[OK] PC en peril

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] PC en peril

Messagede Gatambr » 03 Mar 2008, 13:57

Bonjour,

Mon Pc à la maison est totalement contaminé et je ne sais pas quoi faire. J'ai suivi la mini manip ce qui m'a permit de redemarrer le PC en mode normal, mais j'ai toujours un fonctionnement aléatoire. Voila le dernier rapport:

Deckard's System Scanner v20071014.68
Run by Guillaume on 2008-02-27 21:30:32
Computer is in Normal Mode.
--------------------------------------------------------------------------------

Total Physical Memory: 224 MiB (512 MiB recommended).


-- HijackThis (run as Guillaume.exe) -------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:30:59, on 27/02/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\AVG\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Documents and Settings\Guillaume\Bureau\ds.exe
C:\Jaquo\GUILLA~1.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.free.fr:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 124.217.252.77 www.bravesentry.com
O1 - Hosts: 124.217.252.77 bravesentry.com
O1 - Hosts: 124.217.252.78 secure.isoftpay.com
O1 - Hosts: 124.217.252.77 www.bravesentry.com
O1 - Hosts: 124.217.252.77 bravesentry.com
O1 - Hosts: 124.217.252.78 secure.isoftpay.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: (no name) - {F9F799B9-3391-4CF5-B0C4-EDF7305A7F09} - C:\WINDOWS\System32\mllmj.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\RunServices: [UpdateWin] C:\WINDOWS\System32\olethk32z.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: cru629.dat
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\AVG\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

--
End of file - 6026 bytes

-- Files created between 2008-01-27 and 2008-02-27 -----------------------------

2008-02-27 21:16:43 5632 --a------ C:\WINDOWS\cru629.dat
2008-02-27 20:10:28 3503 --a------ C:\Start_.cmd
2008-02-27 20:10:27 0 d-------- C:\327882R2FWJFW
2008-02-27 18:54:45 0 d-------- C:\WINDOWS\pss
2008-02-26 20:19:46 0 d-------- C:\Program Files\Avira
2008-02-26 20:19:46 0 d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-02-26 20:18:07 0 d-------- C:\Antivir
2008-02-23 21:36:52 36352 --a------ C:\WINDOWS\System32\drivers\beep.sys
2008-02-23 21:02:44 0 dr-h----- C:\Documents and Settings\Guillaume\Recent
2008-02-23 19:42:29 3758 --a------ C:\WINDOWS\System32\tmp.reg
2008-02-23 19:31:40 0 d-------- C:\Documents and Settings\Guillaume\Application Data\Grisoft
2008-02-23 19:31:07 0 --a------ C:\WINDOWS\System32\dllgh8jkd1q8.exe
2008-02-23 19:08:37 24576 --a------ C:\WINDOWS\System32\VundoFixSVC.exe <Not>
2008-02-23 18:46:20 0 d-------- C:\VundoFix Backups
2008-02-23 18:43:26 0 dr-h----- C:\Documents and Settings\Administrateur\Recent
2008-02-23 18:26:38 0 d-------- C:\Jaquo
2008-02-23 18:23:42 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft
2008-02-23 18:23:09 0 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-02-23 18:20:43 0 d-------- C:\AVG
2008-02-23 18:08:10 0 d-------- C:\CCleaner
2008-02-12 16:58:02 0 d---s---- C:\Documents and Settings\Administrateur\Application Data\Microsoft
2008-02-12 16:58:02 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Identities
2008-02-12 16:58:01 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-02-12 16:58:01 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-02-12 16:58:01 0 dr-h----- C:\Documents and Settings\Administrateur\SendTo
2008-02-12 16:58:01 0 d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-02-12 16:58:01 0 dr------- C:\Documents and Settings\Administrateur\Mes documents
2008-02-12 16:58:01 0 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-02-12 16:58:01 0 d--h----- C:\Documents and Settings\Administrateur\Local Settings
2008-02-12 16:58:01 0 dr------- C:\Documents and Settings\Administrateur\Favoris
2008-02-12 16:58:01 0 d---s---- C:\Documents and Settings\Administrateur\Cookies
2008-02-12 16:58:01 0 d-------- C:\Documents and Settings\Administrateur\Bureau
2008-02-12 16:58:01 0 dr-h----- C:\Documents and Settings\Administrateur\Application Data
2008-02-12 16:58:01 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Roxio
2008-02-12 16:58:01 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Macromedia
2008-02-12 16:58:01 0 d-------- C:\Documents and Settings\Administrateur\Application Data\CyberLink
2008-02-12 16:58:00 0 d-------- C:\Documents and Settings\Administrateur\WINDOWS
2008-02-12 16:58:00 0 d---s---- C:\Documents and Settings\Administrateur\UserData
2008-02-12 16:57:59 1048576 --ah----- C:\Documents and Settings\Administrateur\NTUSER.DAT
2008-02-12 13:01:13 0 d-------- C:\Documents and Settings\Guillaume\Application Data\Anti-Virus-Pro.com
2008-02-12 12:59:57 10 --a------ C:\WINDOWS\System32\kr_done1
2008-02-12 12:59:51 0 d-------- C:\Program Files\AntiVirusPro
2008-02-08 17:52:32 0 d--hs---- C:\FOUND.004
2008-02-08 17:17:02 0 d-------- C:\Program Files\Microsoft Security Adviser
2008-02-06 22:05:16 0 d--hs---- C:\FOUND.003
2008-02-06 21:43:24 144 --ahs---- C:\WINDOWS\System32\691013646.dat


-- Find3M Report ---------------------------------------------------------------

2008-01-12 21:52:06 0 d-------- C:\Program Files\uTorrent
2008-01-12 21:51:58 0 d-------- C:\Documents and Settings\Guillaume\Application Data\uTorrent


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9F799B9-3391-4CF5-B0C4-EDF7305A7F09}]
C:\WINDOWS\System32\mllmj.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AliceSAV"="C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe" [16/12/2005 17:57]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [30/08/2002 06:00]
"qqzduv"="c:\windows\system32\qqzduv.exe" [06/02/2008 18:31]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
"UpdateWin"=C:\WINDOWS\System32\olethk32z.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=cru629.dat

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\System32\mllmj.dll
"UpdateWin"= C:\WINDOWS\System32\olethk32z.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Guillaume^Menu Démarrer^Programmes^Démarrage^Yahoo! Widget Engine.lnk]
path=C:\Documents and Settings\Guillaume\Menu Démarrer\Programmes\Démarrage\Yahoo! Widget Engine.lnk
backup=C:\WINDOWS\pss\Yahoo! Widget Engine.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
"C:\AVG\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
"C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\braviax]
braviax.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
C:\Program Files\Ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X1100 Series]
"C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
"C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
C:\Program Files\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
C:\Program Files\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
C:\WINDOWS\System32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\net64]
C:\WINDOWS\svhoster.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\netc]
C:\WINDOWS\svc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\netsv32]
C:\WINDOWS\sv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\netw]
C:\WINDOWS\svw.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\netx]
C:\WINDOWS\svx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\netzip]
C:\WINDOWS\svzip.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWEReboot]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\qqzduv]
c:\windows\system32\qqzduv.exe qqzduv

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioAudioCentral]
"C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioEngineUtility]
"C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemSv121]
C:\WINDOWS\System32\n2ewma1xxsv234.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateWin]
C:\WINDOWS\System32\olethk32z.exe




-- End of Deckard's System Scanner: finished at 2008-02-27 21:33:42 ------------

Est-ce que quelqu'un peut m'indiquer ce que je dois faire.

Merci d'avance pour votre aide precieuse.
Gatambr
 
Messages: 10
Inscription: 03 Mar 2008, 13:43

Messagede nickW » 03 Mar 2008, 19:03

Bonsoir,

Pourrais-tu créer deux nouveaux logs DSS selon la procédure ci-dessous, puis ne plus faire redémarrer ton PC jusqu'à ma réponse?

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec)
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser.



Étape 1: Deckard's System Scanner (DSS) (de Deckard)
Démarrer---->Exécuter---->taper exactement
"%userprofile%\Bureau\dss.exe"¤/config
(le caractère ¤ représente un espace)
puis cliquer sur OK

Dans la fenêtre nommée DSS Configuration, cocher les cases comme ceci:

Image

puis cliquer sur le bouton Scan


Étape 2: Résultats
Envoyer en réponse dans deux messages distincts (à cause de la longueur des logs):
*- les rapports de Deckard's System Scanner (contenu des fichiers main.txt et extra.txt situés dans le dossier C:\Deckard\System Scanner).


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Gatambr » 04 Mar 2008, 08:49

Bonjour NickW,

Merci beaucoup de t'occuper de mon probleme. Comme indiqué dans mon premier message, le souci que j'ai est sur l'ordinateur à la maison. Je vais donc faire scrupuleuseiuement la manip indiqué des ce soir sans redemarrer le PC. Par contre, tu n'auras les LOG que demain matin :?

A demain.
Gatambr
 
Messages: 10
Inscription: 03 Mar 2008, 13:43

Messagede Gatambr » 05 Mar 2008, 08:30

Bonjour,

J'ai essayé de suivre ce qui etais demandé mais avec un petit soucis. Quan j'ai saisi la ligne de commande demandé, il ne s'est rien passé. Idem quand j'ai essayé d'executer DSS.EXE. Il a fallu que je renomme le fichier DSS.EXE en autre chose (DS.EXE en l'occurence) pour que je puisse acceder a la config puis lancer le scan.

Enfin, voila les LOG:

Deckard's System Scanner v20071014.68
Run by Guillaume on 2008-03-04 20:47:56
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

System Restore is disabled; attempting to re-enable...success.


-- Last 1 Restore Point(s) --
1: 2008-03-04 19:47:59 UTC - RP1 - Point de vérification système


Performed disk cleanup.

Total Physical Memory: 224 MiB (512 MiB recommended).


-- HijackThis (run as Guillaume.exe) -------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:48:10, on 04/03/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\AVG\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\WINDOWS\System32\LVComsX.exe
C:\Documents and Settings\Guillaume\Bureau\ds.exe
C:\Jaquo\GUILLA~1.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.free.fr:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 124.217.252.77 www.bravesentry.com
O1 - Hosts: 124.217.252.77 bravesentry.com
O1 - Hosts: 124.217.252.78 secure.isoftpay.com
O1 - Hosts: 124.217.252.77 www.bravesentry.com
O1 - Hosts: 124.217.252.77 bravesentry.com
O1 - Hosts: 124.217.252.78 secure.isoftpay.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: (no name) - {F9F799B9-3391-4CF5-B0C4-EDF7305A7F09} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [braviax] braviax.exe
O4 - HKCU\..\RunServices: [UpdateWin] C:\WINDOWS\System32\olethk32z.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: cru629.dat
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\AVG\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

--
End of file - 5544 bytes

-- HijackThis Fixed Entries (C:\Jaquo\backups\) --------------------------------

backup-20080225-184134-739 O4 - HKLM\..\Run: [braviax] braviax.exe
backup-20080225-184246-608 O2 - BHO: (no name) - {A00CA75C-DEDD-4474-9088-5D6363D69338} - C:\WINDOWS\System32\fccabby.dll (file missing)
backup-20080225-184246-388 O4 - HKCU\..\Run: [braviax] C:\WINDOWS\System32\braviax.exe
backup-20080301-111226-995 O20 - AppInit_DLLs: cru629.dat

-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

S3 HSF_DP - c:\windows\system32\drivers\hsf_dp.sys (file missing)
S3 HSFHWBS2 - c:\windows\system32\drivers\hsfhwbs2.sys (file missing)
S3 Secdrv - c:\windows\system32\drivers\secdrv.sys (file missing)
S3 taskmon.sys - c:\windows\system32\taskmon.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Scheduler) - "c:\program files\avira\antivir personaledition classic\sched.exe" <Not>


-- Device Manager: Disabled ----------------------------------------------------

Class GUID:
Description: Contrôleur PCI de communications simplifiées
Device ID: PCI\VEN_14F1&DEV_2F00&SUBSYS_8D88141B&REV_01\3&13C0B0C5&0&28
Manufacturer:
Name: Contrôleur PCI de communications simplifiées
PNP Device ID: PCI\VEN_14F1&DEV_2F00&SUBSYS_8D88141B&REV_01\3&13C0B0C5&0&28
Service:


-- Files created between 2008-02-04 and 2008-03-04 -----------------------------

2008-03-02 20:48:55 0 d-------- C:\Program Files\Matthieu DUCROCQ
2008-03-02 20:45:02 0 d-------- C:\WINDOWS\System32\URTTemp
2008-03-02 20:43:44 0 d-------- C:\Open Cellar
2008-03-02 10:40:18 0 d-------- C:\MyWineAndCellar
2008-03-01 20:08:17 1158 --a------ C:\WINDOWS\mozver.dat
2008-03-01 12:32:22 5632 --a------ C:\WINDOWS\System32\cru629.dat
2008-03-01 12:32:22 5632 --a------ C:\WINDOWS\cru629.dat
2008-03-01 12:02:23 0 d-------- C:\Program Files\Mindscape
2008-03-01 11:07:26 0 d-------- C:\Documents and Settings\Guillaume\Application Data\Mozilla
2008-03-01 10:36:42 0 d-------- C:\Firefox
2008-02-27 21:46:21 0 dr-h----- C:\Documents and Settings\Guillaume\Recent
2008-02-27 20:10:28 3503 --a------ C:\Start_.cmd
2008-02-27 20:10:27 0 d-------- C:\327882R2FWJFW
2008-02-27 18:54:45 0 d-------- C:\WINDOWS\pss
2008-02-26 20:19:46 0 d-------- C:\Program Files\Avira
2008-02-26 20:19:46 0 d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-02-26 20:18:07 0 d-------- C:\Antivir
2008-02-23 21:36:52 36352 --a------ C:\WINDOWS\System32\drivers\beep.sys
2008-02-23 19:42:29 3758 --a------ C:\WINDOWS\System32\tmp.reg
2008-02-23 19:31:40 0 d-------- C:\Documents and Settings\Guillaume\Application Data\Grisoft
2008-02-23 19:31:07 0 --a------ C:\WINDOWS\System32\dllgh8jkd1q8.exe
2008-02-23 19:08:37 24576 --a------ C:\WINDOWS\System32\VundoFixSVC.exe <Not>
2008-02-23 18:46:20 0 d-------- C:\VundoFix Backups
2008-02-23 18:43:26 0 dr-h----- C:\Documents and Settings\Administrateur\Recent
2008-02-23 18:26:38 0 d-------- C:\Jaquo
2008-02-23 18:23:42 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft
2008-02-23 18:23:09 0 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-02-23 18:20:43 0 d-------- C:\AVG
2008-02-23 18:08:10 0 d-------- C:\CCleaner
2008-02-12 16:58:02 0 d---s---- C:\Documents and Settings\Administrateur\Application Data\Microsoft
2008-02-12 16:58:02 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Identities
2008-02-12 16:58:01 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-02-12 16:58:01 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-02-12 16:58:01 0 dr-h----- C:\Documents and Settings\Administrateur\SendTo
2008-02-12 16:58:01 0 d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-02-12 16:58:01 0 dr------- C:\Documents and Settings\Administrateur\Mes documents
2008-02-12 16:58:01 0 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-02-12 16:58:01 0 d--h----- C:\Documents and Settings\Administrateur\Local Settings
2008-02-12 16:58:01 0 dr------- C:\Documents and Settings\Administrateur\Favoris
2008-02-12 16:58:01 0 d---s---- C:\Documents and Settings\Administrateur\Cookies
2008-02-12 16:58:01 0 d-------- C:\Documents and Settings\Administrateur\Bureau
2008-02-12 16:58:01 0 dr-h----- C:\Documents and Settings\Administrateur\Application Data
2008-02-12 16:58:01 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Roxio
2008-02-12 16:58:01 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Macromedia
2008-02-12 16:58:01 0 d-------- C:\Documents and Settings\Administrateur\Application Data\CyberLink
2008-02-12 16:58:00 0 d-------- C:\Documents and Settings\Administrateur\WINDOWS
2008-02-12 16:58:00 0 d---s---- C:\Documents and Settings\Administrateur\UserData
2008-02-12 16:57:59 1048576 --ah----- C:\Documents and Settings\Administrateur\NTUSER.DAT
2008-02-12 13:01:13 0 d-------- C:\Documents and Settings\Guillaume\Application Data\Anti-Virus-Pro.com
2008-02-12 12:59:57 10 --a------ C:\WINDOWS\System32\kr_done1
2008-02-12 12:59:51 0 d-------- C:\Program Files\AntiVirusPro
2008-02-08 17:52:32 0 d--hs---- C:\FOUND.004
2008-02-08 17:17:02 0 d-------- C:\Program Files\Microsoft Security Adviser
2008-02-06 22:05:16 0 d--hs---- C:\FOUND.003
2008-02-06 21:43:24 144 --ahs---- C:\WINDOWS\System32\691013646.dat
2008-02-06 18:31:42 480 --a------ C:\WINDOWS\System32\qqzduv_navps.dat
2008-02-06 18:31:42 374564 --a------ C:\WINDOWS\System32\qqzduv_nav.dat
2008-02-06 18:31:42 5027 --a------ C:\WINDOWS\System32\qqzduv.dat
2008-02-06 18:31:35 354816 --a------ C:\WINDOWS\System32\qqzduv.exe


-- Find3M Report ---------------------------------------------------------------

2008-03-02 20:48:00 501128 --a------ C:\WINDOWS\System32\perfh00C.dat
2008-03-02 20:48:00 68900 --a------ C:\WINDOWS\System32\perfc00C.dat
2008-01-12 21:52:06 0 d-------- C:\Program Files\uTorrent
2008-01-12 21:51:58 0 d-------- C:\Documents and Settings\Guillaume\Application Data\uTorrent


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9F799B9-3391-4CF5-B0C4-EDF7305A7F09}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AliceSAV"="C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe" [16/12/2005 17:57]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [30/08/2002 06:00]
"braviax"="braviax.exe" []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
"UpdateWin"=C:\WINDOWS\System32\olethk32z.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=cru629.dat

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\System32\mllmj.dll
"UpdateWin"= C:\WINDOWS\System32\olethk32z.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Guillaume^Menu Démarrer^Programmes^Démarrage^Yahoo! Widget Engine.lnk]
path=C:\Documents and Settings\Guillaume\Menu Démarrer\Programmes\Démarrage\Yahoo! Widget Engine.lnk
backup=C:\WINDOWS\pss\Yahoo! Widget Engine.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
"C:\AVG\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
"C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\braviax]
braviax.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
C:\Program Files\Ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X1100 Series]
"C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
"C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
C:\Program Files\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
C:\Program Files\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
C:\WINDOWS\System32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\net64]
C:\WINDOWS\svhoster.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\netc]
C:\WINDOWS\svc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\netsv32]
C:\WINDOWS\sv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\netw]
C:\WINDOWS\svw.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\netx]
C:\WINDOWS\svx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\netzip]
C:\WINDOWS\svzip.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\qqzduv]
c:\windows\system32\qqzduv.exe qqzduv

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioAudioCentral]
"C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioEngineUtility]
"C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe




-- Hosts -----------------------------------------------------------------------

124.217.252.77 www.bravesentry.com
124.217.252.77 bravesentry.com
124.217.252.78 secure.isoftpay.com
124.217.252.77 www.bravesentry.com
124.217.252.77 bravesentry.com
124.217.252.78 secure.isoftpay.com


-- End of Deckard's System Scanner: finished at 2008-03-04 20:49:39 ------------
Gatambr
 
Messages: 10
Inscription: 03 Mar 2008, 13:43

Messagede Gatambr » 05 Mar 2008, 08:44

Puis le Fichier Extra.TXT:

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Édition familiale (build 2600) SP 1.0
Architecture: X86; Language: French

CPU 0: Intel(R) Celeron(R) CPU 2.70GHz
Percentage of Memory in Use: 65%
Physical Memory (total/avail): 223.48 MiB / 77.67 MiB
Pagefile Memory (total/avail): 547.6 MiB / 352.36 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1955.68 MiB

A: is Removable (No Media)
C: is Fixed (FAT32) - 72.63 GiB total, 54.79 GiB free.
D: is CDROM (No Media)
E: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - ST380011A - 72.64 GiB - 1 partition
\PARTITION0 (bootable) - Unknown - 72.64 GiB - C:



-- Security Center -------------------------------------------------------------

AUOptions is disabled.
AUState says computer has updates disabled.


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\Guillaume\Application Data
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Fichiers communs
COMPUTERNAME=PROPRI-X2FCBRDK
ComSpec=C:\WINDOWS\system32\cmd.exe
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\Guillaume
LOGONSERVER=\\PROPRI-X2FCBRDK
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\Fichiers communs\Roxio Shared\DLLShared
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 2 Stepping 9, GenuineIntel
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=0209
ProgramFiles=C:\Program Files
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\GUILLA~1\LOCALS~1\Temp
TMP=C:\DOCUME~1\GUILLA~1\LOCALS~1\Temp
USERDOMAIN=PROPRI-X2FCBRDK
USERNAME=Guillaume
USERPROFILE=C:\Documents and Settings\Guillaume
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

Guillaume (admin)
Administrateur (admin)


-- Add/Remove Programs ---------------------------------------------------------

--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Ad-Aware SE Personal --> C:\PROGRA~1\LAVASOFT\AD-AWA~1\UNWISE.EXE C:\PROGRA~1\LAVASOFT\AD-AWA~1\INSTALL.LOG
Adobe Acrobat 5.0 --> C:\WINDOWS\ISUNINST.EXE -f"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player 9 ActiveX --> C:\WINDOWS\System32\Macromed\Flash\FlashUtil9c.exe -uninstallUnlock
Alice Auto-diagnostic --> C:\Program Files\TechCity Solutions\AliceSAV\uninstall.exe
Arc-En-Ciel La grande fête des océans --> C:\emme\arc en ciel junior\Desinst.exe
µTorrent --> "C:\Program Files\uTorrent\uTorrent.exe" /UNINSTALL
AVG Anti-Spyware 7.5 --> C:\AVG\Grisoft\AVG Anti-Spyware 7.5\Uninstall.exe
Avira AntiVir PersonalEdition Classic --> C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Barre d'outils MSN --> C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\mtbs.exe c
CCleaner (remove only) --> "C:\CCleaner\uninst.exe"
Correctif pour le Lecteur Windows Media [Voir Q828026 pour plus d'informations] --> C:\WINDOWS\$NtUninstallQ828026$\spuninst\spuninst.exe
Correctif Windows XP - KB824146 -->
Correctif Windows XP (SP2) Q819696 --> C:\WINDOWS\$NtUninstallQ819696$\spuninst\spuninst.exe
DiMAGE Viewer --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{976EA7B1-7562-483D-88DA-4323D263B7CD}\Setup.exe" -l0x40c anything
DivX Codec 3.1alpha release --> C:\WINDOWS\System32\rundll32.exe setupapi,InstallHinfSection Remove_DivX 132 C:\WINDOWS\INF\DivX.inf
Easy CD & DVD Creator 6 --> MsiExec.exe /I{46DDF76F-ACD4-42BC-B48F-B89C4EE2E1A9}
FaxTools --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F45298E5-0083-426F-A668-1A2C5F04B8A0}\setup.exe" -l0x40c ControlPanel
Google Toolbar for Internet Explorer --> MsiExec.exe /I{DBEA1034-5882-4A88-8033-81C4EF0CFA29}
Google Toolbar for Internet Explorer --> regsvr32 /u /s "c:\program files\google\googletoolbar1.dll"
HijackThis 2.0.2 --> "C:\Jaquo\HijackThis.exe" /uninstall
InCD --> C:\WINDOWS\NuNInst.exe /UNINSTALL
InCD EasyWrite Reader --> C:\WINDOWS\unmrw.exe /UNINSTALL
Jasc Paint Shop Photo Album 5 --> MsiExec.exe /I{24960CD0-661D-4957-9D5F-D2905A30EDB1}
Kit de Connexion Alice ADSL --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3A0221AD-D30B-4320-8F9B-1D0F0E6C6843}\setup.exe" -l0x40c ControlPanel
Lapin Malin Maternelle 3 --> C:\Program Files\Mindscape\Lapin Malin Maternelle 3\uninstall.exe
Lexmark X1100 Series --> C:\WINDOWS\System32\spool\drivers\w32x86\3\LXBKUN5C.EXE -dLexmark X1100 Series
Logiciel QuickCam de Logitech --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C43048A9-742C-4DAD-90D2-E3B53C9DB825}\setup.exe" -l0x40c
Logitech Print Service --> C:\PROGRA~1\LOGITECH\PRINTS~1\UNWISE.EXE C:\PROGRA~1\LOGITECH\PRINTS~1\INSTALL.LOG
Microsoft Money 2001 --> MsiExec.exe /I{D085A1B6-90A4-11D3-82B7-00C04FA309DE}
Microsoft Office XP Professional avec FrontPage --> MsiExec.exe /I{9028040C-6000-11D3-8CFE-0050048383C9}
Mon 1er Lapin Malin + Atelier de dessin & de musique --> c:\documents and settings\guillaume\mes documents\uninstall.exe
Mozilla Firefox (2.0.0.12) --> C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MyWineAndCellar --> "C:\MyWineAndCellar\WDUNINST.EXE" /REG="MYWINEANDCELLAR"
Nero Media Player --> C:\WINDOWS\UNNMP.exe /UNINSTALL
Nero OEM --> C:\Program Files\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
NeroVision Express 2 --> C:\WINDOWS\UNNeroVision.exe /UNINSTALL
Open Cellar --> MsiExec.exe /I{948B2008-30F9-422F-8919-90ADF47EA70F}
PHOTORECOVERY® for Digital Media 2.0 --> C:\WINDOWS\iun507.exe C:\Program Files\PHOTORECOVERY\irunin.ini
Programme de gestion Camera de Logitech® --> "C:\Program Files\Fichiers communs\Logitech\QCDRV\BIN\SETUP.EXE" UNINSTALL REMOVEPROMPT
QuickTime --> C:\WINDOWS\unvise32qt.exe C:\WINDOWS\System32\QuickTime\Uninstall.log
S3Display --> s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Display'
S3Gamma2 --> s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Gamma2'
S3Info2 --> s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Info2'
S3Overlay --> s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Overlay'
Shockwave --> C:\WINDOWS\system32\MACROMED\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\MACROMED\SHOCKW~1\Install.log
Skype™ 3.2 --> MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Spybot - Search & Destroy 1.4 --> "C:\Program Files\Spybot - Search & Destroy\unins000.exe"
Stellarium 0.9.0 --> "C:\Program Files\Stellarium\unins000.exe"
VideoLAN VLC media player 0.8.6c --> C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live Messenger --> MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
Windows Live Sign-in Assistant --> MsiExec.exe /I{49672EC2-171B-47B4-8CE7-50D7806360D7}


-- Application Event Log -------------------------------------------------------

Event Record #/Type1189 / Warning
Event Submitted/Written: 03/04/2008 08:44:34 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir has detected 'TR/Crypt.ULPM.Gen'
in the file
C:\WINDOWS\braviax.exe

Event Record #/Type1188 / Warning
Event Submitted/Written: 03/04/2008 08:44:22 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir has detected 'TR/Crypt.ULPM.Gen'
in the file
C:\WINDOWS\System32\braviax.exe

Event Record #/Type1187 / Warning
Event Submitted/Written: 03/04/2008 03:32:57 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir has detected 'TR/Crypt.ULPM.Gen'
in the file
C:\WINDOWS\system32\braviax.exe

Event Record #/Type1186 / Warning
Event Submitted/Written: 03/04/2008 03:01:14 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir has detected 'TR/Crypt.ULPM.Gen'
in the file
C:\WINDOWS\system32\braviax.exe

Event Record #/Type1185 / Warning
Event Submitted/Written: 03/04/2008 10:50:32 AM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir has detected 'TR/FWDisable.15360'
in the file
C:\WINDOWS\btrsca.exe



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type10691 / Error
Event Submitted/Written: 03/01/2008 00:07:36 PM
Event ID/Source: 11 / Cdrom
Event Description:
Le pilote a détecté une erreur du contrôleur sur \Device\CdRom0.

Event Record #/Type10661 / Error
Event Submitted/Written: 02/28/2008 07:09:39 PM
Event ID/Source: 7034 / Service Control Manager
Event Description:
Le service WMDM PMSP Service s'est terminé de façon inattendue pour la 1ème fois.

Event Record #/Type10660 / Error
Event Submitted/Written: 02/28/2008 07:09:34 PM
Event ID/Source: 7034 / Service Control Manager
Event Description:
Le service Service de la passerelle de la couche Application s'est terminé de façon inattendue pour la 1ème fois.

Event Record #/Type10659 / Error
Event Submitted/Written: 02/28/2008 07:09:21 PM
Event ID/Source: 7034 / Service Control Manager
Event Description:
Le service LexBce Server s'est terminé de façon inattendue pour la 1ème fois.

Event Record #/Type10618 / Error
Event Submitted/Written: 02/27/2008 09:24:53 PM
Event ID/Source: 7034 / Service Control Manager
Event Description:
Le service WMDM PMSP Service s'est terminé de façon inattendue pour la 1ème fois.



-- End of Deckard's System Scanner: finished at 2008-03-04 20:49:39 ------------
Gatambr
 
Messages: 10
Inscription: 03 Mar 2008, 13:43

Messagede nickW » 06 Mar 2008, 01:11

Bonsoir,

Tentative de nettoyage:

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet et il y aura des redémarrages).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser en mode sans échec.



Étape 1: Affichage tous fichiers
Vérifier que ton PC affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/co ... aches.html


Étape 2: Création du fichier reparlsa.reg
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans le Bloc-notes (alias Notepad).
Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom de reparlsa.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.."
Si l'extension est .reg.txt, renommer le fichier en .reg
Code: Tout sélectionner
REGEDIT4

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00



Fermer le Bloc-notes.


Étape 3: HostsXpert (de FunkyToad)
Télécharger HostsXpert.zip depuis la page: http://www.funkytoad.com/content/view/13/31/
(cliquer sur Click Here to download HostsXpert)
Enregistrer le fichier sur le Bureau.
Décompresser la totalité de l'archive HostsXpert.zip (sous XP: clic droit, puis Extraire tout).


Étape 4: SDFix (de Andy Manchesta)
Télécharger SDFix.exe
Faire un clic droit sur le lien ci-dessous, puis choisir Enregistrer sous, et donner le nom correc1.exe et enregistrer ce fichier sur le Bureau.
http://downloads.andymanchesta.com/Remo ... /SDFix.exe

Faire un double clic sur correc1.exe pour lancer l'extraction de l'outil dans un dossier SDFix placé à la racine de la partition système (par défaut "C:\").


Étape 5: The Avenger (de Swandog46), téléchargement
Télécharger The Avenger en cliquant sur ce lien: http://swandog46.geekstogo.com/avenger2/download.php
Enregistrer ce fichier sur le Bureau.
Extraire de l'archive avenger.zip le fichier avenger.exe et le placer sur le Bureau.
Renommer le fichier avenger.exe en correc2.exe


Étape 6: Création du fichier aven1.txt
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans le Bloc-notes (alias Notepad).
Dans le Bloc-notes, vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sur le Bureau sous le nom de aven1.txt

Code: Tout sélectionner
Begin copying here:

Files to delete:
C:\WINDOWS\System32\cru629.dat
C:\WINDOWS\cru629.dat
C:\WINDOWS\System32\dllgh8jkd1q8.exe
C:\WINDOWS\System32\691013646.dat
C:\WINDOWS\System32\qqzduv_navps.dat
C:\WINDOWS\System32\qqzduv_nav.dat
C:\WINDOWS\System32\qqzduv.dat
C:\WINDOWS\System32\qqzduv.exe
C:\WINDOWS\System32\olethk32z.exe
C:\WINDOWS\braviax.exe
C:\WINDOWS\System32\braviax.exe
C:\WINDOWS\btrsca.exe
C:\Documents and Settings\Guillaume\Local Settings\Temp\WinReanimator.exe

Folders to delete:
C:\Program Files\WinReanimator
C:\Documents and Settings\All Users\Start Menu\Programs\WinReanimator

Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9F799B9-3391-4CF5-B0C4-EDF7305A7F09}
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\braviax
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\qqzduv

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | braviax
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa | UpdateWin


Note: Les lignes de la zone Code ci-dessus ont été créées exclusivement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, il ne faut pas les utiliser: elles pourraient endommager votre système.



Étape 7: Mode sans échec
Redémarrer en mode sans échec en utilisant la méthode F8 (F5 sur certains PCs).
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte, pas d'Internet Explorer ouvert.


Étape 8: SDFix
Ouvrir le dossier SDFix qui a été créé à la racine de la partition système, et faire un double clic sur RunThis.bat pour lancer l'outil.
Appuyer sur la touche Y pour lancer l'exécution.
L'outil va supprimer les services de certains trojans, effectuer aussi quelques réparations du Registre. Ensuite, il demandera d'appuyer sur une touche pour redémarrer.
Appuyer sur n'importe quelle touche pour redémarrer le PC.
Le système va mettre plus de temps que d'habitude pour redémarrer car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil va terminer le nettoyage puis afficher Finished.
Appuyer sur n'importe quelle touche pour fermer l'outil et charger les icônes du Bureau.
Une fenêtre du Bloc-notes va s'ouvrir, affichant le rapport de SDFix.
Fermer cette fenêtre.


Étape 9: The Avenger (de Swandog46), exécution
Fermer toutes les fenêtres de programme (il va y avoir redémarrage du PC).
Lancer The Avenger en cliquant sur le fichier correc2.exe situé sur le Bureau.
Cliquer sur OK sur le message d'avertissement.
Cliquer sur l'icône Image représentant un dossier jaune.

Il y a ouverture d'une nouvelle fenêtre "Open script file"
Dans cette fenêtre, naviguer jusqu'au Bureau et sélectionner (double clic) le fichier aven1.txt

Le contenu du fichier aven1.txt doit s'afficher dans la zone blanche (sous "Input script here:").

Ensuite cliquer sur le bouton Image "Execute" pour lancer l'exécution du script.

Cliquer sur "Oui" deux fois quand demandé (fenêtres "Confirm execution" et "First step completed").
Il va y avoir un ou deux redémarrages (avec une brève apparition d'une fenêtre de commande à fond noir).
En fin d'exécution, le rapport s'affichera dans le Bloc-notes.
Fermer le Bloc-notes.


Étape 10: HostsXpert (de FunkyToad)
Dans l'Explorateur, ouvrir le dossier HostsXpert qui a été créé sur le Bureau.

Faire un double clic sur HostsXpert.exe pour lancer le programme.

*- Dans la colonne de gauche, sous "File Handling", vérifier que le premier bouton affiche "Make ReadOnly?", comme ceci:
Image
Si ce premier bouton affiche "Make Writable?", cliquer une fois dessus de façon à ce qu'il affiche "Make ReadOnly?"

*- Dans la colonne de gauche, cliquer sur le bouton "Restore MS Hosts File"
Image
Dans la petite fenêtre intitulée "Confirm", cliquer sur OK

*- Dans la colonne de gauche, cliquer sur le premier bouton de façon à ce qu'il affiche "Make Writable?", comme ceci:
Image

*- Fermer HostsXpert.


Étape 11: Utilisation du fichier reparlsa.reg
Faire un clic droit sur reparlsa.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le Registre.


Étape 12: Deckard's System Scanner (DSS) (de Deckard)
Démarrer---->Exécuter---->taper exactement
"%userprofile%\Bureau\ds.exe"¤/config
(le caractère ¤ représente un espace)
puis cliquer sur OK

Dans la fenêtre nommée DSS Configuration, cocher les cases comme ceci:

Image

puis cliquer sur le bouton Scan


Étape 13: Résultats
Envoyer en réponse:
*- le rapport de SDFix (contenu du fichier Report.txt situé dans le dossier SDFix)
*- le rapport de The Avenger (contenu du fichier C:\avenger.txt)
Envoyer ensuite en réponse dans deux messages distincts (à cause de la longueur des logs):
*- les rapports de Deckard's System Scanner (contenu des fichiers main.txt et extra.txt situés dans le dossier C:\Deckard\System Scanner).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Gatambr » 07 Mar 2008, 08:30

Édité: ajout de sauts de lignes (x) pour ne pas perturber l'affichage du forum

Bonjour,

J'ai pu suivre scrupuleusement ta procedure, et voila les resultats:

RAPPORT SDFix:


SDFix: Version 1.153

Run by Guillaume on 06/03/2008 at 21:52

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Name:
runtime
taskmon.sys

Path:
\??\C:\WINDOWS\System32\drivers\runtime.sys
\??\C:\WINDOWS\System32\taskmon.sys

runtime - Deleted
taskmon.sys - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Default Desktop Wallpaper

Session Manager\SubSystems:
Trojan File basevsrsn32.dll and startup entry Found!
basevsrsn32.dll will be removed after reboot if registry value is repaired

Resetting AppInit_DLLs value


Rebooting

Service asc3550p - Deleted after Reboot

Session Manager\SubSystems:
ServerDll value restored to basesrv.dll
Key export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]
"Windows"=%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512x
Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3x
ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

Removing C:\WINDOWS\system32\basevsrsn32.dll



Infected beep.sys Found!

beep.sys File Locations:

"C:\WINDOWS\system32\drivers\beep.sys" 36352 25/02/2008 18:58
"C:\WINDOWS\system32\dllcache\beep.sys" 36352 25/02/2008 18:58

Infected File Listed Below:

C:\WINDOWS\system32\drivers\beep.sys
C:\WINDOWS\system32\dllcache\beep.sys

File copied to Backups Folder
Attempting to replace beep.sys with original version


Original beep.sys Restored

"C:\WINDOWS\system32\drivers\beep.sys" 4224 05/03/2008 02:36
"C:\WINDOWS\system32\dllcache\beep.sys" 4224 05/03/2008 02:36



Checking Files :

Trojan Files Found:

C:\WINDOWS\SYSTEM32\APSJMDCN.BMP - Deleted
C:\WINDOWS\SYSTEM32\JQLORAH.BMP - Deleted
C:\WINDOWS\SYSTEM32\DCNIT.BMP - Deleted
C:\WINDOWS\SYSTEM32\FEPSJE~1.BMP - Deleted
C:\WINDOWS\SYSTEM32\ONADGJ.BMP - Deleted
C:\WINDOWS\SYSTEM32\NQTSR.BMP - Deleted
C:\WINDOWS\SYSTEM32\DOJMDS~1.BMP - Deleted
C:\WINDOWS\SYSTEM32\HORAPS~1.BMP - Deleted
C:\WINDOWS\SYSTEM32\GFITKR~1.BMP - Deleted
C:\WINDOWS\SYSTEM32\IPOFAT~1.BMP - Deleted
C:\WINDOWS\SYSTEM32\GFMHKF~1.BMP - Deleted
C:\WINDOWS\SYSTEM32\QLSFMD~1.BMP - Deleted
C:\WINDOWS\SYSTEM32\IPSREH~1.BMP - Deleted
C:\WINDOWS\SYSTEM32\IDORMH~1.BMP - Deleted
C:\WINDOWS\SYSTEM32\DLLGH8~1.EXE - Deleted
C:\WINDOWS\system32\4_exception.nls - Deleted
C:\WINDOWS\system32\dllgh8jkd1q8.exe - Deleted
C:\WINDOWS\braviax.exe - Deleted
C:\WINDOWS\cru629.dat - Deleted
C:\WINDOWS\system32\bns.dat - Deleted
C:\WINDOWS\system32\braviax.exe - Deleted
C:\WINDOWS\system32\cru629.dat - Deleted
C:\WINDOWS\system32\kr_done1 - Deleted
C:\WINDOWS\system32\svcp.csv - Deleted
C:\WINDOWS\system32\vx.tll - Deleted
C:\WINDOWS\system32\winsub.xml - Deleted
C:\WINDOWS\system32\basevsrsn32.dll - Deleted



Folder C:\Program Files\Microsoft Security Adviser - Removed


Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-06 22:02:48
Windows 5.1.2600 Service Pack 1 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AliceSAV = C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe???????????????????????????????????????????????????????????????x
????????????????????????????????????????????????????????????????????????????????????????????????x
?????????????????????????????????????????

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Fri 19 Oct 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun 11 Jul 2004 35,328 ...H. --- "C:\Ancien Ordinateur\Mariage\Menu\~WRL0003.tmp"
Sat 5 Jun 2004 10,198 A..H. --- "C:\Program Files\Microsoft Office\Office\Gestionnaire Office\Off2.tmp"

Finished!





RAPPORT Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\System32\cru629.dat" not found!
Deletion of file "C:\WINDOWS\System32\cru629.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\cru629.dat" not found!
Deletion of file "C:\WINDOWS\cru629.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\System32\dllgh8jkd1q8.exe" not found!
Deletion of file "C:\WINDOWS\System32\dllgh8jkd1q8.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\System32\691013646.dat" deleted successfully.
File "C:\WINDOWS\System32\qqzduv_navps.dat" deleted successfully.
File "C:\WINDOWS\System32\qqzduv_nav.dat" deleted successfully.
File "C:\WINDOWS\System32\qqzduv.dat" deleted successfully.
File "C:\WINDOWS\System32\qqzduv.exe" deleted successfully.

Error: file "C:\WINDOWS\System32\olethk32z.exe" not found!
Deletion of file "C:\WINDOWS\System32\olethk32z.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\braviax.exe" not found!
Deletion of file "C:\WINDOWS\braviax.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\System32\braviax.exe" not found!
Deletion of file "C:\WINDOWS\System32\braviax.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\btrsca.exe" not found!
Deletion of file "C:\WINDOWS\btrsca.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Documents and Settings\Guillaume\Local Settings\Temp\WinReanimator.exe" not found!
Deletion of file "C:\Documents and Settings\Guillaume\Local Settings\Temp\WinReanimator.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\Program Files\WinReanimator" not found!
Deletion of folder "C:\Program Files\WinReanimator" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open folder "C:\Documents and Settings\All Users\Start Menu\Programs\WinReanimator"
Deletion of folder "C:\Documents and Settings\All Users\Start Menu\Programs\WinReanimator" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not delete registry value "HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa|UpdateWin"
Deletion of registry value "HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa|UpdateWin" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9F799B9-3391-4CF5-B0C4-EDF7305A7F09}" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\braviax" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\qqzduv" deleted successfully.

Error: could not delete registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|braviax"
Deletion of registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|braviax" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.
Gatambr
 
Messages: 10
Inscription: 03 Mar 2008, 13:43

Messagede Gatambr » 07 Mar 2008, 08:34

Maintenant, le rapport Main.txt:


Deckard's System Scanner v20071014.68
Run by Guillaume on 2008-03-06 22:09:34
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 3 Restore Point(s) --
3: 2008-03-06 21:09:41 UTC - RP3 - Deckard's System Scanner Restore Point
2: 2008-03-06 07:46:16 UTC - RP2 - Point de vérification système
1: 2008-03-04 19:48:05 UTC - RP1 - Point de vérification système


Performed disk cleanup.

Total Physical Memory: 224 MiB (512 MiB recommended).


-- HijackThis (run as Guillaume.exe) -------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:09:54, on 06/03/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\AVG\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Documents and Settings\Guillaume\Bureau\ds.exe
C:\Jaquo\GUILLA~1.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.free.fr:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\AVG\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

--
End of file - 5062 bytes

-- HijackThis Fixed Entries (C:\Jaquo\backups\) --------------------------------

backup-20080225-184134-739 O4 - HKLM\..\Run: [braviax] braviax.exe
backup-20080225-184246-608 O2 - BHO: (no name) - {A00CA75C-DEDD-4474-9088-5D6363D69338} - C:\WINDOWS\System32\fccabby.dll (file missing)
backup-20080225-184246-388 O4 - HKCU\..\Run: [braviax] C:\WINDOWS\System32\braviax.exe
backup-20080301-111226-995 O20 - AppInit_DLLs: cru629.dat

-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

S3 catchme - c:\docume~1\guilla~1\locals~1\temp\catchme.sys (file missing)
S3 HSF_DP - c:\windows\system32\drivers\hsf_dp.sys (file missing)
S3 HSFHWBS2 - c:\windows\system32\drivers\hsfhwbs2.sys (file missing)
S3 Secdrv - c:\windows\system32\drivers\secdrv.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Scheduler) - "c:\program files\avira\antivir personaledition classic\sched.exe" <Not>


-- Device Manager: Disabled ----------------------------------------------------

Class GUID:
Description: Contrôleur PCI de communications simplifiées
Device ID: PCI\VEN_14F1&DEV_2F00&SUBSYS_8D88141B&REV_01\3&13C0B0C5&0&28
Manufacturer:
Name: Contrôleur PCI de communications simplifiées
PNP Device ID: PCI\VEN_14F1&DEV_2F00&SUBSYS_8D88141B&REV_01\3&13C0B0C5&0&28
Service:


-- Files created between 2008-02-06 and 2008-03-06 -----------------------------

2008-03-06 21:48:04 0 d-------- C:\WINDOWS\ERUNT
2008-03-02 20:48:55 0 d-------- C:\Program Files\Matthieu DUCROCQ
2008-03-02 20:45:02 0 d-------- C:\WINDOWS\System32\URTTemp
2008-03-02 20:43:44 0 d-------- C:\Open Cellar
2008-03-02 10:40:18 0 d-------- C:\MyWineAndCellar
2008-03-01 20:08:17 1158 --a------ C:\WINDOWS\mozver.dat
2008-03-01 12:02:23 0 d-------- C:\Program Files\Mindscape
2008-03-01 11:07:26 0 d-------- C:\Documents and Settings\Guillaume\Application Data\Mozilla
2008-03-01 10:36:42 0 d-------- C:\Firefox
2008-02-27 21:46:21 0 dr-h----- C:\Documents and Settings\Guillaume\Recent
2008-02-27 20:10:28 3503 --a------ C:\Start_.cmd
2008-02-27 20:10:27 0 d-------- C:\327882R2FWJFW
2008-02-27 18:54:45 0 d-------- C:\WINDOWS\pss
2008-02-26 20:19:46 0 d-------- C:\Program Files\Avira
2008-02-26 20:19:46 0 d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-02-26 20:18:07 0 d-------- C:\Antivir
2008-02-23 19:42:29 3758 --a------ C:\WINDOWS\System32\tmp.reg
2008-02-23 19:31:40 0 d-------- C:\Documents and Settings\Guillaume\Application Data\Grisoft
2008-02-23 19:08:37 24576 --a------ C:\WINDOWS\System32\VundoFixSVC.exe <Not>
2008-02-23 18:46:20 0 d-------- C:\VundoFix Backups
2008-02-23 18:43:26 0 dr-h----- C:\Documents and Settings\Administrateur\Recent
2008-02-23 18:26:38 0 d-------- C:\Jaquo
2008-02-23 18:23:42 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft
2008-02-23 18:23:09 0 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-02-23 18:20:43 0 d-------- C:\AVG
2008-02-23 18:08:10 0 d-------- C:\CCleaner
2008-02-12 16:58:02 0 d---s---- C:\Documents and Settings\Administrateur\Application Data\Microsoft
2008-02-12 16:58:02 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Identities
2008-02-12 16:58:01 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-02-12 16:58:01 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-02-12 16:58:01 0 dr-h----- C:\Documents and Settings\Administrateur\SendTo
2008-02-12 16:58:01 0 d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-02-12 16:58:01 0 dr------- C:\Documents and Settings\Administrateur\Mes documents
2008-02-12 16:58:01 0 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-02-12 16:58:01 0 d--h----- C:\Documents and Settings\Administrateur\Local Settings
2008-02-12 16:58:01 0 dr------- C:\Documents and Settings\Administrateur\Favoris
2008-02-12 16:58:01 0 d---s---- C:\Documents and Settings\Administrateur\Cookies
2008-02-12 16:58:01 0 d-------- C:\Documents and Settings\Administrateur\Bureau
2008-02-12 16:58:01 0 dr-h----- C:\Documents and Settings\Administrateur\Application Data
2008-02-12 16:58:01 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Roxio
2008-02-12 16:58:01 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Macromedia
2008-02-12 16:58:01 0 d-------- C:\Documents and Settings\Administrateur\Application Data\CyberLink
2008-02-12 16:58:00 0 d-------- C:\Documents and Settings\Administrateur\WINDOWS
2008-02-12 16:58:00 0 d---s---- C:\Documents and Settings\Administrateur\UserData
2008-02-12 16:57:59 1048576 --ah----- C:\Documents and Settings\Administrateur\NTUSER.DAT
2008-02-12 13:01:13 0 d-------- C:\Documents and Settings\Guillaume\Application Data\Anti-Virus-Pro.com
2008-02-12 12:59:51 0 d-------- C:\Program Files\AntiVirusPro
2008-02-08 17:52:32 0 d--hs---- C:\FOUND.004
2008-02-06 22:05:16 0 d--hs---- C:\FOUND.003


-- Find3M Report ---------------------------------------------------------------

2008-03-02 20:48:00 501128 --a------ C:\WINDOWS\System32\perfh00C.dat
2008-03-02 20:48:00 68900 --a------ C:\WINDOWS\System32\perfc00C.dat
2008-01-12 21:52:06 0 d-------- C:\Program Files\uTorrent
2008-01-12 21:51:58 0 d-------- C:\Documents and Settings\Guillaume\Application Data\uTorrent


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AliceSAV"="C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe" [16/12/2005 17:57]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [30/06/2007 21:10]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Guillaume^Menu Démarrer^Programmes^Démarrage^Yahoo! Widget Engine.lnk]
path=C:\Documents and Settings\Guillaume\Menu Démarrer\Programmes\Démarrage\Yahoo! Widget Engine.lnk
backup=C:\WINDOWS\pss\Yahoo! Widget Engine.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
"C:\AVG\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
"C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
C:\Program Files\Ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X1100 Series]
"C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
"C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
C:\Program Files\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
C:\Program Files\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
C:\WINDOWS\System32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\net64]
C:\WINDOWS\svhoster.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\netc]
C:\WINDOWS\svc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\netsv32]
C:\WINDOWS\sv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\netw]
C:\WINDOWS\svw.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\netx]
C:\WINDOWS\svx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\netzip]
C:\WINDOWS\svzip.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioAudioCentral]
"C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioEngineUtility]
"C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe




-- End of Deckard's System Scanner: finished at 2008-03-06 22:10:50 ------------
Gatambr
 
Messages: 10
Inscription: 03 Mar 2008, 13:43

Messagede Gatambr » 07 Mar 2008, 08:37

Enfin le rapport Extra.txt


Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Édition familiale (build 2600) SP 1.0
Architecture: X86; Language: French

CPU 0: Intel(R) Celeron(R) CPU 2.70GHz
Percentage of Memory in Use: 71%
Physical Memory (total/avail): 223.48 MiB / 63.45 MiB
Pagefile Memory (total/avail): 547.48 MiB / 365.26 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1951.43 MiB

A: is Removable (No Media)
C: is Fixed (FAT32) - 72.63 GiB total, 54.64 GiB free.
D: is CDROM (No Media)
E: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - ST380011A - 72.64 GiB - 1 partition
\PARTITION0 (bootable) - Unknown - 72.64 GiB - C:



-- Security Center -------------------------------------------------------------

AUOptions is disabled.
AUState says computer has updates disabled.


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\Guillaume\Application Data
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Fichiers communs
COMPUTERNAME=PROPRI-X2FCBRDK
ComSpec=C:\WINDOWS\system32\cmd.exe
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\Guillaume
LOGONSERVER=\\PROPRI-X2FCBRDK
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\Fichiers communs\Roxio Shared\DLLShared
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 2 Stepping 9, GenuineIntel
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=0209
ProgramFiles=C:\Program Files
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\GUILLA~1\LOCALS~1\Temp
TMP=C:\DOCUME~1\GUILLA~1\LOCALS~1\Temp
USERDOMAIN=PROPRI-X2FCBRDK
USERNAME=Guillaume
USERPROFILE=C:\Documents and Settings\Guillaume
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

Guillaume (admin)
Administrateur (admin)


-- Add/Remove Programs ---------------------------------------------------------

--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Ad-Aware SE Personal --> C:\PROGRA~1\LAVASOFT\AD-AWA~1\UNWISE.EXE C:\PROGRA~1\LAVASOFT\AD-AWA~1\INSTALL.LOG
Adobe Acrobat 5.0 --> C:\WINDOWS\ISUNINST.EXE -f"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player 9 ActiveX --> C:\WINDOWS\System32\Macromed\Flash\FlashUtil9c.exe -uninstallUnlock
Alice Auto-diagnostic --> C:\Program Files\TechCity Solutions\AliceSAV\uninstall.exe
Arc-En-Ciel La grande fête des océans --> C:\emme\arc en ciel junior\Desinst.exe
µTorrent --> "C:\Program Files\uTorrent\uTorrent.exe" /UNINSTALL
AVG Anti-Spyware 7.5 --> C:\AVG\Grisoft\AVG Anti-Spyware 7.5\Uninstall.exe
Avira AntiVir PersonalEdition Classic --> C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Barre d'outils MSN --> C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\mtbs.exe c
CCleaner (remove only) --> "C:\CCleaner\uninst.exe"
Correctif pour le Lecteur Windows Media [Voir Q828026 pour plus d'informations] --> C:\WINDOWS\$NtUninstallQ828026$\spuninst\spuninst.exe
Correctif Windows XP - KB824146 -->
Correctif Windows XP (SP2) Q819696 --> C:\WINDOWS\$NtUninstallQ819696$\spuninst\spuninst.exe
DiMAGE Viewer --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{976EA7B1-7562-483D-88DA-4323D263B7CD}\Setup.exe" -l0x40c anything
DivX Codec 3.1alpha release --> C:\WINDOWS\System32\rundll32.exe setupapi,InstallHinfSection Remove_DivX 132 C:\WINDOWS\INF\DivX.inf
Easy CD & DVD Creator 6 --> MsiExec.exe /I{46DDF76F-ACD4-42BC-B48F-B89C4EE2E1A9}
FaxTools --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F45298E5-0083-426F-A668-1A2C5F04B8A0}\setup.exe" -l0x40c ControlPanel
Google Toolbar for Internet Explorer --> MsiExec.exe /I{DBEA1034-5882-4A88-8033-81C4EF0CFA29}
Google Toolbar for Internet Explorer --> regsvr32 /u /s "c:\program files\google\googletoolbar1.dll"
HijackThis 2.0.2 --> "C:\Jaquo\HijackThis.exe" /uninstall
InCD --> C:\WINDOWS\NuNInst.exe /UNINSTALL
InCD EasyWrite Reader --> C:\WINDOWS\unmrw.exe /UNINSTALL
Jasc Paint Shop Photo Album 5 --> MsiExec.exe /I{24960CD0-661D-4957-9D5F-D2905A30EDB1}
Kit de Connexion Alice ADSL --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3A0221AD-D30B-4320-8F9B-1D0F0E6C6843}\setup.exe" -l0x40c ControlPanel
Lapin Malin Maternelle 3 --> C:\Program Files\Mindscape\Lapin Malin Maternelle 3\uninstall.exe
Lexmark X1100 Series --> C:\WINDOWS\System32\spool\drivers\w32x86\3\LXBKUN5C.EXE -dLexmark X1100 Series
Logiciel QuickCam de Logitech --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C43048A9-742C-4DAD-90D2-E3B53C9DB825}\setup.exe" -l0x40c
Logitech Print Service --> C:\PROGRA~1\LOGITECH\PRINTS~1\UNWISE.EXE C:\PROGRA~1\LOGITECH\PRINTS~1\INSTALL.LOG
Microsoft Money 2001 --> MsiExec.exe /I{D085A1B6-90A4-11D3-82B7-00C04FA309DE}
Microsoft Office XP Professional avec FrontPage --> MsiExec.exe /I{9028040C-6000-11D3-8CFE-0050048383C9}
Mon 1er Lapin Malin + Atelier de dessin & de musique --> c:\documents and settings\guillaume\mes documents\uninstall.exe
Mozilla Firefox (2.0.0.12) --> C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MyWineAndCellar --> "C:\MyWineAndCellar\WDUNINST.EXE" /REG="MYWINEANDCELLAR"
Nero Media Player --> C:\WINDOWS\UNNMP.exe /UNINSTALL
Nero OEM --> C:\Program Files\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
NeroVision Express 2 --> C:\WINDOWS\UNNeroVision.exe /UNINSTALL
Open Cellar --> MsiExec.exe /I{948B2008-30F9-422F-8919-90ADF47EA70F}
PHOTORECOVERY® for Digital Media 2.0 --> C:\WINDOWS\iun507.exe C:\Program Files\PHOTORECOVERY\irunin.ini
Programme de gestion Camera de Logitech® --> "C:\Program Files\Fichiers communs\Logitech\QCDRV\BIN\SETUP.EXE" UNINSTALL REMOVEPROMPT
QuickTime --> C:\WINDOWS\unvise32qt.exe C:\WINDOWS\System32\QuickTime\Uninstall.log
S3Display --> s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Display'
S3Gamma2 --> s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Gamma2'
S3Info2 --> s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Info2'
S3Overlay --> s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Overlay'
Shockwave --> C:\WINDOWS\system32\MACROMED\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\MACROMED\SHOCKW~1\Install.log
Skype™ 3.2 --> MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Spybot - Search & Destroy 1.4 --> "C:\Program Files\Spybot - Search & Destroy\unins000.exe"
Stellarium 0.9.0 --> "C:\Program Files\Stellarium\unins000.exe"
VideoLAN VLC media player 0.8.6c --> C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live Messenger --> MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
Windows Live Sign-in Assistant --> MsiExec.exe /I{49672EC2-171B-47B4-8CE7-50D7806360D7}


-- Application Event Log -------------------------------------------------------

Event Record #/Type1200 / Warning
Event Submitted/Written: 03/06/2008 10:02:35 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir has detected 'TR/Crypt.ULPM.Gen'
in the file
C:\SDFix\backups\braviax.exe

Event Record #/Type1197 / Error
Event Submitted/Written: 03/06/2008 09:36:33 PM
Event ID/Source: 8193 / VSS
Event Description:
Erreur du service de cliché instantané des volumes : erreur lors de l'appel de la routine CoCreateInstance. hr = 0x80040206.

Event Record #/Type1196 / Error
Event Submitted/Written: 03/06/2008 09:36:33 PM
Event ID/Source: 4609 / EventSystem
Event Description:
Le système d'événements de COM+ a détecté un code de renvoi erroné lors de son traitement interne. Le HRESULT est 8007043C à partir de la ligne 44 de d:\nt\com\com1x\src\events\tier1\eventsystemobj.cpp. Contactez les services du Support Technique Microsoft pour signaler cette erreur.

Event Record #/Type1195 / Warning
Event Submitted/Written: 03/06/2008 09:18:24 AM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir has detected 'TR/Crypt.ULPM.Gen'
in the file
C:\WINDOWS\System32\braviax.exe

Event Record #/Type1194 / Warning
Event Submitted/Written: 03/06/2008 09:18:19 AM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir has detected 'TR/Crypt.ULPM.Gen'
in the file
C:\WINDOWS\System32\braviax.exe



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type10811 / Error
Event Submitted/Written: 03/06/2008 10:02:20 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Le pilote de démarrage système ou d'amorçage suivant n'a pas pu se charger :
Beep

Event Record #/Type10806 / Error
Event Submitted/Written: 03/06/2008 09:47:34 PM
Event ID/Source: 10005 / DCOM
Event Description:
DCOM a reçu l'erreur "%%1084" lors de la mise en route du service StiSvc avec les arguments ""
pour démarrer le serveur :
{A1F4E726-8CF1-11D1-BF92-0060081ED811}

Event Record #/Type10805 / Error
Event Submitted/Written: 03/06/2008 09:47:34 PM
Event ID/Source: 10005 / DCOM
Event Description:
DCOM a reçu l'erreur "%%1084" lors de la mise en route du service StiSvc avec les arguments ""
pour démarrer le serveur :
{A1F4E726-8CF1-11D1-BF92-0060081ED811}

Event Record #/Type10804 / Error
Event Submitted/Written: 03/06/2008 09:46:51 PM
Event ID/Source: 10005 / DCOM
Event Description:
DCOM a reçu l'erreur "%%1084" lors de la mise en route du service StiSvc avec les arguments ""
pour démarrer le serveur :
{A1F4E726-8CF1-11D1-BF92-0060081ED811}

Event Record #/Type10803 / Error
Event Submitted/Written: 03/06/2008 09:46:51 PM
Event ID/Source: 10005 / DCOM
Event Description:
DCOM a reçu l'erreur "%%1084" lors de la mise en route du service StiSvc avec les arguments ""
pour démarrer le serveur :
{A1F4E726-8CF1-11D1-BF92-0060081ED811}



-- End of Deckard's System Scanner: finished at 2008-03-06 22:10:50 ------------
Gatambr
 
Messages: 10
Inscription: 03 Mar 2008, 13:43

Messagede nickW » 08 Mar 2008, 00:46

Bonsoir,

Une petite manip, et un gros point d'interrogation:

Étape 1: Création du fichier repar.reg
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans le Bloc-notes (alias Notepad).
Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché), comme ceci:
Image

Enregistrer le fichier sous le nom de repar.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.." comme ceci:
Image

Si l'extension est .reg.txt, renommer le fichier en .reg
Code: Tout sélectionner
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1D6711C8-7154-40BB-8380-3DEA45B69CBF}]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000



Fermer le Bloc-notes.


Étape 2: Utilisation du fichier repar.reg
Fermer impérativement toutes les fenêtres d'Internet Explorer.
Faire un clic droit sur repar.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le Registre.


La question: Comment se comporte le PC?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Google [Bot] et 52 invités