infection, pb fonctionnement, rien n'est detecte par AVG

[Apollo]

Bonjour,

 

En Equateur? Didon, pour finir j'aurais fait le tour du monde moi

 

Est-ce que tu as remonté le fichier demandé en fin de rapport USB stp? C'est très utile pour le créateur de l'outil.

 

Please send the file: C:\UsbFix_Upload_Me_YOUR-59C96182D8.zip

http://chiquitine.changelog.fr/Sample/Upload.php

Thank you for your contribution.

 

La suite en deux étapes:

 

1) Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

 

Ferme toutes les applications ouvertes pour l'installer.

 

Sous Vista: Désactiver provisoirement l'UAC comme expliqué ICI

 

Double-clique (Clic droit/exécuter comme administrateur pour Vista) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur Scanner.

 

 

Le rapport se trouve aussi sous C:\Ad-Report.

Copie/colle-le dans ta réponse stp.

 

-----------------------------------------------------------------------------------------------

 

2) Double-clique (Clic droit/exécuter comme administrateur pour Vista) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur Nettoyer.

 

 

Le bureau va disparaitre, c'est normal!

 

Le rapport se trouve aussi sous C:\Ad-Report Clean.

Copie/colle-le dans ta réponse stp.

 

Réactiver l'UAC de Vista. (Si Vista bien sûr!).

 

La page d'accueil sera peut-être changée; il suffit de remettre sa page habituelle via les options internet.

 

Poste un nouveau log RSIT après ça stp.

 

@++

[gaele]

Salut apollo

 

Ben tiens, justement on fait un tour du monde! Genre billet TDM 12 escales a 1804euros ca c'est pr dire que c'est accessible! On a un blog si tu tu veux jte file le lien

 

Sinon, jai bien remonté le fichier demandé en fin de rapport USB.

 

 

 

 

Voici le 1er rapport AD-scan

 

 

 

 

======= REPORT FROM AD-REMOVER | ONLY XP/VISTA/7 =======

 

Updated by C_XX on 08/06/10 at 13:40

Contact: AdRemover.contact@gmail.com

website: http://pagesperso-orange.fr/NosTools/ad_remover.html

 

C:\Program Files\Ad-Remover\ADR.exe (SCAN [1]) -> Launched at 16:49:10 on 08/06/2010, Normal boot

 

Microsoft Windows XP Home Edition Service Pack 3 (X86)

Vasin, YOUR-59C96182D8 ( )

 

============== SEARCH ==============

 

 

0,Folder found: C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

0,File found: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

0,Folder found: C:\Documents and Settings\Vasin\Application Data\Mozilla\FireFox\Profiles\vxxxupmj.default\extensions\toolbar@ask.com

0,Folder found: C:\Documents and Settings\Vasin\Local Settings\Application Data\AskToolbar

3,File found: C:\WINDOWS\Installer\e1f86f.msi

 

-- File opened: C:\Documents and Settings\Vasin\Application Data\Mozilla\FireFox\Profiles\vxxxupmj.default\Prefs.js --

Line found: user_pref("extensions.asktb.cbid", "UG");

Line found: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://es.ask.com/web?q={query}&o={o}&l={l}&...

Line found: user_pref("extensions.asktb.fresh-install", false);

Line found: user_pref("extensions.asktb.l", "dis");

Line found: user_pref("extensions.asktb.last-config-req", "1275950589640");

Line found: user_pref("extensions.asktb.locale", "en_ES");

Line found: user_pref("extensions.asktb.o", "15158");

Line found: user_pref("extensions.asktb.overlay-reloaded-using-restart", true);

Line found: user_pref("extensions.asktb.qsrc", "2871");

Line found: user_pref("extensions.asktb.r", "3");

Line found: user_pref("extensions.asktb.search-suggestions-enabled", true);

Line found: user_pref("extensions.enabledItems", "{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}:6.0.18,jqs@sun.com:1.0,...

-- File closed --

 

 

1,Key found: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}

1,Key found: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}

1,Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}

1,Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

1,Key found: HKLM\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393}

1,Key found: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

1,Key found: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

1,Key found: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

1,Key found: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}

0,Key found: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd

0,Key found: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1

0,Key found: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL

1,Key found: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}

3,Key found: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

3,Key found: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

0,Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

 

0,Value found: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}

0,Value found: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

 

 

============== ADDITIONNAL SCAN ==============

 

** Mozilla Firefox Version [3.6.3 (fr)] **

 

-- C:\Documents and Settings\Vasin\Application Data\Mozilla\FireFox\Profiles\vxxxupmj.default\Prefs.js --

browser.search.defaultenginename, Bing

browser.search.defaulturl, hxxp://www.bing.com/search?FORM=IEFM1&q=

browser.startup.homepage_override.mstone, rv:1.9.2.3

keyword.URL, hxxp://www.bing.com/search?FORM=IEFM1&q=

 

========================================

 

** Internet Explorer Version [6.0.2900.5512] **

 

[HKCU\Software\Microsoft\Internet Explorer\Main]

Default_Page_URL: hxxp://www.nuevaq.fm

Default_Search_URL: hxxp://www.nuevaq.fm

Do404Search: 0x01000000

Enable Browser Extensions: yes

Local Page: hxxp://www.nuevaq.fm

Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896

Search Page: hxxp://www.nuevaq.fm

Show_ToolBar: yes

Start Page: hxxp://www.google.fr/

Use Search Asst: no

 

[HKLM\Software\Microsoft\Internet Explorer\Main]

Default_Page_URL: hxxp://www.nuevaq.fm

Default_Search_URL: hxxp://www.nuevaq.fm

Delete_Temp_Files_On_Exit: yes

Local Page: hxxp://www.nuevaq.fm

Search bar: hxxp://search.msn.com/spbasic.htm

Search Page: hxxp://www.nuevaq.fm

Start Page: hxxp://www.nuevaq.fm

 

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

Tabs: res://ieframe.dll/tabswelcome.htm

Blank: res://mshtml.dll/blank.htm

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 0 File(s)

C:\Program Files\Ad-Remover\Backup: 0 File(s)

 

C:\Ad-Report-SCAN[1].txt - 3338 Byte(s)

 

End at: 16:51:11, 08/06/2010

 

============== E.O.F ==============

 

 

 

Et voici le second AD-clean

 

 

 

======= REPORT FROM AD-REMOVER | ONLY XP/VISTA/7 =======

 

Updated by C_XX on 08/06/10 at 13:40

Contact: AdRemover.contact@gmail.com

website: http://pagesperso-orange.fr/NosTools/ad_remover.html

 

C:\Program Files\Ad-Remover\ADR.exe (CLEAN [1]) -> Launched at 16:51:43 on 08/06/2010, Normal boot

 

Microsoft Windows XP Home Edition Service Pack 3 (X86)

Vasin, YOUR-59C96182D8 ( )

 

============== ACTION(S) ==============

 

 

0,Folder deleted: C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

0,File deleted: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

0,Folder deleted: C:\Documents and Settings\Vasin\Application Data\Mozilla\FireFox\Profiles\vxxxupmj.default\extensions\toolbar@ask.com

0,Folder deleted: C:\Documents and Settings\Vasin\Local Settings\Application Data\AskToolbar

3,File deleted: C:\WINDOWS\Installer\e1f86f.msi

 

(!) -- Temporary files deleted.

 

 

-- File opened: C:\Documents and Settings\Vasin\Application Data\Mozilla\FireFox\Profiles\vxxxupmj.default\Prefs.js --

Line deleted: user_pref("extensions.asktb.cbid", "UG");

Line deleted: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://es.ask.com/web?q={query}&o={o}&l={l}&...

Line deleted: user_pref("extensions.asktb.fresh-install", false);

Line deleted: user_pref("extensions.asktb.l", "dis");

Line deleted: user_pref("extensions.asktb.last-config-req", "1275950589640");

Line deleted: user_pref("extensions.asktb.locale", "en_ES");

Line deleted: user_pref("extensions.asktb.o", "15158");

Line deleted: user_pref("extensions.asktb.overlay-reloaded-using-restart", true);

Line deleted: user_pref("extensions.asktb.qsrc", "2871");

Line deleted: user_pref("extensions.asktb.r", "3");

Line deleted: user_pref("extensions.asktb.search-suggestions-enabled", true);

Line deleted: user_pref("extensions.enabledItems", "{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}:6.0.18,jqs@sun.com:1.0,...

-- File closed --

 

 

1,Key deleted: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}

1,Key deleted: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}

1,Key deleted: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}

1,Key deleted: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

1,Key deleted: HKLM\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393}

1,Key deleted: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

1,Key deleted: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

1,Key deleted: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

1,Key deleted: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}

0,Key deleted: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd

0,Key deleted: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1

0,Key deleted: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL

1,Key deleted: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}

3,Key deleted: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

3,Key deleted: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

0,Key deleted: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

 

0,Value deleted: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}

0,Value deleted: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

 

 

============== ADDITIONNAL SCAN ==============

 

** Mozilla Firefox Version [3.6.3 (fr)] **

 

-- C:\Documents and Settings\Vasin\Application Data\Mozilla\FireFox\Profiles\vxxxupmj.default\Prefs.js --

browser.search.defaultenginename, Bing

browser.search.defaulturl, hxxp://www.bing.com/search?FORM=IEFM1&q=

browser.startup.homepage_override.mstone, rv:1.9.2.3

keyword.URL, hxxp://www.bing.com/search?FORM=IEFM1&q=

 

========================================

 

** Internet Explorer Version [6.0.2900.5512] **

 

[HKCU\Software\Microsoft\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Do404Search: 0x01000000

Enable Browser Extensions: yes

Local Page: hxxp://www.nuevaq.fm

Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896

Show_ToolBar: yes

Start Page: hxxp://fr.msn.com/

Use Search Asst: no

 

[HKLM\Software\Microsoft\Internet Explorer\Main]

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Delete_Temp_Files_On_Exit: yes

Local Page: hxxp://www.nuevaq.fm

Search bar: hxxp://search.msn.com/spbasic.htm

Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Start Page: hxxp://fr.msn.com/

 

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

Tabs: res://ieframe.dll/tabswelcome.htm

Blank: res://mshtml.dll/blank.htm

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 172 File(s)

C:\Program Files\Ad-Remover\Backup: 14 File(s)

 

C:\Ad-Report-CLEAN[1].txt - 3552 Byte(s)

C:\Ad-Report-SCAN[1].txt - 5185 Byte(s)

 

End at: 16:53:46, 08/06/2010

 

============== E.O.F ==============

 

 

 

Un grand merci pr ton aide!!!!!

[Apollo]

Tu en as de la chance, moi je n'ai jamais "visité" que les pays limitrophes de la Belgique.

 

De là à aller au Vietnam ou en Amérique, j'ai pas les moyens.

 

Désinstalle Ad-Remover et poste un nouveau log RSIT ou Hijackthis stp.

 

Tu peux me filer le lien par message privé stp. Merci.

 

@++

[gaele]

AD desinstalle!

 

Voici le nouveau log Hijackthis

Alors ten penses quoi?

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:46:57, on 08/06/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AVG\AVG9\avgchsvx.exe

C:\Program Files\AVG\AVG9\avgrsx.exe

C:\Program Files\AVG\AVG9\avgwdsvc.exe

C:\Program Files\AVG\AVG9\avgcsrvx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\AVG\AVG9\avgnsx.exe

C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller2.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\PROGRA~1\AVG\AVG9\avgtray.exe

C:\Program Files\AVG\AVG9\avgemc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Program Files\AVG\AVG9\avgcsrvx.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Vasin\Vasin1\winhelp32.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Skype\Toolbars\Shared\SkypeNames.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\WINDOWS\system32\ntvdm.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nuevaq.fm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nuevaq.fm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nuevaq.fm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nuevaq.fm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nuevaq.fm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nuevaq.fm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nuevaq.fm

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.nuevaq.fm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.nuevaq.fm

R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [uCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" UpdateWithCreateOnce "Software\CyberLink\YouCam\2.0"

O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe

O4 - HKLM\..\Run: [NVIDIA Media Center Library] C:\Documents and Settings\Vasin\Vasin1\winlogon.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [NVIDIA Media Center Library] C:\Documents and Settings\Vasin\Vasin1\winlogon.exe

O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

O8 - Extra context menu item: Send to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Send To Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.canalblog.com/sharedDocs/misc/u...geUploader5.cab

O18 - Protocol: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: AVG Security Toolbar Service - Unknown owner - C:\Program Files\AVG\AVG9\Toolbar\ToolbarBroker.exe

O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe

O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: ??????????????? Google (gupdate1caa818729136a2) (gupdate1caa818729136a2) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: SRS PostInstaller Service (SRS_PostInstaller) - SRS Labs, Inc. - C:\Program Files\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller2.exe

 

--

End of file - 8699 bytes

[Apollo]

Ce que j'en pense... c'est que tes maudits liens nuevaq machin mènent droit sur un virus via une page piégée.

 

Voici le test que je viens de faire:

 

État : Infecté (événements : 1)

08/06/2010 18:53:08 Infecté virus HEUR:Exploit.Script.Generic http://www.nuevaq.fm/java0day_E.js//java0day_E Elevées

 

Ton AVG, c'est la version gratuite? Gratuite ou pas, c'est une passoire pour ne pas détecter ça...

 

Si tu veux on va remplacer ça par un antivirus gratuit mais beaucoup plus performant.

 

En attendant:

 

Relance Hijackthis avec Do a system scan only et coche les cases devant les lignes suivantes: SOUS VISTA/7: Clic droit sur Hijackthis/exécuter en temps qu'administrateur!

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nuevaq.fm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nuevaq.fm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nuevaq.fm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nuevaq.fm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nuevaq.fm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nuevaq.fm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nuevaq.fm

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.nuevaq.fm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.nuevaq.fm

 

Ferme toutes les applications ouvertes et les navigateurs et clique sur Fix Checked

 

---------

Ouvre le bloc-notes (Démarrer/Programmes/Accessoires/Bloc-notes) et copie-colle l'intégralité du texte contenu dans le cadre ci-dessous (sans oublier la 1ère ligne): (pas le mot quote!)

 

 

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Start Page"="http://www.google.fr"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]

"Tabs"="res://ieframe.dll/tabswelcome.htm"

 

 

Tu enregistres le fichier sur ton bureau en le nommant CleanReg.reg et en choisissant Tous les fichiers dans le champ Type.

Double-clique sur CleanReg.reg et accepte la fusion.

Tu dois avoir un message disant que tout s'est bien passé.

 

 

:arrow: Redémarre le PC et poste un nouveau log HijackThis.

Dis nous si tu peux maintenant changer ta page d'accueil (qui doit être maintenant positionnée sur Google.fr)

 

-------------------------------

Je te conseille fortement de changer d'antivirus, tu es d'accord?

 

@++

[gaele]

OUi AVG est la version gratuite :/ et oui carrement je veux changer d'antivirus!!!!!!

 

Premiere etape, " Relance Hijackthis avec Do a system scan only " en fermant ttes les appli et fini par fix check effectuee!

 

Pr contre pr la suite, jai bien copie le texte sur note pad sur ton bureau en le nommant CleanReg.reg mais qd je double clique rien ne se passe!!!!

 

Qu veux dire "en choisissant Tous les fichiers dans le champ Type." ????

 

Cest un ordi achete en thailande dc tt en en anglais! C'est qd jenregistre que je dois choisir Tous les fichiers type ou qd je l'ouvre?

 

Pr info, je suis sous XP et pas vista!

 

Je ressaye le tps que tu me reponde....

[Apollo]

Attends, je vais te créer le fichier *.reg et te l'héberger comme ça je saurais que c'est correct

 

Il me faut quelques minutes.

 

@++

 

EDIT: je sais que tu es sous XP mais nos procédures sont faites pour plusieurs systèmes; tu te rends compte le nombre de fichiers texte s'il fallait en faire un pour chaque système?

 

C'est qu'il faut les créer ces fichiers et avec BB Codes et tout ça

Modifié le 8 juin 2010 par Apollo

[gaele]

Bah, je viens de t'enoyer un message qui n'a pas du passer....

 

1ere etape OK cad Do a system scan only + fix checked

 

Mais pb, je copie le txte sur notpad, je clique sur "all file" (jai un ordi en anglais) qd j'enregistre le doc => rien ne se passe si je double clique dessus!

 

Dois je inclure le mot "citation" ds mon copier coller?

 

Notpad cest bien le Bloc-not?

 

Attends intructions

[Apollo]

Voilà: Télécharge et enregistre ce fichier sur ton bureau: http://senduit.com/11af4d

 

Ensuite, fais un clic droit dessus puis clique sur Fusionner, c'est très rapide.

 

Redémarre le pc.

 

Poste alors un nouveau log Hijackthis.

 

-------------------------------------

 

Je te donne la procédure pour changer d'antivirus.

 

Désinstalle AVG.

Redémarre le pc pour achever la désinstallation.

 

Antivir est un antivirus gratuit, efficace et léger, maintenant en français, dont les mises à jour sont quotidiennes et les nouvelles menaces sont rapidement intégrées dans sa base virale. (D'où la meilleure protection).

 

• Télécharge installe et paramètre Antivir comme indiqué sur cette page: Télécharger, installer, configurer Antivir (version française)
  

 

PS: Quand un fichier infecté est détecté par Antivir, une fenêtre semblable à celle-ci s'ouvre:

 

 

Antivir te demande ce qu'il doit faire du fichier infecté.

Choisis Déplacer en quarantaine puis clique sur OK.

 

Tu peux automatiser ce type d'action en cochant une case), comme ci dessous :

 

Cela permet de ne pas rester à la surveiller.

 

Mets-le à jour puis lance une analyse complète.

Poste le rapport obtenu stp.

 

Tutos:

http://www.vista-xp.fr/forum/topic227.html

 

http://www.libellules.ch/tuto_antivir.php

 

@++

[gaele]

ah ben si cetait passe

Ca marche, je vais me fumer une clope (bouh cest pas bo ca)

 

OUi jimagine bien que tu nereecris pas ttes les procedures a chq fois je me demandais meme comment tu pouvais avoir la patience d'expliquer a des biquettes (je m'inclue ) avec autant de patience.....la passion des codes et des strings p-etre!!!!