Aide sur Generic.Dialer.BB13674B

[Haribo57]

Bonjour à tous.

 

Suis nouveau et c'est quelque peu désespérer (car suis 1 peu novice en bug informatique), que je viens vous demander de l'aide.

 

Ait pu constater en lisant les posts, que vos conseils très pertinents aidaient de nombreux internautes et espère qu'ils pouront m'aider également ...

 

Mon probl est le suivant:

 

Depuis 2 jours ait constater que les propritées de mes répertoires et dossiers de mon disque dur, divisé en 2 partition (C: Programmes & D: Dossiers Perso), se modifiaient régulièrement. Ceux qui étaient définit comme document devenaient dossier photos et inversement !! ...

 

Ait effectué 1 analyse spybot qui ma trouvé 2 fichiers Microsft infectés et les aient corrigés. Ait ensuite effectué analyse Ad-Aware qui m'a trouvé 2 objets critiques et 40 négligeables. En ait enregistré 1 rapport et les aient supprimés. Pour finir, ait fait 1 analyse Bitdefender qui ma trouvé Generic Dialeur comme ayant infecté 1 de mes répertoires.

 

L'ait supprimé par la corbeille mais je crois qu'il demeure tjrs présent car après avoir rebooter, le probl persiste tjrs !! ...

 

Vous serait très reconnaissant de bien vouloir me venir en aide en m'indiquant la marche à suivre pour résoudre ce probl.

 

Merci d'avance !! ...

Modifié le 10 août 2006 par Haribo57

[regis56]

Bonjour Haribo57 et bienvenue sur le forum zeb-sécu!

 

Suit la procédure de pré-nettoyage de Mégataupe STP moi ou quelqu'un d'autre s'occupera de toi après;)

 

 

Bonjour à tous. Les virus, adware, malware et autres spywares étant devenus de plus en plus sophistiqués et particulièrement coriaces à éradiquer pour certains d'entre-eux, il est apparu que la méthode de nettoyage préliminaire et d'analyse qui était proposée ne donnait plus toutes les garanties nécessaires en terme de localisation des infections présentes sur un PC.

 

Fort de ce constat et suite aux réflexions et suggestions d'IPL et Tesgaz , il vous est donc proposé une nouvelle méthode qui allie légèreté (utilisation de deux logiciels) et efficacité (procédure de nettoyage antivermines et analyse en mode sans échec; le mode sans échec ayant l'avantage de ne lancer que les processus indispensables au système d'exploitation, aucun virus résident ne démarrant dans ce mode).

 

Celle-ci se décompose en 4 phases que l'on peut résumer comme suit :

 

Phase 1 : mode normal : téléchargement des outils (antivirus et logiciel HijackThis)

 

Phase 2 : redémarrage en mode sans échec, affichage de tous les fichiers (fichiers cachés et fichiers système)

 

Phase 3 : nettoyage simple du système (fichiers/dossiers inutiles), examen antivirus, désinstallation d'Antivir, redémarrage en mode normal, installation et utilisation d'HijackThis

 

Phase 4 : envoi des rapport HijackThis et antivir pour analyse

 

----------

 

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com Une fois passé en mode sans echec, installer et paramétrer Antivir. Il est impératif de le configurer correctement afin de faire le meilleur scan possible --> voir la procédure ici (imprimez la) : http://speedweb1.ovh.org/frames2.php?page=tuto5

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec " Comment démarrer l'ordinateur en mode sans échec " (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

Sauvegarder le rapport !

 

- désinstallation d'Antivir

 

-- terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

- Redémarrer le PC en mode normal

 

- installation et utilisation d'HijackThis

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

Phase 4

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire. Puis faire de même avec le rapport antivir.

- attendre l'analyse et la réponse.

 

Bon courage et tiens nous au courant à plus !

[Haribo57]

Bonjour Haribo57 et bienvenue sur le forum zeb-sécu!

 

Suit la procédure de pré-nettoyage de Mégataupe STP moi ou quelqu'un d'autre s'occupera de toi après;)

Bon courage et tiens nous au courant à plus !

 

 

Salut Régis36

 

1 grand merci à toi ainsi qu'à Mégataupe pour vos précieux conseils.

 

Je n'ais pas encore effectué la procédure que tu me préconise mais ait déjà télécharger antivir ainsi que son tutoriel et celui de HijackThis, afin de bien le potasser pour bien le comprendre.

 

Cela devrait aller, je pense ...

 

G 1 question malgrè tout à te poser en ce qui concerne le paragraphe de désinstallation d'antivir.

 

Tu indique qu'il faut ouvrir gestionnaire des taches et cliquer sur onglet processus afin de terminer les processus.

 

Dois-je en déduire qu'1 fois arrivé à ce stade je dois cliqué sur les fichiers AVGUARD.EXE, AVSCHED.EXE, AVWUPSRV.EXE et AVIGNT.EXE, puis activer la case Terminer le Processus ?? ...

 

Merci de bien vouloir me le préciser.

 

A+

 

Haribo57

[regis56]

Bonsoir Haribo57 !

 

Pour les processus a fermer tu dois le faire un par un !

 

Bonne soirée !

[Haribo57]

Bonsoir Haribo57 !

 

Pour les processus a fermer tu dois le faire un par un !

 

Bonne soirée !

 

 

Merci de la précision, Régis56, vais démarer la procédure de suite.

 

En espérant ne pas me planter !! ...

 

A+

 

Haribo57

[Haribo57]

Salut Régis36

 

1 grand merci à toi ainsi qu'à Mégataupe pour vos précieux conseils.

 

Je n'ais pas encore effectué la procédure que tu me préconise mais ait déjà télécharger antivir ainsi que son tutoriel et celui de HijackThis, afin de bien le potasser pour bien le comprendre.

 

Cela devrait aller, je pense ...

 

G 1 question malgrè tout à te poser en ce qui concerne le paragraphe de désinstallation d'antivir.

 

Tu indique qu'il faut ouvrir gestionnaire des taches et cliquer sur onglet processus afin de terminer les processus.

 

Dois-je en déduire qu'1 fois arrivé à ce stade je dois cliqué sur les fichiers AVGUARD.EXE, AVSCHED.EXE, AVWUPSRV.EXE et AVIGNT.EXE, puis activer la case Terminer le Processus ?? ...

 

Merci de bien vouloir me le préciser.

 

A+

 

Haribo57

 

Re-Salut Régis56

 

Je viens de terminer la procédure que tu ma proposer.

 

Tout c'est bien passé à part la suppression des fichiers AVGUARD.EXE, AVSCHED.EXE, AVWUPSRV.EXE et AVIGNT.EXE que je n'ai pu faire, car ces fichiers n'apparaissaient pas ds mon gestionnaire de tâches...

 

Te transmets ci-dessous les rapports Antivir, HijackThis ainsi qu'une copie de mon gestionnaire tâches.

 

Espère que tu pourras trouvé ce qui ne vas pas et me dire comment résoudre le problème.

 

AntiVir Personal Edition Classic

Report file date: samedi 29 juillet 2006 00:57

 

Scanning for 466393 virus strains and unwanted programs.

 

Licensed to: AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: Jean-Paul

Computer name: PC-SALON

 

Version informations:

AVSCAN.EXE : 7.0.0.42 557096 28/07/2006 22:27:49

AVSCAN.DLL : 7.0.0.42 53288 28/07/2006 22:27:49

LUKE.DLL : 7.0.0.42 118824 28/07/2006 22:27:50

LUKERES.DLL : 7.0.0.42 25640 28/07/2006 22:27:50

ANTIVIR0.VDF : 6.35.0.1 7371264 28/07/2006 22:27:49

ANTIVIR1.VDF : 6.35.0.168 730112 28/07/2006 22:27:49

ANTIVIR2.VDF : 6.35.1.15 295936 28/07/2006 22:27:49

ANTIVIR3.VDF : 6.35.1.18 7680 28/07/2006 22:27:49

AVEWIN32.DLL : 7.1.1.0 1556992 28/07/2006 22:27:49

AVPREF.DLL : 7.0.0.1 49192 28/07/2006 22:27:49

AVREP.DLL : 6.35.1.1 733224 28/07/2006 22:27:49

AVRPBASE.DLL : 7.0.0.0 2162728 28/07/2006 22:27:49

AVPACK32.DLL : 7.1.0.1 335912 28/07/2006 22:27:49

AVREG.DLL : 6.31.0.90 27688 28/07/2006 22:27:49

NETNT.DLL : 6.32.0.0 6696 28/07/2006 22:27:50

NETNW.DLL : 6.32.0.0 9768 28/07/2006 22:27:50

RCIMAGE.DLL : 7.0.0.71 1642536 28/07/2006 22:27:50

RCTEXT.DLL : 7.0.0.75 77864 28/07/2006 22:27:50

 

Configuration settings for the scan:

Jobname: '%s'.................: Manual Selection

Configuration file............: C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Boot sectors..................: C,D

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 1

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Skipped archive types.........: 1000,1001,1002,1003,1004,

Macro heuristic...............: 1

File heuristic................: 3

Primary action................: 1

Secondary action..............: 0

 

Start of the scan: samedi 29 juillet 2006 00:57

 

The scan over running processes will be started

13 Processes was scanned

 

Start scanning boot sectors:

 

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'D:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( 41 files ).

 

Starting the file scan:

 

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\Jean-Paul\ntuser.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\Jean-Paul\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\Jean-Paul\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\Jean-Paul\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\Jean-Paul\Local Settings\Temporary Internet Files\Content.IE5\7L4GTZV9\psa30se_a708_DLM_fr_fr[1].exe

[DETECTION] Contains suspicious code HEUR/Malware.Crypted.PSM

[iNFO] The file was deleted!

C:\Documents and Settings\Jean-Paul\Local Settings\Temporary Internet Files\Content.IE5\GHIJKLMN\psa30se_a708_DLM_fr_fr[1].exe

[DETECTION] Contains suspicious code HEUR/Malware.Crypted.PSM

[iNFO] The file was deleted!

C:\Documents and Settings\Jean-Paul\Local Settings\Temporary Internet Files\Content.IE5\TDJ72SYP\pif[1].htm

[DETECTION] Contains suspicious code HEUR/Exploit.HTML

[iNFO] The file was moved to '45309836.qua'!

C:\Documents and Settings\NetworkService\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default

[WARNING] The file could not be opened

:\WINDOWS\system32\config\default.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\drivers\atapi.sys

[WARNING] The file could not be opened!

D:\E1- Programmes Internet\Programmes Graveurs\Néro\Nero_crk\Nero_crk\cr-n6601.exe

[DETECTION] File has been compressed with an unusual runtime compression tool (PCK/PESpin). Please verify the origin of the file

[iNFO] The file was deleted!!

 

End of the scan: samedi 29 juillet 2006 01:35

Used time: 38:37 min

 

The scan has been done completely.

 

8958 Scanning directories

282161 Files were scanned

4 viruses and/or unwanted programs was found

3 files were deleted

0 files were repaired

1 files were moved to quarantine

0 files were renamed

1959 Archives were scanned

20 Warnings

4 Notes

 

Je précise que le fichier mis en quarantaine l'a été mis par erreur.

C'est 1 fichier internet temporaire que j'ai supprimer définitivement.

 

Copie Gestionnaire des tâches:

 

------------------------------------------------------

|Non Image |Proces.|Util.Mémoire|

------------------------------------------------------

|notepad.exe 00 2852ko |

|taskmgr.exe 01 1472ko |

|explorer.exe 00 23360ko |

|svchost.exe 00 8096ko |

|svchost.exe 00 3728ko |

|svchost.exe 00 3176ko |

|Isaas.exe 00 812ko |

|services.exe 00 3864ko |

|winlogon.exe 00 1012ko |

|csrss.exe 00 2960ko |

|smss.exe 00 372ko |

|System 00 228ko |

|Processus inactif système 99 16ko |

-------------------------------------------------------

 

Rapport HijackThis:

 

Logfile of HijackThis v1.99.1

Scan saved at 02:43:06, on 29/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\GEARSec.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Program Files\Microsoft Hardware\Keyboard\type32.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe

C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

C:\Program Files\Softwin\BitDefender8\bdnagent.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Aide mémoire\TrayIcon.exe

C:\Program Files\eFax Messenger 4.0\J2GDllCmd.exe

C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe

C:\Program Files\eFax Messenger 4.0\J2GTray.exe

C:\Program Files\Aide mémoire\Aide mémoire.exe

C:\Program Files\Aide mémoire\Aide mémoire.exe

C:\Program Files\Aide mémoire\Aide mémoire.exe

C:\Program Files\Aide mémoire\Aide mémoire.exe

C:\Program Files\Aide mémoire\Aide mémoire.exe

C:\Program Files\Aide mémoire\Aide mémoire.exe

C:\Program Files\Aide mémoire\Aide mémoire.exe

C:\Program Files\Aide mémoire\Aide mémoire.exe

C:\Program Files\Aide mémoire\TrayIcon.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender8\vsserv.exe

c:\program files\softwin\bitdefender8\bdmcon.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.my.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www-secure.symantec.com/custserv/cs...r_consumer.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"

O4 - HKLM\..\Run: [intelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [sW20] C:\WINDOWS\system32\sw20.exe

O4 - HKLM\..\Run: [sW24] C:\WINDOWS\system32\sw24.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [bDMCon] C:\Program Files\Softwin\BitDefender8\bdmcon.exe

O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

O4 - HKLM\..\Run: [bDNewsAgent] C:\Program Files\Softwin\BitDefender8\bdnagent.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [ub4TrayApp] "C:\Program Files\Astase\UltraBackup\4.0\bin\ubtray.exe" /start

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Aide mémoire.lnk = ?

O4 - Global Startup: Aide mémoire.lnk = ?

O4 - Global Startup: eFax DllCmd 4.0.lnk = C:\Program Files\eFax Messenger 4.0\J2GDllCmd.exe

O4 - Global Startup: eFax Tray Menu 4.0.lnk = C:\Program Files\eFax Messenger 4.0\J2GTray.exe

O4 - Global Startup: Event Reminder.lnk = C:\Program Files\Broderbund\PrintMaster\PMremind.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by116fd.bay116.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F7543AB3-AC8A-431D-A288-B028C8E04A10}: NameServer = 212.27.32.176,212.27.32.177

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe

O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

 

Voilà, tout est là. Désol pour la longueur du post mais ca fait bcp de choses !! ...

 

Dois-je supprimer des lignes en les fixant, et si oui, lesquelles ?? ...

Est-ce normal que Antivir n'ait pas pu ouvrir certains fichiers ?? ...

Comment se fait-il que les fichiers AVGUARD.EXE, AVSCHED.EXE, AVWUPSRV.EXE et AVIGNT.EXE n'apparaissaient pas ds mon gestionnaire de tâches ?? ...

Est-il normal que les fichiers qui s'y trouvent soient présent ainsi que la mémoire utilisé pour chacun d'entre eux ?? ...

 

D'avance merci encore pour toutes ces réponses que tu pourras me donner afin de pouvoir solutionner au mieux mon problème.

 

Bonne journée,

 

Haribo57

[regis56]

Bonjour Haribo57 !

 

comment as tu fait ton rapport du gestionnaire de taches ?

 

Si tu les as recopiés toi même ? verifie que ce fichier existe : => Isaas.exe

 

Surtout ne pas confondre avec lsass.exe qui lui est un processus très important !

 

Peut tu faire ceci stp pour vérifier :

 

Assure toi d'avoir accès à tous les fichiers, certains fichiers/dossiers sont cachés!!

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer l'option : Afficher les fichiers et dossiers cachés

Désactiver l'option : Masquer les extensions des fichiers dont le type est connu

Désactiver l'option : Masquer les fichiers protégés du système d'exploitation

Puis cliquer sur "Appliquer à tous les dossiers"

 

Utiliser la fonction rechercher via "démarrer/rechercher/des fichiers ou des dossiers"(si problème voir ici http://www.hiboox.com/image.php?img=go6nc45.jpg )

Rechercher surement dans C:\WINDOWS\System32\ ou C:\WINDOWS\System\ le(s) fichier(s) en gras suivant(s) si présent(s):

Isaas.exe

 

Retiens le chemin du fichier tu en aura besoin pour après.

 

 

Fais soumettre le fichier en gras ici =>

1- http://virusscan.jotti.org/

2- http://www.virustotal.com/flash/index_en.html

 

Lorsque tu cliques sur ces deux adresses, tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur

Recherche le fichier en cause

Clique une fois sur le fichier (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre)

Pour le virusscan de jotti et "send" pour virustotal.

Le scan de ce fichier va débuter.

Tu n'as plus qu'à sélectionner puis copier /coller l’analyse. Il est possible que tu reçoives ce message =>

"Server is extremely busy at the moment. Please try again later."Auquel cas il faut retenter le coup plus tard!

communiquer les 2 rapports.

 

A plus.

Modifié le 29 juillet 2006 par regis56

[Haribo57]

Bonjour Haribo57 !

 

comment as tu fait ton rapport du gestionnaire de taches ?

 

Si tu les as recopiés toi même ? verifie que ce fichier existe : => Isaas.exe

 

Surtout ne pas confondre avec lsass.exe qui lui est un processus très important !

 

Peut tu faire ceci stp pour vérifier :

 

Assure toi d'avoir accès à tous les fichiers, certains fichiers/dossiers sont cachés!!

Utiliser la fonction rechercher via "démarrer/rechercher/des fichiers ou des dossiers"(si problème voir ici http://www.hiboox.com/image.php?img=go6nc45.jpg )

Rechercher surement dans C:\WINDOWS\System32\ ou C:\WINDOWS\System\ le(s) fichier(s) en gras suivant(s) si présent(s):

Isaas.exe

 

Retiens le chemin du fichier tu en aura besoin pour après.

Fais soumettre le fichier en gras ici =>

1- http://virusscan.jotti.org/

2- http://www.virustotal.com/flash/index_en.html

 

Lorsque tu cliques sur ces deux adresses, tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur

Recherche le fichier en cause

Clique une fois sur le fichier (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre)

Pour le virusscan de jotti et "send" pour virustotal.

Le scan de ce fichier va débuter.

Tu n'as plus qu'à sélectionner puis copier /coller l’analyse. Il est possible que tu reçoives ce message =>

"Server is extremely busy at the moment. Please try again later."Auquel cas il faut retenter le coup plus tard!

communiquer les 2 rapports.

 

A plus.

 

Re-Salut Régis56

 

En ce qui concerne la façon dont j'ai fait cette nuit mon rapport du gestionnaire de tâche, c tout simple, je n'ais fait que le recopier !! ...

 

Par contre, me fait du souci pour l'existence des fichiers Isaas.exe et Isass. exe

 

En effet, cette nuit le fichier Isaas.exe figurait bien ds mon gestionnaire de tâches avec comme mémoire utilisé 812ko.

Aujourd'hui, malheureusement, tel n'est plus le cas !! ...

Non seulement il ne figure plus ds mon gestionnaire de tâche mais en faisant 1 recherche par démarer\rechercher ou en cliquant sur le lien: http://www.hiboox.com/image.php?img=go6nc45.jpg ), ca ne le trouve pas non plus !! ... (Ni ds Windows\système, ni ds Windows système32)

 

En ce qui concerne le fichier Isaas.exe, celui-ci figure bien ds mon gestionnaire de tâches avec comme mémoire utilisé 1032ko mais comble de l'étonnement, si j'effectue 1 recherche comme décris précédemment, ca ne le trouve pas non plus !! ...

 

C'est à y rien comprendre et ne fais qu'augmenter mon angoise face au degré d'infection de mon pc !! ...

 

Espère toutefois que ce n'est pas trop grave et q1 solution pourra être trouvée pour remédier à tout cela !! ...

 

A+, Bonne am !! ...

 

Haribo57

[Haribo57]

Re-Salut Régis56

 

En ce qui concerne la façon dont j'ai fait cette nuit mon rapport du gestionnaire de tâche, c tout simple, je n'ais fait que le recopier !! ...

 

Par contre, me fait du souci pour l'existence des fichiers Isaas.exe et Isass. exe

 

En effet, cette nuit le fichier Isaas.exe figurait bien ds mon gestionnaire de tâches avec comme mémoire utilisé 812ko.

Aujourd'hui, malheureusement, tel n'est plus le cas !! ...

Non seulement il ne figure plus ds mon gestionnaire de tâche mais en faisant 1 recherche par démarer\rechercher ou en cliquant sur le lien: http://www.hiboox.com/image.php?img=go6nc45.jpg ), ca ne le trouve pas non plus !! ... (Ni ds Windows\système, ni ds Windows système32)

 

En ce qui concerne le fichier Isaas.exe, celui-ci figure bien ds mon gestionnaire de tâches avec comme mémoire utilisé 1032ko mais comble de l'étonnement, si j'effectue 1 recherche comme décris précédemment, ca ne le trouve pas non plus !! ...

 

 

C'est bizarre, il est 19h48 et je viens faire 1 saut pour voir si tu as répondu au msg ci-dessus, ce que je crois car le sujet apparaît comme étant ouvert et épinglé pour avoir reçu nouvelle rép (le pictogramme est de couleur bleu foncé) mais je m'appercois que c pas le cas.

 

Suppose que cela doit être 1 erreur !! ...

 

A+,

 

Haribo57

C'est à y rien comprendre et ne fais qu'augmenter mon angoise face au degré d'infection de mon pc !! ...

 

Espère toutefois que ce n'est pas trop grave et q1 solution pourra être trouvée pour remédier à tout cela !! ...

 

A+, Bonne am !! ...

 

Haribo57

 

 

C bizarre il est 19h52. Je viens faire 1 saut pour voir si tu as pu répondre à mon msg, ce que je crois car celui-ci apparaît comme étant épiglé avec 1 nouvelle rép (le pictogramme est de couleur bleu foncé), mais je m'aperçois que tel n'ast pas le cas.

Suppose que cela doit être 1 erreur !! ...

 

A+, Bonne soirée !! ...

 

Haribo57

[regis56]

Bonsoir Haribo57 !

 

T'inquiète pas on l'aura la bestiole !!

 

On va tenter ceci

 

Télécharge Ewido anti-spyware

1. Lance Ewido anti-spyware et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
    
   
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
    
   
3. Ferme Ewido anti-spyware. Ne pas le lancer tout de suite.
   

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

• Du mode Sans Échec, lance Ewido anti-spyware et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
   
  
• Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
   
  
• Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
   
  
• Redémarre ton ordi en mode Normal.
  

.

 

Je te fais passer un autre outil :

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Prière de poster les rapports suivant dans ta prochaine réponse :

 

1) Ewido

2) BlackLight

3) Nouveau rapport HijackThis!

 

Après avoir posté ta réponse

Peux-tu faire s'il te plait un scan en ligne?=>

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrives pas : tutorial

 

 

Bon courage, et @+