win32-agent-HKJ[trj] que faire?

Bonjour
Suis cette procédure et un spec viendra te donner la marche a suivre:
http://www.sosordi.net/Article/115-[...]-log-hijackthis
@+++++

Bonjour yene

- Ne suis pas la procédure préliminaire

1/

- Télécharge MSNFix.zip (de !aur3n7) http://sosvirus.changelog.fr/MSNFix.zip extraie la totalité de cette archive sur le bureau


- Autorise l'affichage des fichiers et dossiers cachés de cette façon

Citation :

Poste de travail menu Outils - Option des dossiers onglet Affichage Activer le bouton radio : Afficher les Fichiers et dossiers cachés Décocher Masquer les extensions dont le type est connu clique sur Appliquer et Ok pour valider les changements

- ouvre le dossier MSNFix qui est sur le bureau
- Double clic sur MSNFix.bat
- Appuie sur R pour lancer la recherche

- Si une infection est trouvée, un message l'indiquera, appuie sur une touche pour lancer le nettoyage
- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt


Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.

2/

- Télécharge Hijackthis 1.99.1 (de Merijn) http://www.merijn.org/files/hijackthis.zip Décompresse ce fichier dans un dossier nommé C:\Hijackthis

- Aide à son installation http://sitethemacs.free.fr/aide_enr[...]e_hijackthi.htm

- Ouvre le dossier C:\Hijackthis
- Clic droit sur hijackthis.exe choisis Renommer dans le menu contextuel et renomme hijackthis.exe en sosordi.exe
- Double clic sur sosordi.exe clique sur Do a scan system and save log file
Notepad s'ouvrira fais un copier coller de tout son contenu ici dans ta prochaine réponse.

Note : sosordi.exe doit être dans ce dossier C:\Hijackthis Il ne doit pas se trouver dans un dossier temp ni sur le bureau

Logfile of HijackThis v1.99.1
Scan saved at 16:57:13, on 21/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Lemoncast\lemoncast.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\system32\rundll32.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\VPro500.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\MioNet\MioNetManager.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\Program Files\MioNet\jvm\bin\MioNet.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\msnmgr.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Documents and Settings\Administrateur\Bureau\hijackthis\HijackThis.exe
C:\Documents and Settings\Administrateur\doc.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neufportail.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?T[...]&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.serenescreen.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S91.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ONLINEJUNKSETTINGSDATA] C:\Documents and Settings\All Users\Application Data\title remote online junk\Cash Corn.exe
O4 - HKLM\..\Run: [carpediem] C:\Program Files\Lemoncast\lemoncast.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Uniblue Registry Booster2] C:\Program Files\Uniblue\RegistryBooster2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [link time] C:\DOCUME~1\ADMINI~1\APPLIC~1\TEAMBO~1\loveburnadmin.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: VPro500.lnk = C:\WINDOWS\VPro500.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1FF43AD5-2262-4C2F-81D4-26D710C3F305} (VB2S Mannequin Virtuel Control) - http://mannequin.redoute.fr/activex/Mannequin.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://lalylou1977.spaces.live.com/[...]ad/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR[...]1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar[...]nt.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar[...]nt.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/p[...]ash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Intel(R) Quick Resume technology (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: MioNet Service (MioNet) - Unknown owner - C:\Program Files\MioNet\MioNetManager.exe" -s "C:\Program Files\MioNet\wrapper.conf (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

Poste le rapport du scan fait avec MSNFix

MSN_Fix 1.326

C:\Documents and Settings\Administrateur\Bureau\MSNFix\MSNFix
Fix exécuté le 21/06/2007 - 16:49:36,53 By Administrateur
mode normal

************************ Recherche les fichiers présents

Aucun Fichier trouvé

************************ Recherche les dossiers présents

... C:\Temp






************************ Suppression des dossiers

.. OK ... C:\Temp


************************ Nettoyage du registre



************************ Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention



Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 21062007_16505537.zip


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://246694.aceboard.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

- Supprime le fichier téléchargé de MSNFix ainsi que le dossier

- Télécharge LopResearch.zip http://dcangeldark.googlepages.com/LopResearch.zip

- Dézippe-le sur ton Bureau uniquement.
- Double-clique sur le fichier Scan.bat
- Un rapport sera généré, poste son contenu ici.

Rapport fait à 17:09:18,29 le 21/06/2007

Le volume dans le lecteur C s'appelle PRESARIO
Le num‚ro de s‚rie du volume est 2423-9385

R‚pertoire de C:\Documents and Settings\Administrateur\Application Data

13/06/2007 18:14 <REP> Sonic
13/06/2007 18:14 <REP> Leadertech
08/05/2007 20:07 <REP> HP
03/05/2007 12:17 <REP> Screenshot Sender
03/05/2007 12:17 <REP> team book beep
08/04/2007 19:37 <REP> Uniblue
19/03/2007 22:18 <REP> ConvertTemp
19/03/2007 22:18 <REP> Temporary
19/03/2007 22:18 <REP> TransRender
19/03/2007 22:18 <REP> Samsung
01/03/2007 18:23 <REP> Sun
16/02/2007 12:41 <REP> Google
16/02/2007 12:41 <REP> Macromedia
04/02/2007 21:01 187 G-Force Prefs (WindowsMediaPlayer).txt
04/02/2007 16:00 <REP> AdobeUM
04/02/2007 16:00 <REP> Adobe
04/02/2007 15:32 <REP> EPSON
04/02/2007 15:28 <REP> HPQ
04/02/2007 14:28 <REP> ArcSoft
01/02/2006 10:24 <REP> ..
01/02/2006 10:24 <REP> .
02/01/2006 11:10 <REP> Real
15/11/2005 04:22 <REP> Microsoft
15/11/2005 04:22 <REP> Identities
10/10/2005 15:24 62 desktop.ini
2 fichier(s) 249 octets
23 R‚p(s) 215720816640 octets libres
Le volume dans le lecteur C s'appelle PRESARIO
Le num‚ro de s‚rie du volume est 2423-9385

R‚pertoire de C:\Documents and Settings\All Users\Application Data

03/05/2007 12:19 <REP> Messenger Plus!
03/05/2007 12:17 <REP> title remote online junk
27/03/2007 19:36 <REP> Adobe
19/03/2007 21:28 0 LauncherAccess.dt
28/02/2007 14:36 <REP> Windows Genuine Advantage
24/02/2007 13:23 <REP> Spybot - Search & Destroy
16/02/2007 12:41 <REP> Google
03/02/2007 20:37 <REP> UDL
01/02/2006 10:24 <REP> ..
01/02/2006 10:24 <REP> .
02/01/2006 11:37 <REP> Hewlett-Packard
02/01/2006 11:29 <REP> Symantec
02/01/2006 11:12 <REP> CyberLink
02/01/2006 11:10 <REP> InstallShield
02/01/2006 11:07 <REP> Sonic
02/01/2006 11:06 368 hpzinstall.log
02/01/2006 11:02 <REP> SBSI
15/11/2005 04:23 <REP> Microsoft
10/10/2005 15:24 62 desktop.ini
3 fichier(s) 430 octets
16 R‚p(s) 215720816640 octets libres
Le volume dans le lecteur C s'appelle PRESARIO
Le num‚ro de s‚rie du volume est 2423-9385

R‚pertoire de C:\Documents and Settings\Default User\Application Data

03/02/2007 20:11 <REP> Real
01/02/2006 10:25 <REP> ..
01/02/2006 10:25 <REP> .
15/11/2005 04:23 <REP> Microsoft
15/11/2005 04:23 <REP> Identities
10/10/2005 15:24 62 desktop.ini
1 fichier(s) 62 octets
5 R‚p(s) 215720816640 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C s'appelle PRESARIO
Le num‚ro de s‚rie du volume est 2423-9385

R‚pertoire de C:\WINDOWS\Tasks

03/05/2007 12:18 296 AF9827D891A3A13C.job
15/11/2005 05:15 <REP> ..
15/11/2005 05:15 <REP> .
10/10/2005 14:31 6 SA.DAT
10/08/2004 13:00 65 desktop.ini
3 fichier(s) 367 octets
2 R‚p(s) 215ÿ720ÿ816ÿ640 octets libres

******************************************
Listing des dossiers dans Program Files

Adobe
Adverts
Ahead
Alwil Software
Braingame
CCleaner
ComPlus Applications
eChanblard
Electronic Arts
epson
Everest Poker
Fichiers communs
FrenchOtto
GemMasterFrench
Google
Hewlett-Packard
HP
IKEA HomePlanner
Intel
Internet Explorer
Java
Lemoncast
Messenger
Messenger Plus! Live
MessengerPlus! 3
microsoft frontpage
Microsoft Games
Microsoft Office
Microsoft Works
MioNet
Movie Maker
MSN
MSN Gaming Zone
MSN Messenger
MSXML 4.0
NetMeeting
Neuf
Online Services
Outlook Express
PC-Doctor 5 for Windows
PDFCreator
Philips
PKR
Real
ReflexiveArcade
Ricochet Xtreme
Samsung
SereneScreen
Services en ligne
SLD Codec Pack
Sonic
Spybot - Search & Destroy
team book beep
WebMediaPlayer
Windows Media Connect 2
Windows Media Player
Windows NT
Windows Plus
WinRAR
xerox
Zuma Deluxe
******************************************
Recherche de dossiers/fichiers LOP

C:\Program Files\Adverts Présent !
C:\WINDOWS\tasks\AF9827D891A3A13C.job Présent !
C:\WINDOWS\tasks\AF9827D891A3A13C.job Présent !
******************************************
Recherche d'infections connues

Nvs2.inf Egdaccess possible !
******************************************
Vérification du fichier HOSTS

Fichier Hosts : MODIFIE

*************** Fin du Rapport - Version 0.8 ****************

- Il y a des traces d'infection par lop.com et probablement d'InstantAccess.

- Télécharge Navilog1 version 2.0.0 (de IL-MAFIOSO) http://perso.orange.fr/il.mafioso/N[...]ix/Navilog1.exe enregistre ce fichier sur le bureau.

- Double clic sur Navilog1.exe afin de lancer l'installation


- Si le fix ne lance pas automatiquement aprés son installation

- Double clic sur navilog1 présent sur le bureau

- Appuie sur F ou f valide par Entrée

- Appuie sur une touche de ton clavier à chaque fois que cela est demandé, tu arriveras au menu des options

- Choisis l'option 1 appuie sur la touche Entrée pour valider ton choix.

- Patiente jusqu'au message : *** Analyse Termine le ..... ***

- Le scan fini un rapport portant ce fixnavi.txt sera affiché poste le contenu de ce rapport.
- Si le résultat du scan ne s'affiche pas tu le trouvera dans C:\fixnavi.txt.

N'utilise pas l'option 2, 3 et 4 sans notre accord

Search Navipromo version 2.0.3 commencé le 21/06/2007 à 17:17:50,79

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***


WebMediaPlayer


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***


C:\Program Files\WebMediaPlayer trouvé !


*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Administrateur\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/[...]light_help.html

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

c:\WINDOWS\system32\orfwelepx.dat
C:\windows\system32\orfwelepx.exe
c:\WINDOWS\system32\orfwelepx_nav.dat
c:\WINDOWS\system32\orfwelepx_navps.dat

Processus caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32\orfwelepx.exe


*** Recherche fichiers ***


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !
HKEY_USERS\S-1-5-21-2986783719-4001286592-4134007193-500\Software\Lanconfig trouvé !


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\qtstv.bak1 trouvé ! infection Vundo possible non traité par cet outil !

2)Recherche Heuristique :
*
C:\WINDOWS\system32\orfwelepx.dat trouvé !
**
C:\WINDOWS\system32\orfwelepx.dat trouvé !
***
****
*****
******
*******
********


*** Analyse Terminé le 21/06/2007 à 17:21:53,82 ***

- Imprime cette réponse, il y aura un redémarrage

1/

- Double clic sur navilog1


- Appuie sur F ou f valide par Entrée

- Appuie sur une touche à chaque fois qu'il te sera demandé de le faire.

- Choisis l'option 2 (Désinfection automatique avec prise en charge des résultats de Blacklight) valide en appuyant sur Entrée

- Le fix va t'informer qu'il va alors redémarrer ton PC
- Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
- Appuie sur une touche comme demandé (si ton Pc ne redémarre pas automatiquement, fais le toi même)
- Au redémarrage de ton PC, choisis ta session habituelle.




- Patiente jusqu'au message : *** Nettoyage Termine le ..... ***

- Le bloc-notes va s'ouvrir.
- Sauvegarde le rapport de manière à le retrouver
- Referme le bloc-notes. Ton bureau va réapparaitre

- Un rapport sera généré et enregistré sur le bureau ==> cleanavi.txt


Note : Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

- Rends-toi à l'onglet Processus Clique en haut à gauche sur Fichiers choisis Exécuter
- Tape Explorer et valide. Celà te fera apparaitre ton bureau.


2/

- Vide entiérement le dossier C:\WINDOWS\ Prefetch mais ne supprime pas le dossier

3/




==> Clique sur Démarrer ==> Paramêtres ==> Panneau de configuration
* Double-clicque sur Options Internet
* Clique sur l'onglet Contenu puis sur Certificats, dans la colonne Editeurs approuvés, supprime si présents :
* electronic-group
* egroup
* Montorgueil
* VIP
* "Sunny Day Design Ltd"



4/

- Poste le contenu de cleanavi.txt
- Poste un nouveau rapport hijack

Edité par Geronimo le 21/06/2007 à 17:34

Clean Navipromo version 2.0.3 commencé le 21/06/2007 à 17:31:15,82

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight


*** Creation backups fichiers trouvés par Blacklight ***

Copie vers "C:\Program Files\navilog1\Backupnavi"


*** Suppression des fichiers trouvés avec Blacklight ***

c:\WINDOWS\system32\orfwelepx.dat supprimé !
C:\windows\system32\orfwelepx.exe supprimé !
c:\WINDOWS\system32\orfwelepx_nav.dat supprimé !
c:\WINDOWS\system32\orfwelepx_navps.dat supprimé !

** 2ème passage **

C:\WINDOWS\system32\orfwelepx.exe absent !
C:\WINDOWS\system32\orfwelepx.dat absent !
C:\WINDOWS\system32\orfwelepx_nav.dat absent !
C:\WINDOWS\system32\orfwelepx_navps.dat absent !
C:\WINDOWS\system32\orfwelepx_navup.dat absent !
C:\WINDOWS\system32\orfwelepx_navtmp.dat absent !
C:\WINDOWS\system32\orfwelepx_m2s.xml absent !


C:\WINDOWS\prefetch\orfwelepx*.pf trouvé !
Copie C:\WINDOWS\prefetch\orfwelepx*.pf réalise avec succes !
C:\WINDOWS\prefetch\orfwelepx*.pf supprimé !

*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\WebMediaPlayer ...suppression...
C:\Program Files\WebMediaPlayer supprimé !


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Administrateur\Application Data ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\Local Settings\Temp effectué !


*** Sauvegarde du registre vers dossier Backupnavi***


sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\qtstv.bak1 trouvé ! infection Vundo possible non traité par cet outil !

2)Recherche et Suppression Heuristique :

*
**
***
****
*****
******
*******
********

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

*** Nettoyage termine le 21/06/2007 à 17:34:56,06 ***

Logfile of HijackThis v1.99.1
Scan saved at 17:41:58, on 21/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\MioNet\MioNetManager.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\MioNet\jvm\bin\MioNet.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrateur\Bureau\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neufportail.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?T[...]&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.serenescreen.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S91.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ONLINEJUNKSETTINGSDATA] C:\Documents and Settings\All Users\Application Data\title remote online junk\Cash Corn.exe
O4 - HKLM\..\Run: [carpediem] C:\Program Files\Lemoncast\lemoncast.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Uniblue Registry Booster2] C:\Program Files\Uniblue\RegistryBooster2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [link time] C:\DOCUME~1\ADMINI~1\APPLIC~1\TEAMBO~1\loveburnadmin.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: VPro500.lnk = C:\WINDOWS\VPro500.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1FF43AD5-2262-4C2F-81D4-26D710C3F305} (VB2S Mannequin Virtuel Control) - http://mannequin.redoute.fr/activex/Mannequin.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://lalylou1977.spaces.live.com/[...]ad/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR[...]1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar[...]nt.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar[...]nt.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/p[...]ash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Intel(R) Quick Resume technology (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: MioNet Service (MioNet) - Unknown owner - C:\Program Files\MioNet\MioNetManager.exe" -s "C:\Program Files\MioNet\wrapper.conf (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

- On va de surprise en surprise avec les rapports

- Télécharge VundoFix.exe (par Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau

==> Double-clique sur VundoFix.exe afin de le lancer

* Clique sur le bouton Scan for Vundo
* Lorsque le scan est complété, clique sur le bouton Remove Vundo

* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers

* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

C:\WINDOWS\system32\qtstv.bak1
C:\WINDOWS\system32\qtstv.ini
C:\WINDOWS\system32\vtstq.dll

Poste le rapport complet s'il te plait

je le recommence j avais que ca ds le fichier text !!

VundoFix V6.5.1

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.11

Scan started at 17:47:49 21/06/2007

Listing files found while scanning....

C:\WINDOWS\system32\qtstv.bak1
C:\WINDOWS\system32\qtstv.ini
C:\WINDOWS\system32\vtstq.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\qtstv.bak1
C:\WINDOWS\system32\qtstv.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\qtstv.ini
C:\WINDOWS\system32\qtstv.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\vtstq.dll
C:\WINDOWS\system32\vtstq.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.5.1

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.11

Scan started at 18:03:43 21/06/2007

Listing files found while scanning....

C:\WINDOWS\system32\jjjlm.bak1
C:\WINDOWS\system32\jjjlm.ini
C:\WINDOWS\system32\mljjj.dll

Beginning removal...

dsl je cherchais les yeux fermé ^^

Renomme hijackthis.exe en yene.exe fais un scan avec le fichier renommé poste son rapport.

Logfile of HijackThis v1.99.1
Scan saved at 18:26:25, on 21/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Lemoncast\lemoncast.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\abitheri.exe
C:\WINDOWS\eHome\ehRecvr.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\VPro500.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\MioNet\MioNetManager.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\MioNet\jvm\bin\MioNet.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\Administrateur\Bureau\hijackthis\yene.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neufportail.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?T[...]&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.serenescreen.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {06D37DD7-4158-43F9-85B3-4CBD960DC1F7} - C:\WINDOWS\system32\awtsp.dll
O2 - BHO: (no name) - {18761BF3-8690-4D23-8BA2-A171643E561A} - C:\WINDOWS\system32\vtstq.dll (file missing)
O2 - BHO: (no name) - {261AE95E-60C5-4A7E-BE54-DC52A130489D} - C:\WINDOWS\system32\mljjj.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: (no name) - {DC192567-65F9-4AB6-ADB7-E13575F81726} - C:\WINDOWS\system32\qomnmno.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S91.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ONLINEJUNKSETTINGSDATA] C:\Documents and Settings\All Users\Application Data\title remote online junk\Cash Corn.exe
O4 - HKLM\..\Run: [carpediem] C:\Program Files\Lemoncast\lemoncast.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Uniblue Registry Booster2] C:\Program Files\Uniblue\RegistryBooster2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [link time] C:\DOCUME~1\ADMINI~1\APPLIC~1\TEAMBO~1\loveburnadmin.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: VPro500.lnk = C:\WINDOWS\VPro500.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1FF43AD5-2262-4C2F-81D4-26D710C3F305} (VB2S Mannequin Virtuel Control) - http://mannequin.redoute.fr/activex/Mannequin.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://lalylou1977.spaces.live.com/[...]ad/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR[...]1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar[...]nt.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar[...]nt.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/p[...]ash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: awtsp - C:\WINDOWS\system32\awtsp.dll
O20 - Winlogon Notify: qomnmno - C:\WINDOWS\SYSTEM32\qomnmno.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DomainService - - C:\WINDOWS\system32\abitheri.exe
O23 - Service: Intel(R) Quick Resume technology (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: MioNet Service (MioNet) - Unknown owner - C:\Program Files\MioNet\MioNetManager.exe" -s "C:\Program Files\MioNet\wrapper.conf (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

Il y a encore des traces d'infection par Vundo

- Télécharge VirtumundoBegone sur le bureau: http://secured2k.home.comcast.net/t[...]mundoBeGone.exe

==> Double clique sur VirtumundoBeGone.exe et suis les instructions.

* Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.

* Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.

[06/21/2007, 18:32:54] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Administrateur\Bureau\VirtumundoBeGone.exe" )
[06/21/2007, 18:32:58] - Detected System Information:
[06/21/2007, 18:32:58] - Windows Version: 5.1.2600, Service Pack 2
[06/21/2007, 18:32:58] - Current Username: Administrateur (Admin)
[06/21/2007, 18:32:58] - Windows is in NORMAL mode.
[06/21/2007, 18:32:58] - Searching for Browser Helper Objects:
[06/21/2007, 18:32:58] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[06/21/2007, 18:32:58] - BHO 2: {06D37DD7-4158-43F9-85B3-4CBD960DC1F7} ()
[06/21/2007, 18:32:58] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/21/2007, 18:32:58] - Checking for HKLM\...\Winlogon\Notify\awtsp
[06/21/2007, 18:32:58] - Found: HKLM\...\Winlogon\Notify\awtsp - This is probably Virtumundo.
[06/21/2007, 18:32:58] - Assigning {06D37DD7-4158-43F9-85B3-4CBD960DC1F7} MSEvents Object
[06/21/2007, 18:32:58] - BHO list has been changed! Starting over...
[06/21/2007, 18:32:58] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[06/21/2007, 18:32:58] - BHO 2: {06D37DD7-4158-43F9-85B3-4CBD960DC1F7} (MSEvents Object)
[06/21/2007, 18:32:58] - ALERT: Found MSEvents Object!
[06/21/2007, 18:32:58] - BHO 3: {18761BF3-8690-4D23-8BA2-A171643E561A} ()
[06/21/2007, 18:32:58] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/21/2007, 18:32:58] - Checking for HKLM\...\Winlogon\Notify\vtstq
[06/21/2007, 18:32:58] - Key not found: HKLM\...\Winlogon\Notify\vtstq, continuing.
[06/21/2007, 18:32:58] - BHO 4: {261AE95E-60C5-4A7E-BE54-DC52A130489D} ()
[06/21/2007, 18:32:58] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/21/2007, 18:32:58] - Checking for HKLM\...\Winlogon\Notify\mljjj
[06/21/2007, 18:32:58] - Key not found: HKLM\...\Winlogon\Notify\mljjj, continuing.
[06/21/2007, 18:32:58] - BHO 5: {53707962-6F74-2D53-2644-206D7942484F} ()
[06/21/2007, 18:32:58] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/21/2007, 18:32:58] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[06/21/2007, 18:32:58] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[06/21/2007, 18:32:58] - BHO 6: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/21/2007, 18:32:58] - BHO 7: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[06/21/2007, 18:32:58] - BHO 8: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[06/21/2007, 18:32:58] - BHO 9: {DC192567-65F9-4AB6-ADB7-E13575F81726} ()
[06/21/2007, 18:32:58] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/21/2007, 18:32:58] - Checking for HKLM\...\Winlogon\Notify\qomnmno
[06/21/2007, 18:32:58] - Found: HKLM\...\Winlogon\Notify\qomnmno - This is probably Virtumundo.
[06/21/2007, 18:32:58] - Assigning {DC192567-65F9-4AB6-ADB7-E13575F81726} MSEvents Object
[06/21/2007, 18:32:58] - BHO list has been changed! Starting over...
[06/21/2007, 18:32:58] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[06/21/2007, 18:32:58] - BHO 2: {06D37DD7-4158-43F9-85B3-4CBD960DC1F7} (MSEvents Object)
[06/21/2007, 18:32:58] - ALERT: Found MSEvents Object!
[06/21/2007, 18:32:58] - BHO 3: {18761BF3-8690-4D23-8BA2-A171643E561A} ()
[06/21/2007, 18:32:58] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/21/2007, 18:32:58] - Checking for HKLM\...\Winlogon\Notify\vtstq
[06/21/2007, 18:32:58] - Key not found: HKLM\...\Winlogon\Notify\vtstq, continuing.
[06/21/2007, 18:32:58] - BHO 4: {261AE95E-60C5-4A7E-BE54-DC52A130489D} ()
[06/21/2007, 18:32:58] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/21/2007, 18:32:58] - Checking for HKLM\...\Winlogon\Notify\mljjj
[06/21/2007, 18:32:59] - Key not found: HKLM\...\Winlogon\Notify\mljjj, continuing.
[06/21/2007, 18:32:59] - BHO 5: {53707962-6F74-2D53-2644-206D7942484F} ()
[06/21/2007, 18:32:59] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/21/2007, 18:32:59] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[06/21/2007, 18:32:59] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[06/21/2007, 18:32:59] - BHO 6: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/21/2007, 18:32:59] - BHO 7: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[06/21/2007, 18:32:59] - BHO 8: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[06/21/2007, 18:32:59] - BHO 9: {DC192567-65F9-4AB6-ADB7-E13575F81726} (MSEvents Object)
[06/21/2007, 18:32:59] - ALERT: Found MSEvents Object!
[06/21/2007, 18:32:59] - Finished Searching Browser Helper Objects
[06/21/2007, 18:32:59] - *** Detected MSEvents Object
[06/21/2007, 18:32:59] - Trying to remove MSEvents Object...
[06/21/2007, 18:33:00] - Terminating Process: IEXPLORE.EXE
[06/21/2007, 18:33:00] - Terminating Process: RUNDLL32.EXE
[06/21/2007, 18:33:01] - Disabling Automatic Shell Restart
[06/21/2007, 18:33:01] - Terminating Process: EXPLORER.EXE
[06/21/2007, 18:33:01] - Suspending the NT Session Manager System Service
[06/21/2007, 18:33:01] - Terminating Windows NT Logon/Logoff Manager
[06/21/2007, 18:33:01] - Re-enabling Automatic Shell Restart
[06/21/2007, 18:33:01] - File to disable: C:\WINDOWS\system32\awtsp.dll
[06/21/2007, 18:33:01] - Renaming C:\WINDOWS\system32\awtsp.dll -> C:\WINDOWS\system32\awtsp.dll.vir
[06/21/2007, 18:33:01] - File successfully renamed!
[06/21/2007, 18:33:01] - Removing HKLM\...\Browser Helper Objects\{06D37DD7-4158-43F9-85B3-4CBD960DC1F7}
[06/21/2007, 18:33:01] - Removing HKCR\CLSID\{06D37DD7-4158-43F9-85B3-4CBD960DC1F7}
[06/21/2007, 18:33:01] - Adding Kill Bit for ActiveX for GUID: {06D37DD7-4158-43F9-85B3-4CBD960DC1F7}
[06/21/2007, 18:33:01] - Deleting ATLEvents/MSEvents Registry entries
[06/21/2007, 18:33:01] - Removing HKLM\...\Winlogon\Notify\awtsp
[06/21/2007, 18:33:01] - Searching for Browser Helper Objects:
[06/21/2007, 18:33:01] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[06/21/2007, 18:33:01] - BHO 2: {18761BF3-8690-4D23-8BA2-A171643E561A} ()
[06/21/2007, 18:33:01] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/21/2007, 18:33:01] - Checking for HKLM\...\Winlogon\Notify\vtstq
[06/21/2007, 18:33:01] - Key not found: HKLM\...\Winlogon\Notify\vtstq, continuing.
[06/21/2007, 18:33:01] - BHO 3: {261AE95E-60C5-4A7E-BE54-DC52A130489D} ()
[06/21/2007, 18:33:01] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/21/2007, 18:33:01] - Checking for HKLM\...\Winlogon\Notify\mljjj
[06/21/2007, 18:33:01] - Key not found: HKLM\...\Winlogon\Notify\mljjj, continuing.
[06/21/2007, 18:33:01] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
[06/21/2007, 18:33:01] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/21/2007, 18:33:01] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[06/21/2007, 18:33:01] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[06/21/2007, 18:33:02] - BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/21/2007, 18:33:02] - BHO 6: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[06/21/2007, 18:33:02] - BHO 7: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[06/21/2007, 18:33:02] - BHO 8: {DC192567-65F9-4AB6-ADB7-E13575F81726} (MSEvents Object)
[06/21/2007, 18:33:02] - ALERT: Found MSEvents Object!
[06/21/2007, 18:33:02] - Finished Searching Browser Helper Objects
[06/21/2007, 18:33:02] - *** Detected MSEvents Object
[06/21/2007, 18:33:02] - Trying to remove MSEvents Object...
[06/21/2007, 18:33:03] - Terminating Process: IEXPLORE.EXE
[06/21/2007, 18:33:03] - Terminating Process: RUNDLL32.EXE
[06/21/2007, 18:33:03] - Disabling Automatic Shell Restart
[06/21/2007, 18:33:03] - Terminating Process: EXPLORER.EXE
[06/21/2007, 18:33:03] - Suspending the NT Session Manager System Service
[06/21/2007, 18:33:03] - Terminating Windows NT Logon/Logoff Manager
[06/21/2007, 18:33:03] - Re-enabling Automatic Shell Restart
[06/21/2007, 18:33:03] - File to disable: C:\WINDOWS\system32\qomnmno.dll
[06/21/2007, 18:33:03] - Renaming C:\WINDOWS\system32\qomnmno.dll -> C:\WINDOWS\system32\qomnmno.dll.vir
[06/21/2007, 18:33:03] - File successfully renamed!
[06/21/2007, 18:33:03] - Removing HKLM\...\Browser Helper Objects\{DC192567-65F9-4AB6-ADB7-E13575F81726}
[06/21/2007, 18:33:03] - Removing HKCR\CLSID\{DC192567-65F9-4AB6-ADB7-E13575F81726}
[06/21/2007, 18:33:03] - Adding Kill Bit for ActiveX for GUID: {DC192567-65F9-4AB6-ADB7-E13575F81726}
[06/21/2007, 18:33:03] - Deleting ATLEvents/MSEvents Registry entries
[06/21/2007, 18:33:03] - Removing HKLM\...\Winlogon\Notify\qomnmno
[06/21/2007, 18:33:03] - Searching for Browser Helper Objects:
[06/21/2007, 18:33:03] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[06/21/2007, 18:33:03] - BHO 2: {18761BF3-8690-4D23-8BA2-A171643E561A} ()
[06/21/2007, 18:33:03] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/21/2007, 18:33:03] - Checking for HKLM\...\Winlogon\Notify\vtstq
[06/21/2007, 18:33:03] - Key not found: HKLM\...\Winlogon\Notify\vtstq, continuing.
[06/21/2007, 18:33:03] - BHO 3: {261AE95E-60C5-4A7E-BE54-DC52A130489D} ()
[06/21/2007, 18:33:03] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/21/2007, 18:33:03] - Checking for HKLM\...\Winlogon\Notify\mljjj
[06/21/2007, 18:33:03] - Key not found: HKLM\...\Winlogon\Notify\mljjj, continuing.
[06/21/2007, 18:33:03] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
[06/21/2007, 18:33:03] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/21/2007, 18:33:03] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[06/21/2007, 18:33:03] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[06/21/2007, 18:33:03] - BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/21/2007, 18:33:03] - BHO 6: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[06/21/2007, 18:33:03] - BHO 7: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[06/21/2007, 18:33:03] - Finished Searching Browser Helper Objects
[06/21/2007, 18:33:03] - Finishing up...
[06/21/2007, 18:33:03] - A restart is needed.
[06/21/2007, 18:33:06] - Attempting to Restart via STOP error (Blue Screen!)

Logfile of HijackThis v1.99.1
Scan saved at 18:36:27, on 21/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Lemoncast\lemoncast.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\VPro500.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\abitheri.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\MioNet\MioNetManager.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\MioNet\jvm\bin\MioNet.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Bureau\hijackthis\yene.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neufportail.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?T[...]&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.serenescreen.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {18761BF3-8690-4D23-8BA2-A171643E561A} - C:\WINDOWS\system32\vtstq.dll (file missing)
O2 - BHO: (no name) - {261AE95E-60C5-4A7E-BE54-DC52A130489D} - C:\WINDOWS\system32\mljjj.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S91.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ONLINEJUNKSETTINGSDATA] C:\Documents and Settings\All Users\Application Data\title remote online junk\Cash Corn.exe
O4 - HKLM\..\Run: [carpediem] C:\Program Files\Lemoncast\lemoncast.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Uniblue Registry Booster2] C:\Program Files\Uniblue\RegistryBooster2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [link time] C:\DOCUME~1\ADMINI~1\APPLIC~1\TEAMBO~1\loveburnadmin.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: VPro500.lnk = C:\WINDOWS\VPro500.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1FF43AD5-2262-4C2F-81D4-26D710C3F305} (VB2S Mannequin Virtuel Control) - http://mannequin.redoute.fr/activex/Mannequin.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://lalylou1977.spaces.live.com/[...]ad/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR[...]1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar[...]nt.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar[...]nt.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/p[...]ash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DomainService - - C:\WINDOWS\system32\abitheri.exe
O23 - Service: Intel(R) Quick Resume technology (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: MioNet Service (MioNet) - Unknown owner - C:\Program Files\MioNet\MioNetManager.exe" -s "C:\Program Files\MioNet\wrapper.conf (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

Il reste encore des traces d'infection, je te prépare une procédure.

==> Procédure à appliquer en entier. Si tu as des difficultés à une étape passe la mais signale le dans ta prochaine réponse.
- Si tu as des questions à poser n'hésite pas



==> Imprime cette réponse. Une partie de la désinfection se déroulera en mode sans échec sans prise en charge du réseau l'accés à internet ne sera pas possible.


1/


- Télécharger et installer

- AVG Anti-Spyware 7.5 http://www.ewido.net/en/download/

==> Démarre AVG Anti-Spyware, clique sur Mise à jour . La mise à jour faite,clique sur Analyse puis sur l'onglet Paramétres
- Sous Commment réagir ? choisir Quarantaine
- Sous Rapports : Cocher "Générer un rapport aprés chaque analyse" et "Uniquement en cas de menaces"
- Quitte AVG Anti-Spyware

Note : Si au moment de la mise à jour d'AVG AS ce message s'affiche Sorry, the server is not ready to serve. Please try again later abandonne la mise à jour mais continue la procédure.

- Si tu as des difficultés pour configurer AVG AS consulte ce tutorial : http://www.malekal.com/tutorial_AVG[...]AntiSpyware.php


- Télécharge OTMoveIt (de Old_Timer) http://download.bleepingcomputer.co[...]er/OTMoveIt.exe sur ton Bureau.


2/


- Clique sur Démarrer/Exécuter tape notepad
- Copie/Colle le texte en citation dans le bloc notes

Citation :

@echo off cd C:\WINDOWS\Tasks attrib -r -s -h AF9827D891A3A13C.job.job del AF9827D891A3A13C.job.job exit

- Clique sur le menu Fichier/Enregistrer sous

- Choisis le bureau comme lieu d'enregistrement

- Donne lui ce nom remlop.bat

- A Type choisis "Tous les fichiers"
- Clique sur Enregistrer, quitte le bloc notes


3/


- Clique sur Démarrer/Exécuter tape services.msc
- Repére ce service :

DomainService

Double clic dessus :

==> A Statut du service clique sur Arrêter

==> A Type de démarrage choisis Désactivé. Quitte le gestionnaire des services.


4/


- Redémarre ton PC en mode sans échec

Citation :

Au redémarrage de ton PC tapote sur la touche F8 ou F5 sur l'écran suivant déplace toi avec les les fléches de direction et choisis Mode sans échec. Choisis ta session et non la session Administrateur

- Relance Hijackthis, clique sur Do a scan system only coche la case devant les lignes suivantes

O2 - BHO: (no name) - {18761BF3-8690-4D23-8BA2-A171643E561A} - C:\WINDOWS\system32\vtstq.dll (file missing)
O2 - BHO: (no name) - {261AE95E-60C5-4A7E-BE54-DC52A130489D} - C:\WINDOWS\system32\mljjj.dll (file missing)
O4 - HKLM\..\Run: [ONLINEJUNKSETTINGSDATA] C:\Documents and Settings\All Users\Application Data\title remote online junk\Cash Corn.exe
O4 - HKLM\..\Run: [carpediem] C:\Program Files\Lemoncast\lemoncast.exe
O4 - HKCU\..\Run: [link time] C:\DOCUME~1\ADMINI~1\APPLIC~1\TEAMBO~1\loveburnadmin.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)


- Ferme les fenêtres en cours sauf hijackthis, clique sur Fix checked




5/




- Double clic sur remlop.bat (présent sur le Bureau) Une fenêtre s'ouvrira et se fermera très rapidement, c'est normal, voulu et attendu.



6/




- Double-clique sur OTMoveIt.exe
- Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

- Copie le texte qui se trouve en citation (sans le mot citation) et, colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved

Citation :

C:\Program Files\Adverts C:\Program Files\Lemoncast C:\Documents and Settings\All Users\Application Data\title remote online junk C:\Documents and Settings\Administrateur\Application Data\team book beep

- Clique sur MoveIt! pour lancer la suppression.
- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit




7/



- Démarre AVG Anti-Spyware
* Clique sur Analyse puis Analyse compléte du systéme

* Le scan fini clique sur Appliquer toutes les actions

* Clique sur sur Enregistrer le rapport ==> Enregistrer le rapport sous et enregistre ce rapport sur le bureau.



8/


- Redémarre ton PC en mode normal, poste :

- Le rapport d'AVG Anti-Spyware
- Un nouveau rapport Hijack
- Le rapport de OTMoveIt qui se trouve dans C:\_OTMoveIt\MovedFiles.