Trojan et autres

[Gof]

Bonsoir M-self,

 

Désolé du retard.

 

Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.

• Double-clique combofix.exe afin de l'exécuter et suis les instructions.
  
• Lorsque l'analyse sera complétée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse. suivi d'un nouveau log hijackthis et d'un nouveau blacklight.
  

[M-self]

Bonsoir M-self,

 

Désolé du retard.

 

Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.

• Double-clique combofix.exe afin de l'exécuter et suis les instructions.
  
• Lorsque l'analyse sera complétée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse. suivi d'un nouveau log hijackthis et d'un nouveau blacklight.
  

 

 

Apparement le lien ne fonctionne pas?

[Gof]

Bonjour M-self, essaie à partir de ce lien : Combofix.

[M-self]

Bonjour M-self, essaie à partir de ce lien : Combofix.

 

Bonjour Gof,

 

L'outil n'arrive pas à faire le scan jusqu'au bout ?? (je l'ai laissé tourner toute la nuit). Il affiche un message "Qoologig trouvé & inattendu"

 

Je n'ai pas pas de rapport.

Une idée ?

[Gof]

Bonsoir M-self,

 

Bon, on va y aller autrement pour l'instant, suis la manipulation suggérée qui suit.

 

 

1. Téléchargement et installation des outils nécessaires.

• Télécharge AVG AS - Mets le à jour.
  Ferme AVG AS. Ne pas le lancer tout de suite.
  Un tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_AVG_AntiSpyware.php
  

• Télécharge ATF Cleaner par Atribune.
  

• Télécharge JV16 et mets le dans un dossier. Son tutorial pour l'utiliser correctement : ici.
  

• Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
  

 

2. Désinstallation des éléments infectieux.

 

Rends toi dans ton menu démarrer>Paramètres>Panneau de configuration puis Ajout/Suppression de programmes.

• Désinstalle les éléments suivants s'ils sont présents :
  

• dslifestyle
  
• whInstall
  

Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec.Tu peux également enregistrer cette page à partir de ton navigateur (fichier>enregistrer sous) de sorte de conserver la mise en page

 

 

3. Redémarre en mode sans échec :

 

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.) C'est un mode de diagnostic et de débuggage de Windows, il est normal que cela mette du temps à démarrer et que l'affichage soit différent.

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].Sélectionne ensuite ta session habituelle.

NB:Si problème, consulte cette aide : http://www.malekal.com/modesansechec.php

 

 

4. Affichage des fichiers et dossiers cachés

 

Assure toi d'avoir accès aux fichiers et dossiers cachés :

Pour afficher les fichiers et dossiers cachés du systéme :

• Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
  
• Cocher la case : Afficher les fichiers et dossiers cachés
  
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
  
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
  ---> Répondre OUI à la demande de confirmation
  
• Cliquer Appliquer puis OK
  

 

5. Suppression des éléments infectieux

• Double-clique sur OTMoveIt.exe pour le lancer.
  
• Assure toi que Unregister Dll's and Ocx's soit coché.
  
• Copie-colle dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved
  

• C:\WINDOWS\yzd.exe
  C:\Program Files\dslifestyle\dslifestyle.exe
  C:\Program Files\dslifestyle\ps.exe
  C:\Documents and Settings\stef & sof\Mes documents\stef\DIV x\Lecteur\GDiVX1.9.9.5.exe
  C:\WINDOWS\newdotnet3_36.dll_tobedeleted
  C:\WINDOWS\appupdate.exe
  C:\Program Files\whInstall\Sporder.dll
  C:\Program Files\whInstall\license.txt
  C:\Program Files\whInstall\readme.txt
  C:\Program Files\whInstall\webhdll.dll
  C:\Program Files\whInstall\whAgent.exe
  C:\Program Files\whInstall\whAgent.ini
  C:\Program Files\whInstall\whInstaller.exe
  C:\Program Files\whInstall\whSurvey.exe
  C:\Program Files\whInstall\whiehlpr.dll
  C:\Program Files\Fichiers communs\Yazzle1395OinUninstaller.exe
  C:\WINDOWS\system32\mwinppdv.exe
  C:\WINDOWS\system32\mwinppem.exe
  C:\Documents and Settings\stef & sof\Mes documents\?icrosoft\chkdsk.exe -
  C:\Program Files\Fichiers communs\Yazzle1395OinAdmin.exe
  C:\WINDOWS\system32\ltaoq.dat
  C:\WINDOWS\system32\mellvux.dll
  C:\WINDOWS\updrun.exe
  C:\WINDOWS\ts.exe
  C:\WINDOWS\system32\wgcpe.exe
  C:\WINDOWS\system32\gwllem.exe
  c:\WINDOWS\SYSTEM32\HBJTORM.EXE
  c:\WINDOWS\ERSSV.DLL
  C:\WINDOWS\bGVyb3V4\command.exe
  

• Clique sur MoveIt! pour lancer la suppression.
  
• Le résultat apparaitra dans le cadre Results. Copie le résultat et sauvegarde le sur le bureau.
  
• Clique sur Exit pour fermer.
  

• Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes, et redémarre en mode sans échec afin de reprendre la procédure à partir d'ici.
  

• Rends toi à ces emplacements avec l'explorateur, et supprime les éléments suivants :
  

• C:\Program Files\dslifestyle <- ce dossier
  C:\Program Files\whInstall <- ce dossier
  C:\Documents and Settings\stef & sof\Mes documents\?icrosoft <- ce dossier
  C:\WINDOWS\bGVyb3V4 <- ce dossier
  

• Vide ta corbeille
  

• Rends toi dans ton menu démarrer, Exécuter, et copie-colle :
  sc delete cmdService, et valide par Ok.
  

 

6. Correction (FIX) des lignes dans HijackThis.

• Lance un scan HijackThis.
  
• clique sur Do a system scan only et coche les lignes ci-dessous (si présentes) :
  

• F2 - REG:system.ini: Shell=Explorer.exe, C:\WINDOWS\system32\wgcpe.exe
  F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe,hbjtorm.exe
  O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\bGVyb3V4\command.exe (file missing)
  

• Ferme toutes les fenêtres sauf HijackThis et clique sur Fix Checked.
  

 

7. Nettoyage du disque pour préparer et faciliter l'intervention d'AVG AS.

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  

• Pour internet explorer
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
  

• Pour Firefox
  Sous l'onglet Firefox, choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

• Clique Exit, du menu prinicipal, afin de fermer le programme.
  

• Exécute JV16.
  

• Mets le logiciel en français Preferences > Language > Français > OK.
  Ensuite, Outils registre > menu Outils > nettoyeur de registre.
  Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".
  Clique sur "Continuer" puis sur "Démarrer".
  Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis en bas à droite choisis l'option "supprimer". Tu peux supprimer toutes les entrées en vert.
  

 

8. Nettoyage complémentaire par AVG AS.

• Lance AVG AS et clique sur Analyse
  
• Puis sur l'onglets Puis l'onglet Paramètres, pour Comment réagir ? sélectionne Actions recommandées puis Quarantaine
  
• Reviens a l'onglet Analyse et clique sur Analyse complète du système, le scan démarre
  
• Si un fichier infecté a été détecté, en fin d'analyse clique sur Appliquer toutes les actions
  
• Clique sur Enregistrer le rapport et pour finir Enregistrer le rapport sous, enregistre sur le Bureau
  

 

9. Redémarrage en mode normal

• Redémarre en mode normal.
  
• Double-clique blbeta.exe et accepte la licence; clique Scan puis Next
  Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
  Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
  

• Poste :
  

• le rapport OTmoveIt que tu as sauvegardé sur le bureau.
  
• le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom [nombres_nombres].log
  
• le rapport AVG AS
  
• le nouveau rapport Blacklight
  
• un nouveau log hijackthis (toujours avec la version 1.99.1)
  

A plus tard. Prends le temps de bien lire tout ça, suis pas à pas les instructions.

[M-self]

Bonsoir M-self,

 

Bon, on va y aller autrement pour l'instant, suis la manipulation suggérée qui suit.

1. Téléchargement et installation des outils nécessaires.

• Télécharge AVG AS - Mets le à jour.
  Ferme AVG AS. Ne pas le lancer tout de suite.
  Un tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_AVG_AntiSpyware.php
  

• Télécharge ATF Cleaner par Atribune.
  

• Télécharge JV16 et mets le dans un dossier. Son tutorial pour l'utiliser correctement : ici.
  

• Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
  

2. Désinstallation des éléments infectieux.

 

Rends toi dans ton menu démarrer>Paramètres>Panneau de configuration puis Ajout/Suppression de programmes.

• Désinstalle les éléments suivants s'ils sont présents :
  

• dslifestyle
  
• whInstall
  

Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec.Tu peux également enregistrer cette page à partir de ton navigateur (fichier>enregistrer sous) de sorte de conserver la mise en page

3. Redémarre en mode sans échec :

 

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.) C'est un mode de diagnostic et de débuggage de Windows, il est normal que cela mette du temps à démarrer et que l'affichage soit différent. NB:Si problème, consulte cette aide : http://www.malekal.com/modesansechec.php

4. Affichage des fichiers et dossiers cachés

 

Assure toi d'avoir accès aux fichiers et dossiers cachés :

• 
  

5. Suppression des éléments infectieux

• Double-clique sur OTMoveIt.exe pour le lancer.
  
• Assure toi que Unregister Dll's and Ocx's soit coché.
  
• Copie-colle dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved
  

• C:\WINDOWS\yzd.exe
  C:\Program Files\dslifestyle\dslifestyle.exe
  C:\Program Files\dslifestyle\ps.exe
  C:\Documents and Settings\stef & sof\Mes documents\stef\DIV x\Lecteur\GDiVX1.9.9.5.exe
  C:\WINDOWS\newdotnet3_36.dll_tobedeleted
  C:\WINDOWS\appupdate.exe
  C:\Program Files\whInstall\Sporder.dll
  C:\Program Files\whInstall\license.txt
  C:\Program Files\whInstall\readme.txt
  C:\Program Files\whInstall\webhdll.dll
  C:\Program Files\whInstall\whAgent.exe
  C:\Program Files\whInstall\whAgent.ini
  C:\Program Files\whInstall\whInstaller.exe
  C:\Program Files\whInstall\whSurvey.exe
  C:\Program Files\whInstall\whiehlpr.dll
  C:\Program Files\Fichiers communs\Yazzle1395OinUninstaller.exe
  C:\WINDOWS\system32\mwinppdv.exe
  C:\WINDOWS\system32\mwinppem.exe
  C:\Documents and Settings\stef & sof\Mes documents\?icrosoft\chkdsk.exe -
  C:\Program Files\Fichiers communs\Yazzle1395OinAdmin.exe
  C:\WINDOWS\system32\ltaoq.dat
  C:\WINDOWS\system32\mellvux.dll
  C:\WINDOWS\updrun.exe
  C:\WINDOWS\ts.exe
  C:\WINDOWS\system32\wgcpe.exe
  C:\WINDOWS\system32\gwllem.exe
  c:\WINDOWS\SYSTEM32\HBJTORM.EXE
  c:\WINDOWS\ERSSV.DLL
  C:\WINDOWS\bGVyb3V4\command.exe
  

• Clique sur MoveIt! pour lancer la suppression.
  
• Le résultat apparaitra dans le cadre Results. Copie le résultat et sauvegarde le sur le bureau.
  
• Clique sur Exit pour fermer.
  

• Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes, et redémarre en mode sans échec afin de reprendre la procédure à partir d'ici.
  

• Rends toi à ces emplacements avec l'explorateur, et supprime les éléments suivants :
  

• C:\Program Files\dslifestyle <- ce dossier
  C:\Program Files\whInstall <- ce dossier
  C:\Documents and Settings\stef & sof\Mes documents\?icrosoft <- ce dossier
  C:\WINDOWS\bGVyb3V4 <- ce dossier
  

• Vide ta corbeille
  

• Rends toi dans ton menu démarrer, Exécuter, et copie-colle :
  sc delete cmdService, et valide par Ok.
  

6. Correction (FIX) des lignes dans HijackThis.

• Lance un scan HijackThis.
  
• clique sur Do a system scan only et coche les lignes ci-dessous (si présentes) :
  

• F2 - REG:system.ini: Shell=Explorer.exe, C:\WINDOWS\system32\wgcpe.exe
  F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe,hbjtorm.exe
  O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\bGVyb3V4\command.exe (file missing)
  

• Ferme toutes les fenêtres sauf HijackThis et clique sur Fix Checked.
  

7. Nettoyage du disque pour préparer et faciliter l'intervention d'AVG AS.

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  

• Pour internet explorer
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
  

• Pour Firefox
  Sous l'onglet Firefox, choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

• Clique Exit, du menu prinicipal, afin de fermer le programme.
  

• Exécute JV16.
  

• Mets le logiciel en français Preferences > Language > Français > OK.
  Ensuite, Outils registre > menu Outils > nettoyeur de registre.
  Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".
  Clique sur "Continuer" puis sur "Démarrer".
  Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis en bas à droite choisis l'option "supprimer". Tu peux supprimer toutes les entrées en vert.
  

8. Nettoyage complémentaire par AVG AS.

• Lance AVG AS et clique sur Analyse
  
• Puis sur l'onglets Puis l'onglet Paramètres, pour Comment réagir ? sélectionne Actions recommandées puis Quarantaine
  
• Reviens a l'onglet Analyse et clique sur Analyse complète du système, le scan démarre
  
• Si un fichier infecté a été détecté, en fin d'analyse clique sur Appliquer toutes les actions
  
• Clique sur Enregistrer le rapport et pour finir Enregistrer le rapport sous, enregistre sur le Bureau
  

9. Redémarrage en mode normal

• Redémarre en mode normal.
  
• Double-clique blbeta.exe et accepte la licence; clique Scan puis Next
  Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
  Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
  

• Poste :
  

• le rapport OTmoveIt que tu as sauvegardé sur le bureau.
  
• le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom [nombres_nombres].log
  
• le rapport AVG AS
  
• le nouveau rapport Blacklight
  
• un nouveau log hijackthis (toujours avec la version 1.99.1)
  

A plus tard. Prends le temps de bien lire tout ça, suis pas à pas les instructions.

 

Bonjour Gof,

 

Ca commence à être la grosse cata. Je ne peux plus faire tourner mon PC uniquement qu'en mode sans echec... sinon ca plante.

Du coup je ne peux pas faire tournerblbeta.exe

 

Voici les rapports demandé. J'ai suivi ta procédure.

 

Rapport OTmoveIT:

C:\WINDOWS\yzd.exe moved successfully.

File/Folder C:\Program Files\dslifestyle\dslifestyle.exe not found.

File/Folder C:\Program Files\dslifestyle\ps.exe not found.

C:\Documents and Settings\stef & sof\Mes documents\stef\DIV x\Lecteur\GDiVX1.9.9.5.exe moved successfully.

C:\WINDOWS\newdotnet3_36.dll_tobedeleted moved successfully.

C:\WINDOWS\appupdate.exe moved successfully.

File/Folder C:\Program Files\whInstall\Sporder.dll not found.

File/Folder C:\Program Files\whInstall\license.txt not found.

File/Folder C:\Program Files\whInstall\readme.txt not found.

File/Folder C:\Program Files\whInstall\webhdll.dll not found.

File/Folder C:\Program Files\whInstall\whAgent.exe not found.

File/Folder C:\Program Files\whInstall\whAgent.ini not found.

File/Folder C:\Program Files\whInstall\whInstaller.exe not found.

File/Folder C:\Program Files\whInstall\whSurvey.exe not found.

File/Folder C:\Program Files\whInstall\whiehlpr.dll not found.

File/Folder C:\Program Files\Fichiers communs\Yazzle1395OinUninstaller.exe not found.

C:\WINDOWS\system32\mwinppdv.exe moved successfully.

File/Folder C:\WINDOWS\system32\mwinppem.exe not found.

File/Folder C:\Documents and Settings\stef & sof\Mes documents\?icrosoft\chkdsk.exe - not found.

File/Folder C:\Program Files\Fichiers communs\Yazzle1395OinAdmin.exe not found.

C:\WINDOWS\system32\ltaoq.dat moved successfully.

File/Folder C:\WINDOWS\system32\mellvux.dll not found.

File/Folder C:\WINDOWS\updrun.exe not found.

File/Folder C:\WINDOWS\ts.exe not found.

File/Folder C:\WINDOWS\system32\wgcpe.exe not found.

File/Folder C:\WINDOWS\system32\gwllem.exe not found.

File/Folder c:\WINDOWS\SYSTEM32\HBJTORM.EXE not found.

File/Folder c:\WINDOWS\ERSSV.DLL not found.

File/Folder C:\WINDOWS\bGVyb3V4\command.exe not found.

 

Created on 05-17-2007 20:42:46

 

2eme rapport OTMoveIT:

 

C:\WINDOWS\yzd.exe moved successfully.

File/Folder C:\Program Files\dslifestyle\dslifestyle.exe not found.

File/Folder C:\Program Files\dslifestyle\ps.exe not found.

C:\Documents and Settings\stef & sof\Mes documents\stef\DIV x\Lecteur\GDiVX1.9.9.5.exe moved successfully.

C:\WINDOWS\newdotnet3_36.dll_tobedeleted moved successfully.

C:\WINDOWS\appupdate.exe moved successfully.

File/Folder C:\Program Files\whInstall\Sporder.dll not found.

File/Folder C:\Program Files\whInstall\license.txt not found.

File/Folder C:\Program Files\whInstall\readme.txt not found.

File/Folder C:\Program Files\whInstall\webhdll.dll not found.

File/Folder C:\Program Files\whInstall\whAgent.exe not found.

File/Folder C:\Program Files\whInstall\whAgent.ini not found.

File/Folder C:\Program Files\whInstall\whInstaller.exe not found.

File/Folder C:\Program Files\whInstall\whSurvey.exe not found.

File/Folder C:\Program Files\whInstall\whiehlpr.dll not found.

File/Folder C:\Program Files\Fichiers communs\Yazzle1395OinUninstaller.exe not found.

C:\WINDOWS\system32\mwinppdv.exe moved successfully.

File/Folder C:\WINDOWS\system32\mwinppem.exe not found.

File/Folder C:\Documents and Settings\stef & sof\Mes documents\?icrosoft\chkdsk.exe - not found.

File/Folder C:\Program Files\Fichiers communs\Yazzle1395OinAdmin.exe not found.

C:\WINDOWS\system32\ltaoq.dat moved successfully.

File/Folder C:\WINDOWS\system32\mellvux.dll not found.

File/Folder C:\WINDOWS\updrun.exe not found.

File/Folder C:\WINDOWS\ts.exe not found.

File/Folder C:\WINDOWS\system32\wgcpe.exe not found.

File/Folder C:\WINDOWS\system32\gwllem.exe not found.

File/Folder c:\WINDOWS\SYSTEM32\HBJTORM.EXE not found.

File/Folder c:\WINDOWS\ERSSV.DLL not found.

File/Folder C:\WINDOWS\bGVyb3V4\command.exe not found.

 

Created on 05-17-2007 20:42:46

 

Rapport AVG AS

 

 

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 21:57 2007-05-17

 

+ Résultat de l'analyse:

 

 

 

C:\Documents and Settings\stef & sof\Bureau\backups\backup-20070517-191642-981.dll -> Adware.Agent : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\14710\acexe.exe -> Adware.Agent : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\di.exe -> Adware.Agent : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\driverpp.sys -> Adware.Agent : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\iedrives.dll -> Adware.Agent : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\msdrv.exe -> Adware.Agent : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\msdrvctrl.exe -> Adware.Agent : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298228.dll -> Adware.Agent : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\iedrives.dll -> Adware.Agent : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\msdrv.exe -> Adware.Agent : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\msdrvctrl.exe -> Adware.Agent : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\msdrives\driverpp.sys -> Adware.Agent : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\msdrives\iedrives.dll -> Adware.Agent : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\msdrives\msdrv.exe -> Adware.Agent : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\msdrives\msdrvctrl.exe -> Adware.Agent : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\offun.exe -> Adware.Bagon : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Bureau\backups\backup-20070517-191642-236.dll -> Adware.BookedSpace : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Bureau\backups\backup-20070517-191642-401.dll -> Adware.BookedSpace : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298231.dll -> Adware.BookedSpace : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298233.dll -> Adware.BookedSpace : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\cfg32.exe -> Adware.BookedSpace : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\cfg32a.exe -> Adware.BookedSpace : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\cfg32s.dll -> Adware.BookedSpace : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\stub_mma1.exe -> Adware.BookedSpace : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\stub_track3.exe -> Adware.BookedSpace : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\BraveSentry -> Adware.Bravesentry : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\BraveSentry\BraveSentry.exe -> Adware.Bravesentry : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\BraveSentry\BraveSentry.lic -> Adware.Bravesentry : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\BraveSentry\BraveSentry0.bs -> Adware.Bravesentry : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\BraveSentry\BraveSentry0.dll -> Adware.Bravesentry : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\BraveSentry\BraveSentry1.bs -> Adware.Bravesentry : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\BraveSentry\BraveSentry2.dll -> Adware.Bravesentry : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\BraveSentry\BraveSentry3.dll -> Adware.Bravesentry : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\BraveSentry\Uninstall.exe -> Adware.Bravesentry : Nettoyé et sauvegardé (mise en quarantaine).

C:\_OTMoveIt\MovedFiles\WINDOWS\yzd.exe -> Adware.ClickSpring : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0299280.exe -> Adware.DropSpam : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0299281.exe -> Adware.DropSpam : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Classes\CLSID\{2DEA8791-C2B7-48E1-8992-8E8E6A6FE789} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Classes\CLSID\{366B2151-E1C7-44a3-86A3-E5686C2A3D2F} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Classes\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Classes\Interface\{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Classes\TypeLib\{A8954909-1F0F-41A5-A7FA-3B376D69E226} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{366B2151-E1C7-44a3-86A3-E5686C2A3D2F} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).

HKU\S-1-5-21-299502267-1060284298-1457926419-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2DEA8791-C2B7-48E1-8992-8E8E6A6FE789} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Classes\NaviPromo.EGNaviScoring.1 -> Adware.NaviPromo : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Bureau\backups\backup-20070517-191642-638.dll -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\Mozilla Firefox\NNSKYA638.exe -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\NewDotNet -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\NewDotNet\newdotnet6_38.dll -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\NewDotNet\readme.html -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\NewDotNet\uninstall6_38.exe -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\NDNuninstall6_38.exe -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

C:\_OTMoveIt\MovedFiles\Documents and Settings\stef & sof\Mes documents\stef\DIV x\Lecteur\GDiVX1.9.9.5.exe -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

C:\_OTMoveIt\MovedFiles\WINDOWS\newdotnet3_36.dll_tobedeleted -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Classes\Tldctl2.URLLink -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Classes\Tldctl2.URLLink.1 -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Classes\Tldctl2.URLLink\CLSID -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Classes\Tldctl2.URLLink\CurVer -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\New.net -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\New.net -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

HKU\.DEFAULT\Software\New.net -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

HKU\S-1-5-18\Software\New.net -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

HKU\S-1-5-20\Software\New.net -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

HKU\S-1-5-21-299502267-1060284298-1457926419-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E} -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

[1172] C:\Program Files\NewDotNet\newdotnet6_38.dll -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

[1716] C:\Program Files\NewDotNet\newdotnet6_38.dll -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

[760] C:\Program Files\NewDotNet\newdotnet6_38.dll -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

[844] C:\Program Files\NewDotNet\newdotnet6_38.dll -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).

C:\_OTMoveIt\MovedFiles\WINDOWS\appupdate.exe -> Adware.Nexus : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Classes\KBBar.KBBarBand -> Adware.PowerStrip : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Classes\KBBar.KBBarBand.1 -> Adware.PowerStrip : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Classes\KBBar.KBBarBand\CLSID -> Adware.PowerStrip : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Classes\KBBar.KBBarBand\CurVer -> Adware.PowerStrip : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\b122.exe -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Bureau\backups\backup-20070517-191642-221.dll -> Adware.TTC : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298232.dll -> Adware.TTC : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\VTTC.exe -> Adware.TTC : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0299274.exe -> Adware.WebHancer : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0299275.exe -> Adware.WebHancer : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0299276.exe -> Adware.WebHancer : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0299278.dll -> Adware.WebHancer : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0299279.dll -> Adware.WebHancer : Nettoyé et sauvegardé (mise en quarantaine).

C:\QooBox\Quarantine\C\Program Files\Fichiers communs\Yazzle1395OinUninstaller.exe.vir -> Adware.YazzleSudoku : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP769\A0293240.exe -> Adware.YazzleSudoku : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\Mozilla Firefox\TICHD001.exe -> Adware.ZenoSearch : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\Mozilla Firefox\TISKY002.exe -> Adware.ZenoSearch : Nettoyé et sauvegardé (mise en quarantaine).

C:\_OTMoveIt\MovedFiles\WINDOWS\system32\mwinppdv.exe -> Adware.ZenoSearch : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\smpi1\lib67.exe -> Adware.ZQuest : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\24.tmp.exe -> Backdoor.Agent.alp : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\26C.tmp.exe -> Backdoor.Agent.alp : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\26D.tmp.exe -> Backdoor.Agent.alp : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0295239.dll -> Backdoor.Agent.alp : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0297230.dll -> Backdoor.Agent.alp : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298249.dll -> Backdoor.Agent.alp : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298250.dll -> Backdoor.Agent.alp : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298251.exe -> Backdoor.Agent.alp : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP759\A0287292.dll -> Dialer.EGroup.g : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\ma1x1ddv.game -> Dialer.GBDialer.i : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298253.exe -> Dialer.GBDialer.i : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP759\A0287294.exe -> Dialer.InstantAccess : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\v4x3.ga2me -> Downloader.Agent.bls : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\win272.tmp.exe -> Downloader.Agent.bls : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0295252.exe -> Downloader.Agent.bls : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0295256.exe -> Downloader.Agent.bls : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\retadpu1000106.exe -> Downloader.Agent.bls : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\retadpu1000272.exe -> Downloader.Agent.bls : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\retadpu27.exe -> Downloader.Agent.bls : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\smpi1\lib06.exe -> Downloader.Agent.bls : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\vexga5me3.exe -> Downloader.Agent.bls : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\pasystem\pasystem.exe -> Downloader.Agent.bpi : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP759\A0287293.exe -> Downloader.Agent.dz : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\win258.tmp.exe -> Downloader.Alphabet : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298265.exe -> Downloader.Alphabet : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP759\A0287297.exe -> Downloader.PurityScan.bv : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\Fichiers communs\Yazzle1162OinAdmin.exe -> Downloader.PurityScan.eg : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP759\A0287291.dll -> Downloader.Qoologic.bj : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP764\A0287441.DLL -> Downloader.Qoologic.bj : Nettoyé et sauvegardé (mise en quarantaine).

C:\_OTMoveIt\MovedFiles\WINDOWS\system32\ltaoq.dat -> Downloader.Qoologic.bj : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\1.dllb -> Downloader.Small : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP759\A0287295.exe -> Downloader.Small : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298248.exe -> Downloader.Small : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\v5x2.g3ame -> Downloader.Small.eip : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0295251.exe -> Downloader.Small.eip : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298255.exe -> Downloader.Small.eip : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP759\A0287296.exe -> Downloader.TSUpdate.o : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\Mozilla Firefox\CmarP1083.exe -> Downloader.VB.awj : Nettoyé et sauvegardé (mise en quarantaine).

C:\Temp\SB1083.exe -> Downloader.VB.awj : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\dls0523pmw.exe -> Downloader.Zlob.bqw : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\Mozilla Firefox\msiexec.exe -> Hijacker.Agent.jp : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Bureau\TagASaurus.exe -> Hijacker.Small : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Bureau\backups\backup-20070517-191642-739.dll -> Hijacker.Small.cf : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\Mozilla Firefox\dnsersnd.exe -> Hijacker.Small.cf : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298234.dll -> Hijacker.Small.cf : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\uhmxuudp.exe -> Hijacker.Small.mr : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\win263.tmp -> Logger.Agent.or : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\Downloaded Program Files\imloader.exe -> Not-A-Virus.Downloader.Win32.ImLoader.b : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\v6xt4.game -> Proxy.Agent.ji : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0295253.exe -> Proxy.Agent.ji : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\spoolsvv.exe -> Proxy.Agent.ji : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\vexga4m1et4.exe -> Proxy.Agent.ji : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0295257.dll -> Proxy.Dlena : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\rpcc.exe -> Proxy.Dlena.ad : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\maindll.dll -> Proxy.Small : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts -> Proxy.Small : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\v3x1.g22me -> Proxy.Xorpix.ba : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\winA7D7.tmp -> Proxy.Xorpix.ba : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0295249.exe -> Proxy.Xorpix.ba : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298242.exe -> Proxy.Xorpix.ba : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\vx1t3.game -> Proxy.Xorpix.m : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0296224.dll -> Proxy.Xorpix.m : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298243.sys -> Rootkit.Agent.eq : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Cookies\stef & sof@buycom.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.

C:\Documents and Settings\stef & sof\Cookies\stef & sof@adrevolver[1].txt -> TrackingCookie.Adrevolver : Nettoyé.

C:\Documents and Settings\stef & sof\Cookies\stef & sof@advertising[1].txt -> TrackingCookie.Advertising : Nettoyé.

C:\Documents and Settings\stef & sof\Cookies\stef & sof@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.

C:\Documents and Settings\stef & sof\Cookies\stef & sof@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Nettoyé.

C:\Documents and Settings\stef & sof\Cookies\stef & sof@dealtime[1].txt -> TrackingCookie.Dealtime : Nettoyé.

C:\Documents and Settings\stef & sof\Cookies\stef & sof@stat.dealtime[1].txt -> TrackingCookie.Dealtime : Nettoyé.

C:\Documents and Settings\stef & sof\Cookies\stef & sof@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.

C:\Documents and Settings\stef & sof\Cookies\stef & sof@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.

C:\Documents and Settings\stef & sof\Cookies\stef & sof@tribalfusion[2].txt -> TrackingCookie.Tribalfusion : Nettoyé.

C:\Documents and Settings\stef & sof\Cookies\stef & sof@zedo[1].txt -> TrackingCookie.Zedo : Nettoyé.

C:\Program Files\Mozilla Firefox\install.exe -> Trojan.Agent : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298244.exe -> Trojan.Agent : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298245.exe -> Trojan.Agent : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\mst254.tmp -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\mst262.tmp -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\win25C.tmp.exe -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298246.dll -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298247.dll -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Bureau\backups\backup-20070517-191641-843.dll -> Trojan.BHO.ab : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\Mozilla Firefox\zippy2.exe -> Trojan.BHO.ab : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298227.dll -> Trojan.BHO.ab : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298264.exe -> Trojan.BHO.ab : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\16564\explorer.exe -> Trojan.KillAV.jr : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\Ofb11.exe -> Trojan.OwlF.a : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\Ofb11\Ofb11.dll -> Trojan.OwlF.a : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\19.tmp -> Trojan.Qhost.it : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\2A.tmp -> Trojan.Qhost.it : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\oalahvhp.exe -> Trojan.Qhost.it : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\Ipwindows\UnInstall.exe -> Trojan.Rond : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\Ipwindows\ipwins.dll -> Trojan.Rond : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\Ipwindows\ipwins.exe -> Trojan.Rond : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\qv3xt3.game -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\qvxt34.game -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\qvxt42.game -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298257.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298258.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298259.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0295259.sys -> Trojan.Tibs.w : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298256.sys -> Trojan.Tibs.w : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0294225.exe -> Trojan.VB.tg : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298261.exe -> Trojan.VB.tg : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298262.exe -> Trojan.VB.tg : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298263.exe -> Trojan.VB.tg : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298260.exe -> Trojan.YourEnhancement : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\5.dllb -> Worm.Nuwar : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298254.exe -> Worm.Nuwar : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\stef & sof\Local Settings\Temp\vx1t1.game -> Worm.Zhelatin.by : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EC5C6701-A06B-4C1E-92FE-287F2C89290B}\RP770\A0298252.exe -> Worm.Zhelatin.by : Nettoyé et sauvegardé (mise en quarantaine).

 

 

Fin du rapport

 

Rapport Hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 22:22, on 2007-05-17

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\STEF&S~1\LOCALS~1\Temp\Rar$EX09.303\HijackThis.exe

 

F2 - REG:system.ini: Shell=Explorer.exe, C:\WINDOWS\system32\wgcpe.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,hbjtorm.exe

O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvjol.dll,startup

O4 - HKLM\..\Run: [system] C:\WINDOWS\system32\kernels32.exe

O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\system32\stwookrx.dll",realset

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\system32\rpcc.exe

O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe

O4 - HKLM\..\Run: [qwertybot.exe] C:\WINDOWS\system32\qwertybot.exe

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O4 - HKCU\..\Run: [service Pack 1] C:\WINDOWS\system32\vexg6ame4.exe

O4 - HKCU\..\Run: [ipWins] C:\Program Files\Ipwindows\ipwins.exe

O4 - HKCU\..\Run: [msnfo32s] C:\WINDOWS\msnfo32s.exe

O4 - Startup: TA_Start.lnk = C:\Program Files\Mozilla Firefox\TISKY002.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\winhealer.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\winhealer.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe

O23 - Service: ViRobot Expert Monitoring (vrmonsvc) - HAURI - C:\Program Files\PCSecurityShield\ShieldAntivirus\vrmonsvc.exe.

 

Voila pour les rapports.

J'ai l'impression egalement que combofix mets le bazard. J'ai essayé de le désinstaller mais il n'apparait pas dans panneau de config / ajouter -supprimer les programmes /

 

En tout cas merci beaucoup pour ton aide dans cette situation qui devient délicate.

[Gof]

Bonjour M-self,

 

Ca commence à être la grosse cata. Je ne peux plus faire tourner mon PC uniquement qu'en mode sans echec... sinon ca plante.

De quelle manière cela plante-t-il ? Tu y as quand même accès au mode normal ? Comment as tu posté tes rapports ? D'un autre pc ?

 

En tout cas, la procédure précédente en neutralisant quelques infections a révélées une quantité importantes de fichiers infectés !

 

Si tu as accès au net, fais ceci :

 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte.
  

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  
• Appuie sur Y pour commencer le processus de nettoyage.
  
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  
• Appuie sur une touche pour redémarrer le PC.
  
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
  

Télécharge SmitfraufFix de S!Ri

• Décompresse la totalité de l'archive sur ton bureau.
  
• Double-clique sur smitfraudfix.cmd
  
• Sélectionne 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.
  
• Sauvegarde ce rapport et poste le dans ta prochaine réponse.
  process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.
  Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
  

Courage, à bientôt.

[M-self]

Bonjour M-self,

 

De quelle manière cela plante-t-il ? Tu y as quand même accès au mode normal ? Comment as tu posté tes rapports ? D'un autre pc ?

 

En tout cas, la procédure précédente en neutralisant quelques infections a révélées une quantité importantes de fichiers infectés !

 

Si tu as accès au net, fais ceci :

 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte.
  

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  
• Appuie sur Y pour commencer le processus de nettoyage.
  
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  
• Appuie sur une touche pour redémarrer le PC.
  
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
  

Télécharge SmitfraufFix de S!Ri

• Décompresse la totalité de l'archive sur ton bureau.
  
• Double-clique sur smitfraudfix.cmd
  
• Sélectionne 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.
  
• Sauvegarde ce rapport et poste le dans ta prochaine réponse.
  process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.
  Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
  

Courage, à bientôt.

 

Bonjour Gof,

 

En mode normal, Combofix me previent tout de suite qu'il y a des virus. Le telechargement du bureau prends 1/4 h et ensuite l'odrinateur se mets sur une page bleu en précisant qu'il vidange la mémoire. A mon avis, les trojans pompent toute la mémoire et je ne peux plus rien faire.

Ma seule manière de communiquer avec toi est le mode sans échec avec prise en charge réseau. C'est chaotique, mais ca marche encore.

 

Je vais suivre ta nouvelle procédure et te dis quoi.

[Gof]

Re M-self

 

Lorsque tu réponds, privilégie le "répondre" entre "flash" et "nouveau" de sorte d'éviter de reprendre tout le texte du post précédent.

 

Ma seule manière de communiquer avec toi est le mode sans échec avec prise en charge réseau.

D'accord, c'est un détail important cela, il faut me dire tout de suite ce genre de choses. Je ne te cacherais pas que tu es très très infecté. J'attends ton retour, et on emploiera la grosse artillerie.

[M-self]

Ok, mon probleme, reste que j'habite aux U.S et donc avec un decalage de 7h avec la France.

Dans la journee, je suis au boulot (actuellement par exemple).

Si tu souhaites communique + live, le w.e est plus facile... mais je ne veux quand meme pas abuser !

Si tu as des instructions supplementaires, tu peux poster et je ferais tourner ce soir (cette nuit pour toi).

 

En tout cas, merci encore pour ton aide.