[ Résolu ] besoin d aide rapport HJT a analyser!

[maykimaykedelille]

Bjr,

 

Merci de me dire que faire avec ce rapport!

 

Logfile of HijackThis v1.99.1

Scan saved at 13:31:33, on 07/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\system32\qttask.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\program files\zango\zango.exe

C:\Program Files\Softwin\BitDefender8\bdnagent.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\ctfmon.exe

C:\program files\mailskinner\mailskinner.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX02.766\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Zango Search Assistant Helper - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\program files\zango\zangohook.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Zango Toolbar - {EA0D26BD-9029-431A-86E0-83152D67828A} - C:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [zango] "c:\program files\zango\zango.exe"

O4 - HKLM\..\Run: [bDMCon] "C:\Program Files\Softwin\BitDefender8\bdmcon.exe"

O4 - HKLM\..\Run: [bDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Modifié le 22 juillet 2006 par maykimaykedelille

[Mark]

Bonjour maykimaykedelille, et bienvenu sur Zeb' Sécurité

 

Tu sembles être infecté(e) par Egdaccess, qui est plutôt caché. Y a Zango aussi. Cette désinfection va nécessiter quelques étapes, alors tu dois bien suivre les étapes et ça ira..

==============================================

 

Première étape : placer HijackThis! dans un répertoire dédié. Créé un nouveau dossier dans le répertoire "Program Files" et nomme-le Hijackthis >> ça te donnera

C:\Program Files\Hijackthis

 

Maintenant, extrait l'outil (hijackthis.exe) dans ce nouveau dossier. Fais un clic-droit dessus et envoie un raccourci vers le Bureau, si tu veux. Je vais maintenant te faire télécharger un petit prog spécial, qui permet à HijackThis! de bien voir si Egdaccess nous cache un processus. **Note : l'outil hijackthis.exe doit absolument se trouver dans son nouveau répertoire, sinon la prochaine manip ne fonctionnera pas !

 

Télécharge HijackThis! + Extra de ce lien :

http://metallica.geekstogo.com/setuphjt.exe

 

Sauvegarde le sur ton Bureau.

Double-clique sur le fichier afin d'en extraire le contenu. Un raccourci HJT and More sera créé (Bureau), et l'outil sera extrait dans C:\HJT

Double-clique sur le raccourci HJT and More, puis double-clique ht.bat

Une fenêtre DOS apparaîtra;

Après quelques secondes, un fichier texte nommé hijackthis.log apparaîtra; ferme le. Un second fichier texte nommé both.log sera maintenant visible.

Copie puis colle tout le contenu de both.log dans ta prochaine réponse. (Ferme toutes les fenêtres générées par HijackThis! par la suite).

 

@+

Modifié le 7 avril 2006 par Qc001

[maykimaykedelille]

Alors j ai bien suivi tes indications mais ca ne marche pas!

 

J ai bien cree un fichier c/program files/hijackthis dans lequel j ai mis le telchargement de HJK

 

Aprs j installe le raccourci sur bureau

 

Puis j ai installe l autre lien indique sur bureau

 

mais quand je clique dessus une petite fenetre s ouvre au milieu de l ecran et m indique: nom d unfichier already exist do you want to overwrite it?

 

Que je clique oui ou non, ca revient 3 4 fois avec un nom de fichier different

 

et au final y a rien qui se passe!!

 

Merci de me dire quoi alors!

[Mark]

Salut maykimaykedelille ;

 

C'est pas bien grave... L'installation de cet outil n'est pas des plus simples, alors on va faire autrement (y a plus d'une façon pour coincer cette bestiole.. )

==============================

 

Télécharge la version d'essai d'Ewido Anti-Malware ici :

http://www.ewido.net/fr/

 

..et installe le (Important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu").

 

Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme.

 

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

Du mode Sans Échec, relance Ewido et clique sur Scanner puis sur Scan complet du système.

 

Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections".

 

A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Redémarre en mode Normal. Je te fais passer un autre outil :

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Prière de poster les rapports suivant dans ta prochaine réponse :

 

1) Ewido

2) BlackLight

3) Nouveau rapport HijackThis!

 

Bon courage, et @+

[maykimaykedelille]

Merci!

 

Alors je tiens a preciser que la config de mon profil n est pas celle du pc concerne par ces infections!!!

 

alors voila les differents rapports:

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 21:24:23, 09/04/2006

+ Somme de contrôle: 64AB6EB8

 

+ Résultats du scan:

 

HKU\S-1-5-21-448539723-1303643608-1801674531-500\Software\zango -> Adware.Zango : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@adopt.euroclick[2].txt -> TrackingCookie.Euroclick : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@cs.sexcounter[2].txt -> TrackingCookie.Sexcounter : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@ehg-dig.hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\WINDOWS\system32\msclock32.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

 

Rapport Blacklight

 

04/09/06 21:35:12 [info]: BlackLight Engine 1.0.35 initialized

04/09/06 21:35:12 [info]: OS: 5.1 build 2600 (Service Pack 2)

04/09/06 21:35:12 [Note]: 7019 4

04/09/06 21:35:12 [Note]: 7005 0

04/09/06 21:35:15 [Note]: 7006 0

04/09/06 21:35:15 [Note]: 7011 1284

04/09/06 21:35:16 [Note]: 7026 0

04/09/06 21:35:16 [Note]: 7026 0

04/09/06 21:35:16 [Note]: 7024 3

04/09/06 21:35:16 [info]: Hidden process: C:\windows\system32\vfznwbdrqx.exe

04/09/06 21:35:16 [Note]: FSRAW library version 1.7.1015

04/09/06 21:38:18 [info]: Hidden file: C:\WINDOWS\system32\vfznwbdrqx_nav.dat

04/09/06 21:38:18 [Note]: 10002 1

04/09/06 21:38:19 [info]: Hidden file: C:\WINDOWS\system32\vfznwbdrqx.dat

04/09/06 21:38:19 [Note]: 10002 1

04/09/06 21:38:19 [info]: Hidden file: C:\windows\system32\vfznwbdrqx.exe

04/09/06 21:38:19 [Note]: 10002 1

04/09/06 21:38:19 [info]: Hidden file: C:\WINDOWS\system32\vfznwbdrqx_navps.dat

04/09/06 21:38:19 [Note]: 10002 1

04/09/06 21:38:23 [info]: Hidden file: C:\WINDOWS\system32\msclock32.dll

04/09/06 21:38:23 [Note]: 10002 1

04/09/06 21:44:09 [Note]: 7007 0

 

 

 

 

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 21:50:55, on 09/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\qttask.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\program files\mailskinner\mailskinner.exe

C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\PROGRA~1\Wanadoo\Watch.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\hijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [zango] "c:\program files\zango\zango.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\system32\lxcfcoms.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

 

Voila, j attends de tes nouvelles!

[Mark]

Excellent ! ; je vois exactement ce que je voulais voir - Merci

 

Ok, tu devras exécuter quelques manips pour cette désinfection ; ça peut paraître long et complexe, mais en suivant bien les étapes, tu verras que ce n'est pas si horrible Allons-y :

=================================================

 

1) Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

 

Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important). On passera cet outil plus tard.

 

 

2) Télécharge Killbox (par Option^Explicit) sur ton Bureau.

Double-clique killbox.exe.

Choisis l'option "Delete on reboot".

 

Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") :

 

 

C:\windows\system32\vfznwbdrqx.exe

C:\WINDOWS\system32\vfznwbdrqx.dat

C:\WINDOWS\system32\vfznwbdrqx_nav.dat

C:\WINDOWS\system32\vfznwbdrqx_navps.dat

C:\WINDOWS\system32\msclock32.dll

c:\program files\zango\zango.exe

 

 

Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard

 

Clique sur le bouton : All Files (!important!)

 

Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)

Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.

Si tu ne reçois pas ce message, redémarre le PC normalement.

 

 

3) Dès le redémarrage de KillBox, tapote la touche F8 afin de démarrer en mode Sans Échec (même manip qu'au post précédent..). Lance HijackThis! et clique "Do a system scan only", puis coche ces lignes :

 

O4 - HKLM\..\Run: [zango] "c:\program files\zango\zango.exe"

 

O4 - HKLM\..\Run: [vfznwbdrqx] c:\windows\system32\ vfznwbdrqx.exe vfznwbdrqx

 

Clique sur "Fix checked". Ferme HijackThis! (demeure en mode Sans Échec).

 

 

4) Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

Sous Scriptline to execute copie/colle cette ligne :

 

c:\bfu\EGDACCESS.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK (l'exécution est rapide..).

Clique Exit pour fermer le programme BFU.

 

 

5) Repasse un scan complet avec Ewido (toujours en mode Sans Échec), et sauvegarde son rapport.

 

6) Redémarre en mode Normal. Poste le nouveau rapport d'Ewido ainsi qu'un nouveau log HijackThis! dans ta prochaine réponse.

 

Bon courage, et bon succès

[maykimaykedelille]

Voila les resultats des deux scann!

 

Merci de ton aide!

 

-

--------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 16:48:18, 10/04/2006

+ Somme de contrôle: 7659326

 

+ Résultats du scan:

 

HKU\S-1-5-21-448539723-1303643608-1801674531-500\Software\zango -> Adware.Zango : Nettoyer et sauvegarder

C:\!KillBox\( 1) -> Adware.NaviPromo : Nettoyer et sauvegarder

:mozilla.8:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder

:mozilla.9:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder

:mozilla.10:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder

:mozilla.16:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

:mozilla.21:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

:mozilla.48:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder

:mozilla.49:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

:mozilla.50:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

:mozilla.51:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

:mozilla.52:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

:mozilla.72:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.73:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.74:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.75:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Com : Nettoyer et sauvegarder

:mozilla.80:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder

:mozilla.92:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder

:mozilla.93:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder

:mozilla.95:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

:mozilla.99:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

:mozilla.105:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Googleadservices : Nettoyer et sauvegarder

:mozilla.131:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

:mozilla.132:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

:mozilla.133:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

:mozilla.134:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

:mozilla.135:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

:mozilla.168:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder

:mozilla.169:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder

:mozilla.170:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder

:mozilla.171:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder

:mozilla.337:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Casinotropez : Nettoyer et sauvegarder

:mozilla.338:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Casinotropez : Nettoyer et sauvegarder

:mozilla.425:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.439:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.445:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.452:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.453:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.480:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Sitestat : Nettoyer et sauvegarder

:mozilla.482:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Sitestat : Nettoyer et sauvegarder

:mozilla.483:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Sitestat : Nettoyer et sauvegarder

:mozilla.496:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Sitestat : Nettoyer et sauvegarder

:mozilla.497:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Sitestat : Nettoyer et sauvegarder

:mozilla.548:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Sitestat : Nettoyer et sauvegarder

:mozilla.594:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Googleadservices : Nettoyer et sauvegarder

:mozilla.595:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Casinotropez : Nettoyer et sauvegarder

:mozilla.596:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Casinotropez : Nettoyer et sauvegarder

:mozilla.597:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Googleadservices : Nettoyer et sauvegarder

:mozilla.599:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Googleadservices : Nettoyer et sauvegarder

:mozilla.600:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Liveperson : Nettoyer et sauvegarder

:mozilla.624:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Casinotropez : Nettoyer et sauvegarder

:mozilla.626:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Casinotropez : Nettoyer et sauvegarder

:mozilla.628:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Googleadservices : Nettoyer et sauvegarder

:mozilla.629:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Casinotropez : Nettoyer et sauvegarder

:mozilla.634:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Casinotropez : Nettoyer et sauvegarder

:mozilla.635:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Sitestat : Nettoyer et sauvegarder

:mozilla.643:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Googleadservices : Nettoyer et sauvegarder

:mozilla.644:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Googleadservices : Nettoyer et sauvegarder

:mozilla.647:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Googleadservices : Nettoyer et sauvegarder

:mozilla.648:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Googleadservices : Nettoyer et sauvegarder

:mozilla.649:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Sitestat : Nettoyer et sauvegarder

:mozilla.653:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Googleadservices : Nettoyer et sauvegarder

:mozilla.657:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Casinotropez : Nettoyer et sauvegarder

:mozilla.658:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Googleadservices : Nettoyer et sauvegarder

:mozilla.660:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Googleadservices : Nettoyer et sauvegarder

:mozilla.665:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Sitestat : Nettoyer et sauvegarder

:mozilla.666:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Liveperson : Nettoyer et sauvegarder

:mozilla.669:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Liveperson : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@casinotropez[1].txt -> TrackingCookie.Casinotropez : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@www.casinotropez[2].txt -> TrackingCookie.Casinotropez : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

C:\WINDOWS\system32\msclock32.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

Logfile of HijackThis v1.99.1

Scan saved at 16:53:29, on 10/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\qttask.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\program files\mailskinner\mailskinner.exe

C:\Program Files\Shareaza\Shareaza.exe

C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\WINDOWS\system32\wuauclt.exe

C:\PROGRA~1\Wanadoo\Watch.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\hijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...arch.jhtml?p=ZN

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\system32\lxcfcoms.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[Mark]

Bonjour !

 

Pas faciles comme manips n'est-ce pas ? Ok, je constate que le BFU n'a pas fait son travail, car une entrée qui devait disparaître est toujours là. Pas grave, on va rectifier le tir.

 

Je veux que tu regardes dans le dossier C:\BFU pour voir si tu as bien ces deux fichiers :

 

BFU.exe

EGDACCESS.bfu

 

Si tu as ce fichier : EGDACCESS.bfu.txt (<< avec le .txt à la fin..)

..alors le fix ne fonctionnera pas. Si c'est le cas, je veux que tu renommes ce fichier en supprimant le .txt à la fin, et tu auras EGDACCESS.bfu

 

Ok ; si tu avais bel et bien le fichier avec le .txt , je vais te refaire passer le BFU de cette façon :

 

Imprime ces instructions, ou colle-les dans un fichier texte, pour lecture en sans échec.

 

- Lance le BFU (double-clique BFU.exe)

- À droite de la boîte "Scriptfile to execute", clique sur le petit dossier jaune ;

- Tu devrais maintenant voir le fichier EGDACCESS.bfu dans la fenêtre ; double-clique dessus

- Le fichier script devrait maintenant apparaître dans la boîte "Scriptfile to execute" comme ceci :

 

C:\BFU\EGDACCESS.bfu

 

- Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK (l'exécution est rapide..).

Clique Exit pour fermer le programme BFU.

 

Redémarre en mode Normal. Scan avec HijackThis! et poste son nouveau rapport.

 

**Ne t'en fais pas si tu avais déjà bien exécuté le BFU auparavant ; dis-le moi et on va procéder autrement

Modifié le 10 avril 2006 par Qc001

[maykimaykedelille]

Logfile of HijackThis v1.99.1

Scan saved at 19:29:43, on 10/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\qttask.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Wanadoo\EspaceWanadoo.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\Wanadoo\Watch.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\hijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [sjmukogv] c:\windows\system32\sjmukogv.exe sjmukogv

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...arch.jhtml?p=ZN

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\system32\lxcfcoms.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[Mark]

Bravo maykimaykedelille ; la manip a fonctionné cette fois-ci

 

Et là Egdaccess nous réservait une autre petite surprise... un second processus caché !! HAHA... j'adore cette infection..

 

Ok donc, on frappe à nouveau ! Courage, on va y arriver, car nous sommes plus tenaces qu'elle

================================================================

 

Cette manip sera très similaire à celle que je t'ai faite faire au début ; seuls les fichiers sont différents. Allons-y;

 

1) Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

 

Double-clique killbox.exe.

Choisis l'option "Delete on reboot".

 

Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") :

 

 

C:\windows\system32\sjmukogv.exe

C:\WINDOWS\system32\sjmukogv.dat

C:\WINDOWS\system32\sjmukogv_nav.dat

C:\WINDOWS\system32\sjmukogv_navps.dat

C:\WINDOWS\system32\msclock32.dll

 

 

Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard

 

Clique sur le bouton : All Files (!important!)

 

Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)

Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.

Si tu ne reçois pas ce message, redémarre le PC normalement.

 

 

2) Dès le redémarrage de KillBox, tapote la touche F8 afin de démarrer en mode Sans Échec (même manip qu'au post précédent..). Lance HijackThis! et clique "Do a system scan only", puis coche cette ligne :

 

O4 - HKLM\..\Run: [sjmukogv] c:\windows\system32\ sjmukogv.exe sjmukogv

 

Clique sur "Fix checked". Ferme HijackThis! (demeure en mode Sans Échec).

 

 

3) Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

- À droite de la boîte "Scriptfile to execute", clique sur le petit dossier jaune ;

- Tu devrais maintenant voir le fichier EGDACCESS.bfu dans la fenêtre ; double-clique dessus

- Le fichier script devrait maintenant apparaître dans la boîte "Scriptfile to execute" comme ceci :

 

C:\BFU\EGDACCESS.bfu

 

- Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK (l'exécution est rapide..).

Clique Exit pour fermer le programme BFU.

 

 

4) Repasse un scan complet avec Ewido (toujours en mode Sans Échec), et sauvegarde son rapport.

 

5) Redémarre en mode Normal. Poste le nouveau rapport d'Ewido ainsi qu'un nouveau log HijackThis! dans ta prochaine réponse.

 

Ça devrait être la fin pour cette bestiole

Modifié le 10 avril 2006 par Qc001