Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e) (modifié)

Bonsoir à tous,

j'ai besoin de votre aide pour l'infection du pc d'un copain :


après avoir fait une analyse en mode sans echec avec Antivir PE, j'ai quelques worm résidants dans le dossier caché "c:\_restore\temp" et je ne peux les éradiquer !!!!

Son PC tourne sous Win Millenium, et j'ai fait les mises à jour sur Win Update.


Alors avant d'aller plus loin dans le nettoyage (hijackthis et consor), toute aide est la bienvenue.

Merci d'avance.


Voici les 2 rapports de scan fait avec Antivir PE :



AntiVir PersonalEdition Classic

Report file date: samedi 7 octobre 2006 20:26


Scanning for 522603 virus strains and unwanted programs.


Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows Me

Windows version: (plain) [4.90.3000]

Username: unknown

Computer name: OEMCOMPUTER


Version information:

AVSCAN.EXE : 196648 21/08/2006 10:06:50

AVSCAN.DLL : 41000 07/09/2006 10:51:52

LUKE.DLL : 110632 07/09/2006 10:32:30

LUKERES.DLL : 9256 07/09/2006 10:51:52

ANTIVIR0.VDF : 7371264 31/05/2006 10:35:12

ANTIVIR1.VDF : 1745920 02/10/2006 18:16:18

ANTIVIR2.VDF : 2048 02/10/2006 18:16:18

ANTIVIR3.VDF : 62976 06/10/2006 18:16:18

AVEWIN32.DLL : 1860096 07/10/2006 18:16:18

AVPREF.DLL : 17960 24/07/2006 12:35:38

AVREP.DLL : 569384 07/10/2006 18:16:18

AVRPBASE.DLL : 1544232 30/03/2006 08:42:44

AVPACK32.DLL : 360488 21/07/2006 06:00:30

AVREG.DLL : 25128 28/07/2005 10:06:12

NETNW.DLL : 9768 24/07/2006 12:35:40

RCIMAGE.DLL : 1642536 01/08/2006 11:22:52

RCTEXT.DLL : 77864 07/10/2006 18:16:12


Configuration settings for the scan:

Jobname.......................: Local Hard Disks

Configuration file............: C:\PROGRAM FILES\ANTIVIR PERSONALEDITION CLASSIC\alldiscs.avp

Boot sectors..................: C

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 1

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Skipped archive types.........: 1000,1001,1002,1003,1004,1005,

Macro heuristic...............: 1

File heuristic................: 3

Primary action................: 1

Secondary action..............: 0


Start of the scan: samedi 7 octobre 2006 20:26



The scan of running processes will be started

8 Processes were scanned


Start scanning boot sectors:


Boot sector 'C:\'

[NOTE] No virus was found!


Starting to scan the registry.

The registry was scanned ( 33 files ).



Starting the file scan:



[DETECTION] Contains signature of the worm WORM/Netsky.D.3

[WARNING] The file could not be deleted!


[WARNING] The file could not be opened!

C:\WINDOWS\Temporary Internet Files\CONTENT.IE5\GKMDQ5SQ\document_full.pif

[DETECTION] Contains signature of the worm WORM/Netsky.D.3

[iNFO] The file was deleted!

C:\WINDOWS\Temporary Internet Files\CONTENT.IE5\7QI1BLV5\Mail Delivery (failure

[DETECTION] Contains signature of the worm WORM/NetSky.P.Expl

[iNFO] The file was deleted!

C:\WINDOWS\Temporary Internet Files\CONTENT.IE5\31NCQWI9\ParisVoyeur[1].exe

[DETECTION] Contains signature of the dial-up program DIAL/45992.A

[iNFO] The file was deleted!

C:\WINDOWS\Temporary Internet Files\CONTENT.IE5\31NCQWI9\Mail Delivery (failure

[DETECTION] Contains signature of the worm WORM/NetSky.P.Expl

[iNFO] The file was deleted!

C:\WINDOWS\Temporary Internet Files\CONTENT.IE5\V5LHP5QF\.dat

[DETECTION] Contains signature of the VBS script virus VBS/Kakworm.Tamem

[iNFO] The file was deleted!

C:\WINDOWS\Temporary Internet Files\CONTENT.IE5\V5LHP5QF\Re-essai.RB0

[DETECTION] Contains signature of the VBS script virus VBS/Kakworm.Tamem

[iNFO] The file was deleted!

C:\WINDOWS\Temporary Internet Files\CONTENT.IE5\V5LHP5QF\Re.RB0

[DETECTION] Contains signature of the VBS script virus VBS/Kakworm.Tamem

[iNFO] The file was deleted!

C:\WINDOWS\Temporary Internet Files\CONTENT.IE5\V5LHP5QF\Pour voir !!!.RB0

[DETECTION] Contains signature of the VBS script virus VBS/Kakworm.Tamem

[iNFO] The file was deleted!

C:\WINDOWS\Temporary Internet Files\CONTENT.IE5\V5LHP5QF\Re-essai (1).RB0

[DETECTION] Contains signature of the VBS script virus VBS/Kakworm.Tamem

[iNFO] The file was deleted!

C:\WINDOWS\Temporary Internet Files\CONTENT.IE5\V5LHP5QF\Pour voir !!! (1).RB0

[DETECTION] Contains signature of the VBS script virus VBS/Kakworm.Tamem

[iNFO] The file was deleted!

C:\WINDOWS\Temporary Internet Files\CONTENT.IE5\V5LHP5QF\ (1).RB0

[DETECTION] Contains signature of the VBS script virus VBS/Kakworm.Tamem

[iNFO] The file was deleted!

C:\WINDOWS\Temporary Internet Files\CONTENT.IE5\V5LHP5QF\BEST OF.RB0

[DETECTION] Contains signature of the VBS script virus VBS/Kakworm.Tamem

[iNFO] The file was deleted!

C:\WINDOWS\Temporary Internet Files\CONTENT.IE5\V5LHP5QF\Re-essai (2).RB0

[DETECTION] Contains signature of the VBS script virus VBS/Kakworm.Tamem

[iNFO] The file was deleted!


[DETECTION] Contains signature of the worm WORM/Netsky.D.3

[iNFO] The file was deleted!


[DETECTION] Contains signature of the dial-up program DIAL/45992.A

[iNFO] The file was deleted!

C:\Program Files\Disney Interactive\Frère des Ours\System\WinKeyHook.dll

[DETECTION] Contains signature of the SPR/PSW.Hooker.A program

[iNFO] The file was deleted!



End of the scan: samedi 7 octobre 2006 21:54

Used time: 1:28:56 min


The scan has been done completely.


1970 Scanning directories

183933 Files were scanned

17 viruses and/or unwanted programs were found

16 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

2670 Archives were scanned

2 Warnings

18 Notes


Et le 2eme rapport :



AntiVir PersonalEdition Classic

Report file date: samedi 7 octobre 2006 22:15


Scanning for 522603 virus strains and unwanted programs.


Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows Me

Windows version: (plain) [4.90.3000]

Username: unknown

Computer name: OEMCOMPUTER


Version information:

AVSCAN.EXE : 196648 21/08/2006 10:06:50

AVSCAN.DLL : 41000 07/09/2006 10:51:52

LUKE.DLL : 110632 07/09/2006 10:32:30

LUKERES.DLL : 9256 07/09/2006 10:51:52

ANTIVIR0.VDF : 7371264 31/05/2006 10:35:12

ANTIVIR1.VDF : 1745920 02/10/2006 18:16:18

ANTIVIR2.VDF : 2048 02/10/2006 18:16:18

ANTIVIR3.VDF : 62976 06/10/2006 18:16:18

AVEWIN32.DLL : 1860096 07/10/2006 18:16:18

AVPREF.DLL : 17960 24/07/2006 12:35:38

AVREP.DLL : 569384 07/10/2006 18:16:18

AVRPBASE.DLL : 1544232 30/03/2006 08:42:44

AVPACK32.DLL : 360488 21/07/2006 06:00:30

AVREG.DLL : 25128 28/07/2005 10:06:12

NETNW.DLL : 9768 24/07/2006 12:35:40

RCIMAGE.DLL : 1642536 01/08/2006 11:22:52

RCTEXT.DLL : 77864 07/10/2006 18:16:12


Configuration settings for the scan:

Jobname.......................: Manual Selection

Configuration file............: C:\WINDOWS\Application Data\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Boot sectors..................: C

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 1

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Skipped archive types.........: 1000,1001,1002,1003,1004,1005,

Macro heuristic...............: 1

File heuristic................: 3

Primary action................: 1

Secondary action..............: 0


Start of the scan: samedi 7 octobre 2006 22:15



The scan of running processes will be started

9 Processes were scanned


Start scanning boot sectors:


Boot sector 'C:\'

[NOTE] No virus was found!


Starting to scan the registry.

The registry was scanned ( 33 files ).



Starting the file scan:



[DETECTION] Contains signature of the worm WORM/Netsky.D.3

[WARNING] An error has occurred and the file was not deleted. ErrorID: 16003

[WARNING] The file could not be deleted!


[DETECTION] Contains signature of the dial-up program DIAL/45992.A

[WARNING] An error has occurred and the file was not deleted. ErrorID: 16003

[WARNING] The file could not be deleted!


[DETECTION] Contains signature of the SPR/PSW.Hooker.A program

[WARNING] The file could not be deleted!


[WARNING] The file could not be opened!



End of the scan: samedi 7 octobre 2006 22:21

Used time: 05:54 min


The scan has been canceled!


36 Scanning directories

3147 Files were scanned

3 viruses and/or unwanted programs were found

0 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

209 Archives were scanned

4 Warnings

0 Notes


Merci d'avance pour vos tuyaux !

Modifié par minikisskool


Pour completer mon précédent post, j'ai fait un rapport hijackthis en mode sans echec, et voilà ce que cela donne :


Logfile of HijackThis v1.99.1

Scan saved at 00:17:45, on 08/10/2006

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:










R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe

O2 - BHO: bhoEvents Class - {FC4C5EAE-66EE-11D4-BC67-0000E8E582D2} - C:\WINDOWS\E2BHO.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\TEMPER~1\SPYBOT~1\SDHELPER.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [ThrustTSR] C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe

O4 - HKLM\..\Run: [AVPCC] C:\Program Files\AntiViral Toolkit Pro\avpcc.exe /wait

O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run

O4 - HKLM\..\Run: [autoclk] autoclk.exe

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe

O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe

O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe

O4 - HKLM\..\Run: [iCQ Net] C:\WINDOWS\winlogon.exe -stealth

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [sSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

O4 - HKLM\..\RunServices: [AVPCC Service] C:\Program Files\AntiViral Toolkit Pro\avpcc.exe /service

O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE

O4 - HKLM\..\RunOnce: [KB917734] "C:\WINDOWS\INF\unregmp2.exe" /UpdateWMP

O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRAM FILES\WANADOO\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE

O9 - Extra button: - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll

O9 - Extra button: EasyClick - {05575EC1-B47D-11d3-8F04-00105A9965CA} - C:\WINDOWS\E2BAR.DLL

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - (file missing) (HKCU)

O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll


O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

O16 - DPF: {17D8B270-9C15-11D3-8F03-00105A9965CA} (EasyClick Control) -

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -


Je ne vois pas trop ce qu'il y a de bizarre à part peut etre easyclic ou canalfree. Ya bien des trucs qui sont là du fait d'une installation automatique de la livebox et de la m...... de lanceur de connection wanadoo, mais bon je vois rien qui me choc !

Merci encore pour votre aide futur !

A bientôt


Bonjour à tous,

je me rends compte qu'il n'y a pas beaucoup doutil à utiliser sous Windows millénium... :P

Ewido ne fonctionne pas, Look2me non plus...

J'ai comme qui dirait l'impression que je ne pourrais pas nettoyer les fichiers présent dans le repertoire c:\_RESTORE !!!

Quelqu'un a-t-il une idée pour venir à mon secour ? :P

Merci d'avance.


Bon après avoir lu de ci de là, j'ai trouvé le moyen de virer les fichiers de restaurations systeme, et donc je lance une dernière fois Avira Antivir n mode sans echec pour voir s'il ne reste rien.

Je ferai un dernier rinçage avec HJT et puis zou !

Si quelqu'un pense pouvoir m'aider avec une procédure supplémentaire pour Win *millénium, je suis prenneur !

A bientôt.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
  • Créer...