Bonjour à tous,


Je suis infecté par deux parasites NUVENS et PUPER HM que pest patrol détecte et supprime. Mais ils reviennent toujours. J'ai en plus un TROJAN.DOWNLOADER.Zlob.YP que Bitdefender detecte et déplace, mais ils reviennent tous en choeur à chaque fois. J'ai essayé de les supprimer manuellement, mais ils reviennent à chaque fois.


Je suis à la recherche d'aide.




PS ; comment fait on un rapport hijac...




- Télécharge HiJackThis de Merijn sur ton bureau.

- Renomme le fichier HiJackThis.exe en Scanner.exe pour cela, fais un clic droit sur le fichier HiJackThis.exe et choisis renommer dans la liste

- Tape Scanner.exe et Appuye sur la touche Entrée.

- Génère un rapport en suivant ces indications :

- Double-clic sur Scanner.exe

- Exécute le et clique sur Do a scan and save log file.

- Le rapport s'ouvre sur le Bloc-Note

- Colle le rapport ici, pour cela :

- Menu Edition / Selectionner Tout

- Menu Edition / copier

- Ici dans un nouveau message : clic droit / coller

Aide : N'hésite pas à consulter l'aide HiJackThis -






-- Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31

(Si tu as Norton Antivirus ou NOD32, désactive le)

-- Fais un clic droit puis Extraire tout sur le fichier, cela va tout décompresser dans un nouveau dossier SmitFraudfix

-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (le .cmd peut ne pas être présent)

-- Choisis l'option 1 et appuie sur Entrée

-- Réponds o (Oui) aux deux questions suivantes si elles sont posées

-- Un rapport sera généré sauvegarde le dans un dossier

-- Copie/colle le contenu du rapport ici




Voici le premier rapport HIJAc


Logfile of HijackThis v1.99.1

Scan saved at 20:36:27, on 16/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)


Running processes:











C:\Program Files\Video ActiveX Object\isamonitor.exe

C:\Program Files\Video ActiveX Object\pmsngr.exe


C:\Program Files\Dell\Media Experience\PCMService.exe


C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Dell AIO Printer A920\dlbkbmgr.exe




C:\Program Files\Video ActiveX Object\isamini.exe

C:\Program Files\Video ActiveX Object\pmmon.exe

C:\Program Files\Dell AIO Printer A920\dlbkbmon.exe

C:\Program Files\Softwin\BitDefender8\bdoesrv.exe



C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe


C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE




C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\PestPatrol\PestPatrol.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender8\vsserv.exe


C:\DOCUME~1\GUILLA~1\LOCALS~1\Temp\Répertoire temporaire 3 pour\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {1a1ddc19-5893-43ab-a73f-f41a0f34d115} - C:\Program Files\Video ActiveX Object\isaddon.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: Protection Bar - {5d4831e0-5a7c-4a46-afd5-a79ab8ce36c2} - C:\Program Files\Video ActiveX Object\iesplugin.dll (file missing)

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"

O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Program Files\Dell AIO Printer A920\dlbkbmgr.exe"

O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\saivqpr.exe

O4 - HKLM\..\Run: [system Update] C:\WINDOWS\System32\bxybav.exe

O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM\..\Run: [PestPatrolCL] C:\PROGRA~1\PESTPA~1\PPCL.exe c:\

O4 - HKLM\..\Run: [KeyPatrol] C:\PROGRA~1\PESTPA~1\KeyPatrol.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM\..\Run: [bDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe

O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

O4 - HKLM\..\Run: [bDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"

O4 - HKLM\..\RunServices: [NVIDIA Video drivers] video_32sD.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Startup: PPControl.lnk = ?

O4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0\aoltray.exe

O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*


O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) -

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) -

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) -

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{25FC333E-B90F-4430-9831-74616BFAF62C}: NameServer =,

O17 - HKLM\System\CS1\Services\Tcpip\..\{25FC333E-B90F-4430-9831-74616BFAF62C}: NameServer =,

O17 - HKLM\System\CS2\Services\Tcpip\..\{25FC333E-B90F-4430-9831-74616BFAF62C}: NameServer =,

O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


Voici le deuxième

SmitFraudFix v2.130


Rapport fait à 20:44:09,82, 16/12/2006

Executé à partir de C:\Documents and Settings\GUILLAUME\Local Settings\Temporary Internet Files\Content.IE5\G05YQHSS\SmitfraudFix[1]\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal


»»»»»»»»»»»»»»»»»»»»»»»» C:\



»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS



»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system



»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web



»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32



»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\GUILLAUME



»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\GUILLAUME\Application Data



»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer



»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\GUILLA~1\Favoris



»»»»»»»»»»»»»»»»»»»»»»»» Bureau



»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


C:\Program Files\Video ActiveX Object\ PRESENT !


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues



»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]



"FriendlyName"="Ma page d'accueil"



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!


SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=" sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll"



»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]




»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32



»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll



»»»»»»»»»»»»»»»»»»»»»»»» Fin


Voici la manipulation à effectuer en entier

Merci de bien vouloir :

- Lire attentivement les instructions demandées et prendre son temps pour les effectuer convenablement, sinon la désinfection ne sera pas complète.

- Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

- A l'issu de la procédure, merci de bien copier/coller TOUS les rapports demandés.

- N'hésitez pas à consulter les liens d'aides, ils sont là pour vous guider !



Sur HiJackThis, refais un scan et coches les lignes suivantes :


O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\saivqpr.exe

O4 - HKLM\..\Run: [system Update] C:\WINDOWS\System32\bxybav.exe

O4 - HKLM\..\RunServices: [NVIDIA Video drivers] video_32sD.exe


---> puis clic sur le bouton "Fix Checked"

n'hésite pas à consulter l'aide HiJackThis


- Télécharge et installe AVG Anti-Spyware - Tutorial :

- Mets le à jour à partir du menu Mise à jour en haut

- Télécharge, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.


-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci



-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.



-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (ne

clique sur aucun autre fichier!!!)

-- Choisis l'option 2 et appuie sur Entrée

-- Réponds o (Oui) aux deux questions suivantes si elles sont posées

-- Un rapport sera généré sauvegarde le dans un dossier,



- Ouvre AVG Anti-Spyware et clic sur l'onglet Analyse, puis le sous-onglet Paramètres

- Sélectionne dans Comment Réagir ? Quarantine. (voir l'aide l'aide AVG Anti-Spyware)

- Reviens au sous-onglet Analyser puis clique sur Analyse complète du système.

---> Le scan démarre.


A la fin clique sur Appliquer toutes les actions, les éléments doivent alors être déplacés en quarantaine.

Puis clique sur Enregistrer le rapport d'analyse et enregistre le rapport sur le Bureau.



Aide : N'hésite pas à consulter l'Aide AVG Anti-Spyware pour tout problème.



-- Redémarre en mode normal : Menu Démarrer / Arreter / Redémarre l'ordinateur

Attention : dans le cas où l'ordinateur redémarre en boucle en mode sans échec, faire la manipulation inverse en décochant l'option /SAFEBOOT à l'aide de msconfig : voir à nouveau cette page : cliquez-ici


-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

-- Copie/Colle ici les rapports :

- AVG Anti-Spyware

- SmitFraudfix

- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt

- ainsi qu'un nouveau log HiJackThis


Voici les rapports qui m'ont demandé un peu de sueur. J'espère que tu en tireras quelquechose. Je n'ai pas demandé le nettoyage de Kaperski, juste le rapport. De plus , le troyen Zlob était à nouveau apparent depuis un fichier restore, détecté par Bitdefender.

En revanche je ne semble plus avoir les parasites.


Bonne nuit






Sunday, December 17, 2006 1:42:24 AM

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version :

Dernière mise à jour de la base antivirus Kaspersky : 16/12/2006

Enregistrements dans la base antivirus Kaspersky : 251324



Paramètres d'analyse:

Analyser avec la base antivirus suivante: étendue

Analyser les archives: vrai

Analyser les bases de messagerie: vrai


Cible de l'analyse - Poste de travail:





Statistiques de l'analyse:

Total d'objets analysés: 60630

Nombre de virus trouvés: 5

Nombre d'objets infectés: 17 / 0

Nombre d'objets suspects: 0

Durée de l'analyse: 00:53:19


Nom de l'objet infecté / Nom du virus / Dernière action

C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

C:\Documents and Settings\GUILLAUME\Bureau\ Infecté : not-a-virus:RiskTool.Win32.PsKill.k ignoré

C:\Documents and Settings\GUILLAUME\Bureau\ ZIP: infecté - 1 ignoré

C:\Documents and Settings\GUILLAUME\Bureau\SmitfraudFix\Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

C:\Documents and Settings\GUILLAUME\Bureau\ Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

C:\Documents and Settings\GUILLAUME\Bureau\ ZIP: infecté - 1 ignoré

C:\Documents and Settings\GUILLAUME\Cookies\INDEX.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\GUILLAUME\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\GUILLAUME\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\GUILLAUME\Local Settings\Historique\History.IE5\INDEX.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\GUILLAUME\Local Settings\Historique\History.IE5\MSHist012006121720061218\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\GUILLAUME\Local Settings\Temp\ggjcjjnf.htm Infecté : Trojan.JS.Pooter.b ignoré

C:\Documents and Settings\GUILLAUME\Local Settings\Temp\idmnoiaf.htm Infecté : Trojan.JS.Pooter.b ignoré

C:\Documents and Settings\GUILLAUME\Local Settings\Temp\lnajkkog.htm Infecté : Trojan.JS.Pooter.b ignoré

C:\Documents and Settings\GUILLAUME\Local Settings\Temp\lnfdfjka.htm Infecté : Trojan.JS.Pooter.b ignoré

C:\Documents and Settings\GUILLAUME\Local Settings\Temp\mmdcmeho.htm Infecté : Trojan.JS.Pooter.b ignoré

C:\Documents and Settings\GUILLAUME\Local Settings\Temp\qhbpiheg.htm Infecté : Trojan.JS.Pooter.b ignoré

C:\Documents and Settings\GUILLAUME\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\GUILLAUME\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\GUILLAUME\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\INDEX.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\INDEX.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\INDEX.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\Norton AntiVirus\AVApp.log L'objet est verrouillé ignoré

C:\Program Files\Norton AntiVirus\AVError.log L'objet est verrouillé ignoré

C:\Program Files\Norton AntiVirus\AVVirus.log L'objet est verrouillé ignoré

C:\Program Files\PestPatrol\Quarantine\ and Settings/GUILLAUME/Bureau/clean/clean/pskill.exe Infecté : not-a-virus:RiskTool.Win32.PsKill.k ignoré

C:\Program Files\PestPatrol\Quarantine\ ZIP: infecté - 1 ignoré

C:\Program Files\Softwin\BitDefender8\asdict.dat L'objet est verrouillé ignoré

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP290\A0099496.exe Infecté : Trojan-Downloader.Win32.Zlob.bcb ignoré

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP291\A0099572.sys Infecté : not-a-virus:Monitor.Win32.PCAcme.61 ignoré

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP295\A0100046.exe Infecté : not-a-virus:RiskTool.Win32.PsKill.k ignoré

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP295\A0100139.exe L'objet est verrouillé ignoré

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP295\A0100140.exe L'objet est verrouillé ignoré

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP295\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\pfirewall.log L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\CONFIG\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\CONFIG\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\CONFIG\SAM L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\CONFIG\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\CONFIG\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\CONFIG\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\CONFIG\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\CONFIG\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\H323LOG.TXT L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\tmp0000342f\tmp00000000 L'objet est verrouillé ignoré

C:\WINDOWS\WIADEBUG.LOG L'objet est verrouillé ignoré

C:\WINDOWS\WIASERVC.LOG L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré


Analyse terminée.



SmitFraudFix v2.130


Rapport fait à 22:11:38,37, 16/12/2006

Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec


»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!


SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus



»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix


GenericRenosFix by S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


C:\Program Files\Video ActiveX Object\ supprimé


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires



»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]




»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre


Nettoyage terminé.


»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!


SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll



»»»»»»»»»»»»»»»»»»»»»»»» Fin




AVG Anti-Spyware - Rapport d'analyse



+ Créé à: 23:06:41 16/12/2006


+ Résultat de l'analyse:




C:\WINDOWS\SYSTEM32\TFTP1516 -> Backdoor.Rbot : Nettoyé.

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP290\A0099494.exe -> Downloader.Zlob.aqk : Nettoyé.

C:\Program Files\Softwin\BitDefender8\Quarantine\pmmon.exe -> Downloader.Zlob.bcb : Nettoyé.

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP295\A0099954.exe -> Downloader.Zlob.bcb : Nettoyé.

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP295\A0099973.exe -> Downloader.Zlob.bcb : Nettoyé.

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP295\A0099991.exe -> Downloader.Zlob.bcb : Nettoyé.

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP295\A0100010.exe -> Downloader.Zlob.bcb : Nettoyé.

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP295\A0100037.exe -> Downloader.Zlob.bcb : Nettoyé.

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP295\A0100073.exe -> Downloader.Zlob.bcb : Nettoyé.

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP295\A0100112.exe -> Downloader.Zlob.bcb : Nettoyé.

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP295\A0100135.exe -> Downloader.Zlob.bcb : Nettoyé.

C:\Program Files\Softwin\BitDefender8\Quarantine\isamini.exe -> Downloader.Zlob.bcq : Nettoyé.

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP295\A0099955.exe -> Downloader.Zlob.bcq : Nettoyé.

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP295\A0099975.exe -> Downloader.Zlob.bcq : Nettoyé.

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP295\A0099992.exe -> Downloader.Zlob.bcq : Nettoyé.

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP295\A0100011.exe -> Downloader.Zlob.bcq : Nettoyé.

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP295\A0100038.exe -> Downloader.Zlob.bcq : Nettoyé.

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP295\A0100074.exe -> Downloader.Zlob.bcq : Nettoyé.

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP295\A0100093.exe -> Downloader.Zlob.bcq : Nettoyé.

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP295\A0100113.exe -> Downloader.Zlob.bcq : Nettoyé.

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP295\A0100133.exe -> Downloader.Zlob.bcq : Nettoyé.

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP295\A0100134.exe -> Downloader.Zlob.bcq : Nettoyé.

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP290\A0099498.dll -> Downloader.Zlob.bdu : Nettoyé.

:mozilla.78:C:\Documents and Settings\GUILLAUME\Application Data\Mozilla\Firefox\Profiles\5efcnwbz.default\cookies.txt -> TrackingCookie.Estat : Nettoyé.

:mozilla.13:C:\Documents and Settings\GUILLAUME\Application Data\Mozilla\Firefox\Profiles\5efcnwbz.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.14:C:\Documents and Settings\GUILLAUME\Application Data\Mozilla\Firefox\Profiles\5efcnwbz.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.15:C:\Documents and Settings\GUILLAUME\Application Data\Mozilla\Firefox\Profiles\5efcnwbz.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.16:C:\Documents and Settings\GUILLAUME\Application Data\Mozilla\Firefox\Profiles\5efcnwbz.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.17:C:\Documents and Settings\GUILLAUME\Application Data\Mozilla\Firefox\Profiles\5efcnwbz.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.116:C:\Documents and Settings\GUILLAUME\Application Data\Mozilla\Firefox\Profiles\5efcnwbz.default\cookies.txt -> TrackingCookie.Xhit : Nettoyé.

:mozilla.168:C:\Documents and Settings\GUILLAUME\Application Data\Mozilla\Firefox\Profiles\5efcnwbz.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.

:mozilla.169:C:\Documents and Settings\GUILLAUME\Application Data\Mozilla\Firefox\Profiles\5efcnwbz.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.

:mozilla.170:C:\Documents and Settings\GUILLAUME\Application Data\Mozilla\Firefox\Profiles\5efcnwbz.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.



Fin du rapport




Script clean par Malekal_morte -


Microsoft Windows XP [version 5.1.2600]

Script execute en mode sans echec


*** Suppression de fichiers sur C:


*** Suppression des fichiers dans C:\WINDOWS\


*** Suppression des fichiers dans C:\WINDOWS\system32

C:\WINDOWS\system32\ftpupd.exe FOUND

C:\WINDOWS\system32\swxcacls.exe FOUND


"C:\Program Files\DivX\Google\Firefox\ffinstaller.exe" FOUND


*** Suppression des clefs du registre effectuee..


C'est OK en suivant les dernières manipulations ci-dessous :P


Essaye de rapporter ton infection sur le site que je te donne ci-dessous, ce serait super cool :P

Ton infection : Video ActiveX Object


Finir le nettoyage :

- Nettoye ton ordinateur avec CCleaner :

- Désactive puis réactive la restauration du système :

- Mode d'emploi Windows XP

- Tu peux ensuite désinstaller tous les programmes que l'on a utilisé.




je t'invite à jeter un coup d'oeil à ces liens dans la mesure du possible, essaye de rapporter ton infection :


Comment se protéger des virus : - Tout ceci est résume sur cette page : Sécuriser son ordinateur et connaître les menaces

Je t'invite aussi à mettre à jour tous les composants de ton système - Garde l'habitude de les maintenir à jour, un ordinateur avec des logiciels non à jour = infection ! tu peux scanner ton ordinateur pour vérifier quels sont les progammes non à jour en suivant les directives de cette page :


Faire bouger les choses :


Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapport ton infection :

- Voir les règles de Malware-Complaints

- Enregistre sur le forum à partir du bouton register en haut :

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age


Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) :


Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) :


Pour poster un message, clics sur le bouton "post reply" et remplir les informations - NE PAS CREER UN SUJET avec le bouton New Topic.


Pour toutes aides pour poster ton message, tu peux consulter ce lien :

Si tu as des questions ou des problèmes, n'hésites pas à me demander ici ou à contacter un des modérateurs du forum : Kimberly, AgnesD ou ipl_001.


Merci pour ton aide. Apparement, tout est nettoyé. Cependant j'ai encore un petit souci, c'est mon accès internet qui est devenu lentissime. Crois-tu que ce soit lié? Connais-tu une solution rapide?


Sinon grand merci. Je vais poster sur le site le problème de malware. Dois-je expliquer ce qui s'est^passé ou simplement citer mon PB?


Merci encore




Elle est devenue lente à quel moment ?


Elle est devenue lente après que j'ai fait les opératios en windows sans échec. Je pensais que c'était parceque j'avais téléchergé les logiciels nettoyeurs.


J'ai tout désactivé et supprimé comme tu me l'as conseillé, et apparament le rythme revient vite : je me suis laissé abuser par bitdefender qui m'affiche un traffic entrant a 2 kb et sortant à 3000 Kb alors que cela ne semble pas être la réalité.



