 0.94.1 2008.12.14 -
Comodo 749 2008.12.13 -
DrWeb 4.44.0.09170 2008.12.14 -
eSafe 7.0.17.0 2008.12.11 -
eTrust-Vet 31.6.6258 2008.12.12 -
Ewido 4.0 2008.12.14 -
F-Prot 4.4.4.56 2008.12.13 -
F-Secure 8.0.14332.0 2008.12.14 -
Fortinet 3.117.0.0 2008.12.14 -
GData 19 2008.12.14 -
Ikarus T3.1.1.45.0 2008.12.14 -
K7AntiVirus 7.10.553 2008.12.13 -
Kaspersky 7.0.0.125 2008.12.14 -
McAfee 5463 2008.12.13 -
McAfee+Artemis 5463 2008.12.13 -
Microsoft 1.4205 2008.12.14 -
NOD32 3688 2008.12.12 -
Norman 5.80.02 2008.12.12 -
Panda 9.0.0.4 2008.12.13 -
PCTools 4.4.2.0 2008.12.13 -
Prevx1 V2 2008.12.14 -
Rising 21.07.62.00 2008.12.14 -
SecureWeb-Gateway 6.7.6 2008.12.12 -
Sophos 4.36.0 2008.12.14 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.14 -
TheHacker 6.3.1.4.187 2008.12.13 -
TrendMicro 8.700.0.1004 2008.12.12 -
VBA32 3.12.8.10 2008.12.13 -
ViRobot 2008.12.12.1515 2008.12.12 -
VirusBuster 4.5.11.0 2008.12.13 -
Information additionnelle
File size: 45 bytes
MD5...: 6898ff30a0049241476fdb45952bc37b
SHA1..: 4092699a49a82af865668eaf914a1f4c1c27396e
SHA256: 30a74c69af0357d2fa92c1a831dfb546b04c2e0283bc8bd21127333414a20586
SHA512: 3b8db81830b3b93d9a7411808863f671dc0759e3d79d191a6ae19408ebf11bac<br>3073758cd2eb0a9f1d6dafd3a2d1fe6c5f5de3650c3cfe4f12a59f866ccf6edc<br>
ssdeep: 3 RXtySNSxvcwTgy xXSJcmd<br>
PEiD..: -
TrID..: File type identification<br>Generic INI configuration (100.0%)
PEInfo: -

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.12.12.2 2008.12.14 -
AntiVir 7.9.0.45 2008.12.12 -
Authentium 5.1.0.4 2008.12.13 -
Avast 4.8.1281.0 2008.12.13 -
AVG 8.0.0.199 2008.12.13 -
BitDefender 7.2 2008.12.14 -
CAT-QuickHeal 10.00 2008.12.13 -
ClamAV 0.94.1 2008.12.14 -
Comodo 749 2008.12.13 -
DrWeb 4.44.0.09170 2008.12.14 -
eSafe 7.0.17.0 2008.12.11 -
eTrust-Vet 31.6.6258 2008.12.12 -
Ewido 4.0 2008.12.14 -
F-Prot 4.4.4.56 2008.12.13 -
F-Secure 8.0.14332.0 2008.12.14 -
Fortinet 3.117.0.0 2008.12.14 -
GData 19 2008.12.14 -
Ikarus T3.1.1.45.0 2008.12.14 -
K7AntiVirus 7.10.553 2008.12.13 -
Kaspersky 7.0.0.125 2008.12.14 -
McAfee 5463 2008.12.13 -
McAfee+Artemis 5463 2008.12.13 -
Microsoft 1.4205 2008.12.14 -
NOD32 3688 2008.12.12 -
Norman 5.80.02 2008.12.12 -
Panda 9.0.0.4 2008.12.13 -
PCTools 4.4.2.0 2008.12.13 -
Prevx1 V2 2008.12.14 -
Rising 21.07.62.00 2008.12.14 -
SecureWeb-Gateway 6.7.6 2008.12.12 -
Sophos 4.36.0 2008.12.14 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.14 -
TheHacker 6.3.1.4.187 2008.12.13 -
TrendMicro 8.700.0.1004 2008.12.12 -
VBA32 3.12.8.10 2008.12.13 -
ViRobot 2008.12.12.1515 2008.12.12 -
VirusBuster 4.5.11.0 2008.12.13 -

Information additionnelle
File size: 45 bytes
MD5...: 6898ff30a0049241476fdb45952bc37b
SHA1..: 4092699a49a82af865668eaf914a1f4c1c27396e
SHA256: 30a74c69af0357d2fa92c1a831dfb546b04c2e0283bc8bd21127333414a20586
SHA512: 3b8db81830b3b93d9a7411808863f671dc0759e3d79d191a6ae19408ebf11bac<br>3073758cd2eb0a9f1d6dafd3a2d1fe6c5f5de3650c3cfe4f12a59f866ccf6edc<br>
ssdeep: 3 RXtySNSxvcwTgy xXSJcmd<br>
PEiD..: -
TrID..: File type identification<br>Generic INI configuration (100.0%)
PEInfo: -

Re,

Ouvre Spybot , clique sur l'onglet Mode et choisis Mode Avancé
Ne tiens pas compte de l'avertissement
En bas à gauche , clique sur Outils
Toujours dans la colonne de gauche , clique sur Résident ( pas dans la fenêtre centrale )
Et décoche l'option Resident "TeaTimer"

Télécharge Navilog (de Il-Mafioso)

Enregistre-le sur ton Bureau.
Installe-le en double cliquant sur navilog.exe.
Une fois l'installation terminée, l'utilitaire s'exécutera automatiquement.
(Si ce n'est pas le cas, double clique sur le raccourci présent sur le Bureau)

Une fois l'installation terminée, fais un clic droit sur le raccourci navilog1 puis choisis "Exécuter en tant qu'administrateur". ( Pour Vista)

Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
! N'utilise pas l'option 2,3 et 4 sans notre accord !
Patiente jusqu'à l'apparition de ce message :
"*** Analyse Termine le ..... ***"
Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste le rapport ici.

Le rapport se trouve ici :C:\fixnavi.txt

 

Après avoir fait tourner "Navilog" ... merci,

Search Navipromo version 3.7.0 commencé le 19/12/2008 à 17:36:14,31

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 10.12.2008 à 21h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.06GHz )
BIOS : Default System BIOS
USER : Michel ( Administrator )
BOOT : Normal boot

Antivirus : Kaspersky Anti-Virus 7.0.1.321 (Activated)


C:\ (Local Disk) - NTFS - Total:90 Go (Free:50 Go)
D:\ (Local Disk) - FAT32 - Total:91 Go (Free:27 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)


Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Michel\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\CCILE~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\Manou\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\Marie\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Michel\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\CCILE~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\Manou\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\Marie\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Michel\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\CCILE~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\Manou\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\Marie\menudm~1\progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

Fichiers trouvés :

elxjaw.exe trouvé !
elxjaw.dat trouvé !

* Recherche dans "C:\Documents and Settings\Michel\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\CCILE~1\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\Manou\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\Marie\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

crevpq.dat trouvé !
crevpq_s2m.zl trouvé !
elxjaw.exe trouvé !
elxjaw.dat trouvé !

* Dans "C:\Documents and Settings\Michel\locals~1\applic~1" :


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


* Dans "C:\DOCUME~1\CCILE~1\locals~1\applic~1" :


* Dans "C:\DOCUME~1\Manou\locals~1\applic~1" :


* Dans "C:\DOCUME~1\Marie\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 19/12/2008 à 17:49:33,35 ***

Re,

Double clique sur le raccourci de navilog1.
Option 2 puis valide. (entrée)
Laisse toi guider.
Ton ordinateur va redémarrer, sinon fais le manuellement.

Ton bureau va disparaître.

Patiente jusqu'à l'apparition de ce message :
"*** Nettoyage Termine le ..... ***"

Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
Sauvegarde le rapport.
Referme le Bloc-notes. Ton bureau va maintenant réapparaître.

Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "Nouvelle tâche (exécuter)"
Tapes explorer et valide. Cela te fera apparaitre ton bureau

Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

Montorgueil ; VIP

~~> Supprime-les si présents ! (pas les autres) <~~

Poste le rapport sauvegardé auparavant (C:\cleannavi.txt)
Ainsi qu'un nouveau rapport Hijackthis.

+++++++++++

Les programmes suivants installent cette infection :

* Favorit
* Go-astro
* GoRecord
* HotTVPlayer
* MailSkinner
* Messenger Skinner
* Instant Access
* InternetGameBox
* sudoplanet
* Webmediaplayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/
* Sur le site www.games-desktop.com (Ne pas aller dessus!)

 

Bonsoir,

Rapport Cleanavi :

Clean Navipromo version 3.7.0 commencé le 22/12/2008 à 18:13:28,60

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 10.12.2008 à 21h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.06GHz )
BIOS : Default System BIOS
USER : Michel ( Administrator )
BOOT : Normal boot

Antivirus : Kaspersky Anti-Virus 7.0.1.321 (Activated)


C:\ (Local Disk) - NTFS - Total:90 Go (Free:48 Go)
D:\ (Local Disk) - FAT32 - Total:91 Go (Free:27 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)
G:\ (USB)
H:\ (USB)
I:\ (USB)
J:\ (USB)
Z:\ (Network Disk) - FAT - Total:45 Go (Free:2 Go)


Mode suppression automatique
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


elxjaw.exe trouvé !
Copie elxjaw.exe réalisée avec succès !
elxjaw.exe supprimé !

elxjaw.dat trouvé !
Copie elxjaw.dat réalisée avec succès !
elxjaw.dat supprimé !


* Suppression dans "C:\Documents and Settings\Michel\locals~1\applic~1" *



* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\CCILE~1\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\Manou\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\Marie\locals~1\applic~1" *



*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Michel\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\CCILE~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\Manou\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\Marie\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Michel\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\CCILE~1\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\Manou\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\Marie\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Michel\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\CCILE~1\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\Manou\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\Marie\menudm~1\progra~1" ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Michel\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


crevpq.dat trouvé !
Copie crevpq.dat réalisée avec succès !
crevpq.dat supprimé !

crevpq_s2m.zl trouvé !
Copie crevpq_s2m.zl réalisée avec succès !
crevpq_s2m.zl supprimé !


* Dans "C:\Documents and Settings\Michel\locals~1\applic~1" *


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


* Dans "C:\DOCUME~1\CCILE~1\locals~1\applic~1" *


* Dans "C:\DOCUME~1\Manou\locals~1\applic~1" *


* Dans "C:\DOCUME~1\Marie\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***



*** Nettoyage terminé le 22/12/2008 à 18:22:45,53 ***

Rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:34:12, on 22/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\vsnpstd.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Acer\Acer eConsole\MediaSync.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Acer\Acer eMode Management\AspireService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Documents and Settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [MediaSync] C:\Program Files\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1036
O4 - HKLM\..\Run: [Backup NOW! Scheduler] "c:\Program Files\NewTech Infosystems\NTI Backup NOW! 4\Schdlr32.exe" -s
O4 - HKLM\..\Run: [AspireService] C:\Program Files\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [LaunchList] C:\Program Files\Pinnacle\Studio 11\LaunchList2.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?65c276542f074815880a2ed861915dd4
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?65c276542f074815880a2ed861915dd4
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://support.microsoft.com/OAS/ActiveX/MSDcode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab
O16 - DPF: {5308E02B-4ABA-48E4-AA9E-8A7693661473} (GameCtl Class) - http://jeuxenligne.orange.fr/GisActiveX/Ax/GameAx.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://wanadoofr.oberon-media.com/online2/luxor_amun_ri...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Ap...
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSig...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {C9E17F58-564C-41C6-989F-AB0FE0D2C9D1} (PopcapLoader Object) - http://jeuxentelechargement.orange.fr/orange2.0/OnlineH...
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.fr/clients/uploader_v2.1.0.56.ca...
O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://jeuxentelechargement.orange.fr/online2/insaniqua...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--
End of file - 10520 bytes