trojan.vundo

bonjour à tous,
J'ai chopé trojan.Vundo et je n'arrive pas à le supprimer.
je précise que je ne suis pas expert ( loin de là )en informatique.
j'ai W2000 avec ZoneAlarm, Norton ( icone qui a disparu de la fenêtre en bas à droite ) ,adware, spybot et ccleaner
Voici mon problème :Norton me détecte 2 virus mais n'arrive pas à les supprimer = C:WINNT/System32/awtusss.dll et C:WINNT/System32/ddccc.dll.
j'ai essayé avec FixVundo.exe mais ça ne marche pas et je suis attaqué tous les 2 secondes. En plus comme je le disais plus haut, la plupart de mes icones en bas à droite de l'écran, ont disparu.
Pourriez-vous m'aider ?
par avance merci

bonjour

Télécharger sur le bureau
VirtumondoBegone

=Double clic sur VirtumundoBeGone.exe
=clic Continue ==> clic Start
=clic Oui
=A la fin si Vundo est présent , le PC s’éteint et redémarre

Si Ecran bleu et message : Erreur fatale .. pas de problème

=Poster le rapport VBG.TXT qui est sur le bureau


puis
Télécharger sur le bureau
Hijackthis
= clic droit dessus ==> renommer ==> écrire : test.exe ( à la place de hijackthis.exe) <== Important
=Double-clic dessus
= Clic Do a system scan and save the log
= copier le rapport, le coller dans la réponse

bonjour
en attendant votre reponse et avant de tenter votre solution, jai passé regcleaner et je pense avoir faire une bétise, j'ai effacé winlogon dans la liste de demarrage. Aussi je n'ose eteindre plus le PC.
j'ai fait une recherche de winlogon et voici le resultat
winlogon.log dans C:/WINNT/security/logs
winlogon.exe dans C:/WINNT/ServivesPackFiles/i386
winlogon.ex dans C:/WINNT/system32
WINLOGON.EXE dans C:/WINNT/system32
Que dois-je faire ?
merci d'avance

je n'ai pas bien compris
si tu n'as pas supprimé des clés de registre, Winlogon va s'éxécuter

si tu as plusieurs sessions possible de démarrage, tu pourras toujours démarrer sur une des sessions


[ Ce message a été modifié par : : land3 le 02-03-2007 17:12 ]

Bonjour
Merci tout d'abord de ton aide
Je ne sais pas si j'ai supprimer des clés de registre, je ne coanais pas grand chose.
J'ai juste viré winlogon dans regcleaner et je n'ai qu'une session.
J'ai peur qu'au prochain demarrage le pc ne demarre plus.
par contre j'ai passé symantec/security check et il me trouve 30 fichier sinfectés par adware/look...un truc comme ca est-ce lié aussi a trojan.vundo?
Je fais quoi ? ( je panique)

tu vas faire ça
------
télécharger la version d'essai ( 30jours)

Tuneup
tu l'intalles
---------
tu lances
Tune up undelete

tu sélectionnes le lecteur dasn lequel tu as Windows
suivant ==> tu tapes *.*
tu attends la fin et tu cherches
avec la date ( 02 03, si c'était hier )et le chemin tu vois si tu as supprimé un élément vita, l tu le restaures
----------------
ensuite tu fais ce que je t'ai dit pour Vundo
et tu dois avoir une infection Look to me

Télécharger sur le Bureau.
L2me-Destroyer.exe
= Fermer tous les programmes
=Double-clic Look2Me-Destroyer.exe
=Cocher Run this program as a task
= Message "Look2Me-Destroyer will close and re-open in approximately 1 minute".==>Clic [b OK] [/b]
= Le programme se relance==> Clic Scan for L2M
Disparition des icônes bureau=Normal
= A la fin clic Remove L2M
=Message Done Scanning ==>clic OK
=Message Done removing infected files! Look2Me-Destroyer will now shutdown your computer ==> clic OK
=Le PC s'éteind.
=Redémarrer
=un rapport Look2Me-Destroyer.txt dans C :
Le coller dans la réponse
et
Télécharger sur le bureau
Hijackthis
= clic droit dessus ==> renommer ==> écrire : test.exe ( à la place de hijackthis.exe) <== Important
=Double-clic dessus
= Clic Do a system scan and save the log
= copier le rapport, le coller dans la réponse

Bonjour
encore moi mais si ca peut vous aider...
j'ai renommé hijackthis.exe en test.exe et Do a system scan and save the log (j'ai lu quelque part qu'il fallait faire cette manip ).
Voici le rapport:
Logfile of HijackThis v1.99.1
Scan saved at 09:58:30, on 03/03/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\CTsvcCDA.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\Program Files\BitTorrent\bittorrent.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\VPTray.exe
C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_monitor.exe
C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\winmsgr.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\WINNT\msagent\AgentSvr.exe
D:\Mes documents\Antivirus\Test.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
O2 - BHO: (no name) - {0F01FF26-18F5-4613-BFD6-14DE2FBA24C3} - C:\WINNT\system32\awtusss.dll
O2 - BHO: (no name) - {A7C81B74-48E6-4513-9901-6D3225D328E3} - C:\WINNT\system32\ddccc.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HPIJetSend] C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
O4 - HKLM\..\Run: [WinMsg] C:\WINNT\winmsgr.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540004} - http://freepcscan.com/spyware/Install.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://telisa2.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5CA8D349-C6E7-11D4-8166-009027DF3BB2} (France Telecom MDDK ActiveX Control) - http://accueil.ava.serveur-ava.com/stkid_data/ocx/mDKid.cab
O16 - DPF: {63308B48-F435-42FD-AB0A-3564C7BEF9D7} (Toontown Installer ActiveX Control French) - http://idownload.fr.toontown.com/sv1.5.15.6/ttinst-french.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123939812437
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://www.securitoo.com/fra/pages/navol/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A13516A3-BE86-4517-813C-B5FF0C8ACDF3} (Toontown Installer ActiveX Control French) - https://iplay.fr.toontown.com/download/sv1.5.14.10/ttinst-french.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/InstallScorch.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C942A79B-01ED-47EE-9DAA-1EFAA70DAB8E} (VacPro.int_ver22b) - http://www.muiegaozsicur.com/ocx/intES_ver22b.CAB
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15028/CTPID.cab
O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_FR.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BCB1C8E-39ED-4841-8007-482146C16BF4}: NameServer = 80.10.246.130 80.10.246.3
O18 - Filter: text/html - (no CLSID) - (no file)
O20 - AppInit_DLLs: 52.dll
O20 - Winlogon Notify: awtusss - C:\WINNT\SYSTEM32\awtusss.dll
O20 - Winlogon Notify: ddccc - C:\WINNT\system32\ddccc.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - (no file)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing)
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe



Ajout du 03-03-2007 à 10:01:
ok je suis allé plus vite que la musique.
je suis ta procédure à tout de suite
merci

Ajout du 03-03-2007 à 10:18:
désolé encore une chose
CCleaner n'a pas détruit ce que j'ai peut etre effacé ?

J'ai exécuté tuneup (*.*) mais il ne m'a pas demandé de date et le rapport est tres volumineux.
Dois-je tout restaurer ?
merci

Ajout du 03-03-2007 à 15:36:
Bonjour
Voila j'ai exécuté Virtumundo et j'ai mis le rapport ( vbg.txt en zip car trop lourd ) en attachements et L2me-Destroyer et hijackthis ( test.exe) et je te joins les 2 rapports dans cet ordre-là.
Dans l'attente de ta réponse, merci pour tout

Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 03/03/2007 15:11:01

Infected! C:\WINNT\system32\aepmgmts.dll
Infected! C:\WINNT\system32\afi2evxx.dll
Infected! C:\WINNT\system32\auctres.dll
Infected! C:\WINNT\system32\dtvxdec_040c.dll
Infected! C:\WINNT\system32\g022lafo1d2c.dll
Infected! C:\WINNT\system32\h04mlah11d4.dll
Infected! C:\WINNT\system32\hbui.dll
Infected! C:\WINNT\system32\ivakeng.dll
Infected! C:\WINNT\system32\l2r00c9mef.dll
Infected! C:\WINNT\system32\lbexpand.dll
Infected! C:\WINNT\system32\mehtmler.dll
Infected! C:\WINNT\system32\mpvci70.dll
Infected! C:\WINNT\system32\mql_qic.dll
Infected! C:\WINNT\system32\mvdocs.dll
Infected! C:\WINNT\system32\oee2.dll
Infected! C:\WINNT\system32\purfnet.dll
Infected! C:\WINNT\system32\pvdkReg.dll
Infected! C:\WINNT\system32\waw32.dll
Infected! C:\WINNT\system32\wjnsmon.dll
Infected! C:\WINNT\system32\WLNG32.dll

Attempting to delete infected files...

Attempting to delete: C:\WINNT\system32\aepmgmts.dll
C:\WINNT\system32\aepmgmts.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\afi2evxx.dll
C:\WINNT\system32\afi2evxx.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\auctres.dll
C:\WINNT\system32\auctres.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\dtvxdec_040c.dll
C:\WINNT\system32\dtvxdec_040c.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\g022lafo1d2c.dll
C:\WINNT\system32\g022lafo1d2c.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\h04mlah11d4.dll
C:\WINNT\system32\h04mlah11d4.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\hbui.dll
C:\WINNT\system32\hbui.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\ivakeng.dll
C:\WINNT\system32\ivakeng.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\l2r00c9mef.dll
C:\WINNT\system32\l2r00c9mef.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\lbexpand.dll
C:\WINNT\system32\lbexpand.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\mehtmler.dll
C:\WINNT\system32\mehtmler.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\mpvci70.dll
C:\WINNT\system32\mpvci70.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\mql_qic.dll
C:\WINNT\system32\mql_qic.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\mvdocs.dll
C:\WINNT\system32\mvdocs.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\oee2.dll
C:\WINNT\system32\oee2.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\purfnet.dll
C:\WINNT\system32\purfnet.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\pvdkReg.dll
C:\WINNT\system32\pvdkReg.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\waw32.dll
C:\WINNT\system32\waw32.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\wjnsmon.dll
C:\WINNT\system32\wjnsmon.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\WLNG32.dll
C:\WINNT\system32\WLNG32.dll Deleted successfully!

Making registry repairs.


Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{2770F439-C822-4EB8-8BC8-BAFD97D59D0F}"
HKCR\Clsid\{2770F439-C822-4EB8-8BC8-BAFD97D59D0F}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{637562C4-F653-47A6-9D93-8856A03771C5}"
HKCR\Clsid\{637562C4-F653-47A6-9D93-8856A03771C5}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{E87CF1F8-FB52-4D17-B4B5-3AD853F50B01}"
HKCR\Clsid\{E87CF1F8-FB52-4D17-B4B5-3AD853F50B01}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{B585CFEF-953B-4910-BE10-3919B37AE9FF}"
HKCR\Clsid\{B585CFEF-953B-4910-BE10-3919B37AE9FF}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{7C8918F4-AB28-460E-B976-26275A5716AC}"
HKCR\Clsid\{7C8918F4-AB28-460E-B976-26275A5716AC}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{92F57595-292C-4E21-996A-8A790062F78E}"
HKCR\Clsid\{92F57595-292C-4E21-996A-8A790062F78E}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{CC3C9F7D-9A4A-4B0C-9BEF-78BD5CDA0B0D}"
HKCR\Clsid\{CC3C9F7D-9A4A-4B0C-9BEF-78BD5CDA0B0D}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{565A8896-2B35-4864-9A33-BCBBC35AB83D}"
HKCR\Clsid\{565A8896-2B35-4864-9A33-BCBBC35AB83D}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{81C7AF59-6F6A-46D6-8F90-82CD0683ED27}"
HKCR\Clsid\{81C7AF59-6F6A-46D6-8F90-82CD0683ED27}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{3EC3AFEB-9C54-416A-8C66-F337D294563B}"
HKCR\Clsid\{3EC3AFEB-9C54-416A-8C66-F337D294563B}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{7DD6578B-B6B2-4F3F-A32A-75812EAF91F5}"
HKCR\Clsid\{7DD6578B-B6B2-4F3F-A32A-75812EAF91F5}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{8DAE8FAB-27BF-4AC9-8AA8-C9FC79CC4DD3}"
HKCR\Clsid\{8DAE8FAB-27BF-4AC9-8AA8-C9FC79CC4DD3}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administrateurs - Succeeded


ET

Logfile of HijackThis v1.99.1
Scan saved at 15:27:18, on 03/03/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\CTsvcCDA.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
C:\WINNT\winmsgr.exe
C:\Program Files\BitTorrent\bittorrent.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
D:\Mes documents\Antivirus\Test.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
O2 - BHO: MSEvents Object - {0F01FF26-18F5-4613-BFD6-14DE2FBA24C3} - C:\WINNT\system32\awtusss.dll
O2 - BHO: (no name) - {6D5CD084-97B3-4AFD-824B-D11EA1E5B4E7} - C:\WINNT\system32\ddccc.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HPIJetSend] C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
O4 - HKLM\..\Run: [WinMsg] C:\WINNT\winmsgr.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540004} - http://freepcscan.com/spyware/Install.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://telisa2.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5CA8D349-C6E7-11D4-8166-009027DF3BB2} (France Telecom MDDK ActiveX Control) - http://accueil.ava.serveur-ava.com/stkid_data/ocx/mDKid.cab
O16 - DPF: {63308B48-F435-42FD-AB0A-3564C7BEF9D7} (Toontown Installer ActiveX Control French) - http://idownload.fr.toontown.com/sv1.5.15.6/ttinst-french.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123939812437
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://www.securitoo.com/fra/pages/navol/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A13516A3-BE86-4517-813C-B5FF0C8ACDF3} (Toontown Installer ActiveX Control French) - https://iplay.fr.toontown.com/download/sv1.5.14.10/ttinst-french.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/InstallScorch.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C942A79B-01ED-47EE-9DAA-1EFAA70DAB8E} (VacPro.int_ver22b) - http://www.muiegaozsicur.com/ocx/intES_ver22b.CAB
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15028/CTPID.cab
O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_FR.cab
O18 - Filter: text/html - (no CLSID) - (no file)
O20 - AppInit_DLLs: 52.dll
O20 - Winlogon Notify: awtusss - C:\WINNT\SYSTEM32\awtusss.dll
O20 - Winlogon Notify: ddccc - C:\WINNT\system32\ddccc.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - (no file)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing)
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe




Ajout du 03-03-2007 à 15:41:
je ne sais pas si l'attachement de vbg.zip a fonctionné, je l'espère
encore merci

ce n'est pas un PC que tu as mais un bouillon de culture tant tu es infecté
---------
le rapport n'est pas passé
--------
pour ce qui est de restaurer avec Tuneup , tu ne restaures que ce qui date d'hier ( si c'est bien hier que tu as fait du nettoyage )
-----------
je n'ai pas le temps de voir en détail.... je ferme , je quitte le travail !!!
Fred finira ton nettoyage ,s'il est là
--------------------
Télécharger sur le Bureau.
VundoFix

= Double-clic VundoFix.exe.
= Clic OK
=Attendre le redemarrage de Vundofix
=Clic Scan for Vundo
= le scan est assez long , à la fin
=Clic Remove Vundo
= Puis yes
= Le Bureau disparaît un moment lors de la suppression des fichiers.
=Message shutdown
=clic OK
=Redémarrage auto
Note : il peut y avoir plusieurs redémarrages
=copier le rapport qui est dans C:\vundofix.txt
et
Télécharger :
AVG Antispyware 7.5

= Installer
= Clic : Mise à jour
-----------------------
= Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes. Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
------------------------
= Dans ANALYSE
==> Paramètres ==> sous COMMENT REAGIR==>Actions recommandées ==>Quarantaine
==> Clic : Analyse complète du système
En fin de scan ( qui est assez long)
==> Clic Appliquer toutes les actions <== ceci Très important
==> Clic Sauvegarder rapport puis Enregistrer sous et choisir bureau
------------------------
En mode normal
Copier/coller le rapport ( qui est sur le bureau) dans la réponse
+
un nouveau hijack

Bonsoir
Avec pas mal de soucis, voici mes rapports que vous m'avez demandé.
Dans l'ordre :
1-VundoFix.txt
2-Report-Scan-20070304-122740.txt
3-hijackthis.log

En espérant pouvoir m'en sortir grâce à vous....merci

1-
VundoFix V6.3.9

Checking Java version...

Java version is 1.5.0.2

Java version is 1.5.0.4

Java version is 1.5.0.6

Scan started at 21:00:52 01/03/2007

Listing files found while scanning....

C:\WINNT\system32\cccdd.bak2
C:\WINNT\system32\cccdd.ini
C:\WINNT\system32\ddccc.dll

Beginning removal...

Beginning removal...

Attempting to delete C:\WINNT\system32\cccdd.bak2
C:\WINNT\system32\cccdd.bak2 Has been deleted!

Attempting to delete C:\WINNT\system32\cccdd.ini
C:\WINNT\system32\cccdd.ini Has been deleted!

Attempting to delete C:\WINNT\system32\ddccc.dll
C:\WINNT\system32\ddccc.dll Could not be deleted.

Performing Repairs to the registry.
Done!

VundoFix V6.3.9

Checking Java version...

Java version is 1.5.0.2

Java version is 1.5.0.4

Java version is 1.5.0.6

Scan started at 21:32:30 01/03/2007

Listing files found while scanning....

C:\WINNT\system32\cccdd.ini
C:\WINNT\system32\ddccc.dll

Beginning removal...

Attempting to delete C:\WINNT\system32\cccdd.ini
C:\WINNT\system32\cccdd.ini Has been deleted!

Attempting to delete C:\WINNT\system32\ddccc.dll
C:\WINNT\system32\ddccc.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINNT\system32\cccdd.ini
C:\WINNT\system32\cccdd.ini Has been deleted!

Attempting to delete C:\WINNT\system32\ddccc.dll
C:\WINNT\system32\ddccc.dll Could not be deleted.

Performing Repairs to the registry.
Done!

VundoFix V6.3.9

Checking Java version...

Java version is 1.5.0.2

Java version is 1.5.0.4

Java version is 1.5.0.6

Scan started at 17:07:30 03/03/2007

Listing files found while scanning....

C:\WINNT\system32\cccdd.bak1
C:\WINNT\system32\cccdd.bak2
C:\WINNT\system32\cccdd.ini
C:\WINNT\system32\ddccc.dll

Beginning removal...

Attempting to delete C:\WINNT\system32\cccdd.bak1
C:\WINNT\system32\cccdd.bak1 Has been deleted!

Attempting to delete C:\WINNT\system32\cccdd.bak2
C:\WINNT\system32\cccdd.bak2 Has been deleted!

Attempting to delete C:\WINNT\system32\cccdd.ini
C:\WINNT\system32\cccdd.ini Has been deleted!

Attempting to delete C:\WINNT\system32\ddccc.dll
C:\WINNT\system32\ddccc.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINNT\system32\ddccc.dll
C:\WINNT\system32\ddccc.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

2-
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 12:27:40 04/03/2007

+ Résultat de l'analyse:



C:\WINNT\system32\IXETCOMM.DLL -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINNT\system32\JBI3500.DLL -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINNT\system32\LWASRV.DLL -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINNT\system32\RUSDLG.DLL -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINNT\system32\UDERENV.DLL -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINNT\system32\awtusss.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase SX\Cracks\Cubase SX3 (all versions)\crack.exe -> Downloader.IstBar.is : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Microsoft AutoRoute\Crack Autoroute express 2006 39 cd1 et cd2\Crack 39\install.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Microsoft AutoRoute\Crack Autoroute express 2006 39 cd1 et cd2\Crack 41\install.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Microsoft AutoRoute\Crack Autoroute express 2006 39 cd1 et cd2\Crack 42\setup.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Microsoft AutoRoute\Crack Autoroute express 2006 39 cd1 et cd2\Crack 47\install.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Microsoft AutoRoute\install.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 03(1).rar/install.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 03(2).zip/setup.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 09.rar/install.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 09.zip/setup.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 15(1).rar/install.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 15(2).zip/install.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 21(1).zip/install.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 21(2).rar/install.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 24.rar/setup.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 24.zip/install.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 29(1).zip/setup.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 29(2).rar/setup.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 37(1).rar/setup.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 37(2).zip/install.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 41(1).rar/install.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 41(2).zip/install.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 44(1).zip/setup.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 44(2).rar/install.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 45.zip/install.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 47(1).zip/setup.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 47(2).rar/setup.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 57(1).zip/setup.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 57(2).rar/setup.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Cubase VST\Cracks\Cubase vst + crack 59.zip/install.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\Norton\symantec antivirus corporate edition 2002 55.zip/install.exe -> Hijacker.Agent.hi : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Attente de gravure\MusicMatch\MusicMatch 9.0\MusicMatch 9.00.0128 multillanguage.zip/crack_.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Nettoyé et sauvegardé (mise en quarantaine).
D:\Mes documents\Transferts\Blagues\petit cadeau.exe -> Trojan.Delf.tm : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

3-
Logfile of HijackThis v1.99.1
Scan saved at 21:02:07, on 04/03/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNT\System32\CTsvcCDA.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
C:\WINNT\winmsgr.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\BitTorrent\bittorrent.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Mes documents\Antivirus\Test.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
O2 - BHO: MSEvents Object - {0F01FF26-18F5-4613-BFD6-14DE2FBA24C3} - C:\WINNT\system32\awtusss.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {C7AF3914-50F9-4F6D-A596-31890B6CAF32} - C:\WINNT\system32\ddccc.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HPIJetSend] C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
O4 - HKLM\..\Run: [WinMsg] C:\WINNT\winmsgr.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540004} - http://freepcscan.com/spyware/Install.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://telisa2.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5CA8D349-C6E7-11D4-8166-009027DF3BB2} (France Telecom MDDK ActiveX Control) - http://accueil.ava.serveur-ava.com/stkid_data/ocx/mDKid.cab
O16 - DPF: {63308B48-F435-42FD-AB0A-3564C7BEF9D7} (Toontown Installer ActiveX Control French) - http://idownload.fr.toontown.com/sv1.5.15.6/ttinst-french.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123939812437
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://www.securitoo.com/fra/pages/navol/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A13516A3-BE86-4517-813C-B5FF0C8ACDF3} (Toontown Installer ActiveX Control French) - https://iplay.fr.toontown.com/download/sv1.5.14.10/ttinst-french.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/InstallScorch.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C942A79B-01ED-47EE-9DAA-1EFAA70DAB8E} (VacPro.int_ver22b) - http://www.muiegaozsicur.com/ocx/intES_ver22b.CAB
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15028/CTPID.cab
O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_FR.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BCB1C8E-39ED-4841-8007-482146C16BF4}: NameServer = 80.10.246.130 80.10.246.3
O18 - Filter: text/html - (no CLSID) - (no file)
O20 - AppInit_DLLs: 52.dll
O20 - Winlogon Notify: awtusss - awtusss.dll (file missing)
O20 - Winlogon Notify: ddccc - C:\WINNT\system32\ddccc.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - (no file)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing)
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

il reste encore du Vundo

Télécharger sur le bureau
VirtumondoBegone

=Double clic sur VirtumundoBeGone.exe
=clic Continue ==> clic Start
=clic Oui
=A la fin si Vundo est présent , le PC s’éteint et redémarre

Si Ecran bleu et message : Erreur fatale .. pas de problème

=Poster le rapport VBG.TXT qui est sur le bureau
---------
repasser L2me-Destroyer.exe
------------

relancer hijack
" Do a system scan only"
cocher cette ligne et cic sur : Fix Checked

O20 - AppInit_DLLs: 52.dll
-------
refaire un rapport hijack