[résolu] PC très lent, IE et explorateur se ferment tous seuls.

[menin]

bonjour à tous

 

Ma soeur me demande de regarder son PC qui va pas bien, il est très lent.

Config : XP pro, 256 Mo de mémoire, DD 30 Go.

Il demande sans arret d'augmenter la mémoire virtuelle qui est configurée entre 350 et 650 Mo, par le gestionnaire de tâches je vois qu'il en utilise 950 Mo

Ce mal semble être apparu au démarrage suivant la fermeture d'une session internet

 

Après un démarrage normal (mais extrèmement lent):

 

Quand on ouvre IE il se referme aussitôt. Je ne peux pas ouvrir l'explorateur windows (il se referme lui aussi immédiatement), il n'y a pas d'accès possible au panneau de configuration. Et il ne veut pas m'enregistrer le log Hijackthis. Et à priori je n'ai rien vu d'anormal dans ce log.

Les scans ad aware, Avast, Spybot semblent possibles mais très très lents je ne suis donc pas allé au bout.

 

En mode sans echecs :

 

La mémoire virtuelle est saturée (Il utilise 900 Mo)

L'accès à l'explorateur est possible mais je ne sais pas quoi chercher

Les différents scans sont très lents

Hijackthis se ferme tout seul quand je lui demande de sauver le log

 

J'ai testé la mémoire et MEMTEST n'a rien trouvé, CHKDSK n'a rien vu non plus.

 

J'ai pensé faire un réparation sans perte de donnée, mais le faire sans rien avoir trouvé auparavant me semble inutile, et faire un formatage m'embete ( perte de données professionnelles)

 

Merci de bien vouloir m'aider si vous avez des idées sur la procédure à appliquer.

Modifié le 8 août 2006 par menin

[Malekal_morte]

Bonjour,

 

- Télécharge HijackThis sur ton bureau.

- Renomme le fichier HijackThis.exe en Scanner.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

- tape Scanner.exe et Appuye sur la touche Entrée.

- Génère un rapport en suivant ces indications :

- Double-clic sur Scanner.exe

- Exécute le et clique sur Do a scan and save log file.

- Le rapport s'ouvre sur leBloc-Note

- Colle le rapport ici, pour cela :

- Menu Edition / Selectionner Tout

- Menu Edition / copier

- Ici dans un nouveau message : clic droit / coller

- N'hésite pas à consulter l'aide HijackThis -

[regis56]

Bonjour menin et bienvenue sur le forum zeb-sécu !

 

Ca va pas etre simple de t'aider mais on va essayer

 

Avant tout les données importantes devraient pouvoir étre récupérées en mode sans échec !

 

Ensuite

 

1/ il peut étre utile de faire un scf/scannow pour vérifier l'intégrité de tes fichiers systèmes.

Un tuto ici

http://www.pcentraide.com/index.php?showtopic=243

 

2/ Il peut étre utile de faire une réparation sans perte de données quand même pour récuperer internet ou le panneau de configuration => essayer de récuperer les fonctions du Pc pour le désinfecter plus facilement ensuite.

tuto ici

http://www.informatruc.com/reparer_2.php

 

3/ Télécharge zeb-restore ici

http://telechargement.zebulon.fr/233-zeb-restore.html

 

Voici les éléments qui peuvent être restaurés :

- RegEdit : réactive l'accès à RegEdit

- Clés RUN : réactive le lancement de programmes par clés RunXXX

- Bouton Arrêter : rétablit le bouton Arrêter

- Windows Update : rétablit la fonction Windows Update

- Gestionnaire des tâches : réactive le gestionnaire des tâches

- Panneau de configuration : réactive le Panneau de configuration

- Ajout/Suppression de programmes : restaure la fonction Ajout-Suppression de programmes

- Policies : remet en place des éléments désactivés par "Policies"

- Bureau : réactive le bureau

- Réparation IE : répare Internet Exploreur (pages de recherche)

- Extension des fichiers : répare les extensions des fichiers .exe .bat .reg .pif .cmd .scr .com

- Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)

- Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)

- Réinitialiser Fichier Hosts : réinitialise le fichier Hosts

 

4/ - Télécharge chercher.zip sur ton bureau

http://www.malekal.com/download/telecharger.com/chercher.zip

- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout

- Un nouveau dossier chercher va être créé

- Ouvre le et double-clic sur chercher.cmd

- Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande

- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :

-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout

-- A nouveau menu Edition / copier

-- Dans un nouveau message ici, faire un clic droit / coller

 

Voilà dans un premier temps ce que l'on peut tenter

 

Bon courage à plus.

[menin]

Salut à tous.

 

Je suis de retour à la maison et j'ai ramené le micro de ma frangine.

 

J'ai commencé à chercher dans les directions que vous m'avez indiqué.

 

Y' a des truc amusants j'arrive à avoir le log hijackthis si il est renommé en scanner comme l'a dit Malekal mais si je passe le scan sous le nom de hijackthis il se ferme au moment de sauvegardé le log.

 

J'ai fait une réparation sans perte de donnée et pas mieux. Toujours les mêmes symptomes.

 

En fouillant un peu j'ai trouvé un fichier nommé warebundle.exe et ça je ne sais pas pourquoi mais j'aime pas beaucoup !!! et aussi un nommé ww32.exe!!

 

 

En tous cas voilà le premier log que j'ai réussi à avoir

 

 

Logfile of HijackThis v1.99.0

Scan saved at 22:16:01, on 05/08/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\dllhost.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Documents and Settings\Anne\Bureau\scanner.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {47D38BB5-3D55-4533-B766-2AB3768019D2} - C:\WINDOWS\System32\hgggg.dll

O2 - BHO: (no name) - {FB023A86-32D1-4731-94F1-3DB72C01D1E9} - C:\WINDOWS\System32\hgggg.dll

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) -

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) -

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...er/imloader.cab

O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TrueVector Internet Monitor - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

 

Bon j'y retourne et merci de m'aider

[Malekal_morte]

Re-Bonjour,

 

Ton rapport semble montrer des signes d'infection.

Par contre :

Logfile of HijackThis v1.99.0

Scan saved at 22:16:01, on 05/08/2006

 

La dernière version est : 1.99.1

Merci de supprimer toutes les copies d'HijackThis et de télécharger la dernière version et colle un rapport comme cela a été demandé.

 

Fais ça aussi stp :

 

- Télécharge chercher.zip sur ton bureau

- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout

- Un nouveau dossier chercher va être créé

- Ouvre le et double-clic sur chercher.cmd

- Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande

- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :

-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout

-- A nouveau menu Edition / copier

-- Dans un nouveau message ici, faire un clic droit / coller

Modifié le 6 août 2006 par Malekal_morte

[menin]

Oups je m'excuse pour la version d'hijackthis

et voilà le dernier log que j'ai fait

 

Logfile of HijackThis v1.99.1

Scan saved at 19:58:32, on 06/08/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\rundll32.exe

C:\Documents and Settings\Anne\Bureau\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {E21CC9C9-AF0E-421B-A9ED-431BA708983F} - C:\WINDOWS\System32\hgggg.dll

O2 - BHO: (no name) - {FB023A86-32D1-4731-94F1-3DB72C01D1E9} - C:\WINDOWS\System32\hgggg.dll

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) -

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) -

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...er/imloader.cab

O20 - Winlogon Notify: hgggg - C:\WINDOWS\System32\hgggg.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

 

Et puis le rapport "chercher"

 

C:\WINDOWS\System32\nvapps.xml -->06/08/2006 16:20:54

C:\WINDOWS\System32\vsconfig.xml -->06/08/2006 15:44:18

C:\WINDOWS\System32\perfh00C.dat -->05/08/2006 22:14:36

C:\WINDOWS\System32\perfc00C.dat -->05/08/2006 22:14:36

C:\WINDOWS\System32\perfh009.dat -->05/08/2006 22:14:36

C:\WINDOWS\System32\perfc009.dat -->05/08/2006 22:14:36

C:\WINDOWS\System32\PerfStringBackup.INI -->05/08/2006 22:14:34

C:\WINDOWS\System32\wpa.dbl -->05/08/2006 22:05:26

C:\WINDOWS\System32\FNTCACHE.DAT -->05/08/2006 22:05:06

C:\WINDOWS\System32\$winnt$.inf -->05/08/2006 22:03:46

C:\WINDOWS\System32\wmpscheme.xml -->05/08/2006 21:58:38

C:\WINDOWS\System32\amcompat.tlb -->05/08/2006 21:58:36

C:\WINDOWS\System32\nscompat.tlb -->05/08/2006 21:58:36

C:\WINDOWS\System32\logonui.exe.manifest -->05/08/2006 21:56:54

C:\WINDOWS\System32\WindowsLogon.manifest -->05/08/2006 21:56:54

C:\WINDOWS\System32\wuaucpl.cpl.manifest -->05/08/2006 21:56:44

C:\WINDOWS\System32\sapi.cpl.manifest -->05/08/2006 21:56:44

C:\WINDOWS\System32\nwc.cpl.manifest -->05/08/2006 21:56:44

C:\WINDOWS\System32\ncpa.cpl.manifest -->05/08/2006 21:56:44

C:\WINDOWS\System32\cdplayer.exe.manifest -->05/08/2006 21:56:44

C:\WINDOWS\System32\emptyregdb.dat -->05/08/2006 21:55:16

C:\WINDOWS\System32\ggggh.ini2 -->01/08/2006 20:09:48

C:\WINDOWS\System32\ggggh.ini -->01/08/2006 19:06:46

C:\WINDOWS\System32\ggggh.bak2 -->01/08/2006 12:06:02

C:\WINDOWS\System32\zllictbl.dat -->01/08/2006 11:57:36

 

C:\WINDOWS\ntbtlog.txt -->06/08/2006 18:31:02

C:\WINDOWS\bootstat.dat -->06/08/2006 17:52:32

C:\WINDOWS\SchedLgU.Txt -->06/08/2006 16:29:32

C:\WINDOWS\wiadebug.log -->06/08/2006 16:29:32

C:\WINDOWS\wiaservc.log -->06/08/2006 16:29:26

C:\WINDOWS\0.log -->06/08/2006 15:44:44

C:\WINDOWS\setupapi.log -->05/08/2006 22:31:28

C:\WINDOWS\comsetup.log -->05/08/2006 22:15:28

C:\WINDOWS\setuplog.txt -->05/08/2006 22:06:42

C:\WINDOWS\ntdtcsetup.log -->05/08/2006 22:04:14

C:\WINDOWS\tabletoc.log -->05/08/2006 22:04:14

C:\WINDOWS\tsoc.log -->05/08/2006 22:04:14

C:\WINDOWS\iis6.log -->05/08/2006 22:04:14

C:\WINDOWS\imsins.log -->05/08/2006 22:04:14

C:\WINDOWS\setupact.log -->05/08/2006 22:04:14

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 181E-5ED4

 

Répertoire de C:\WINDOWS\system

 

10/09/1999 13:06 4 672 wowpost.exe

10/10/1997 12:00 20 480 Regsvr32.exe

2 fichier(s) 25 152 octets

0 Rép(s) 15 049 850 880 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 181E-5ED4

 

Répertoire de C:\WINDOWS\system32

 

28/08/2001 12:00 4 096 csrss.exe

1 fichier(s) 4 096 octets

0 Rép(s) 15 049 850 880 octets libres

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 181E-5ED4

 

Répertoire de C:\Program Files

 

19/01/2005 18:38 <REP> .

19/01/2005 18:38 <REP> ..

19/01/2005 18:38 <REP> Fichiers communs

19/01/2005 18:45 <REP> Windows NT

19/01/2005 18:45 <REP> MSN

19/01/2005 18:46 <REP> MSN Gaming Zone

19/01/2005 18:46 <REP> Messenger

19/01/2005 18:46 <REP> Windows Media Player

19/01/2005 18:46 <REP> Services en ligne

19/01/2005 18:47 <REP> ComPlus Applications

19/01/2005 18:48 <REP> Internet Explorer

19/01/2005 18:48 <REP> Outlook Express

19/01/2005 18:48 <REP> NetMeeting

19/01/2005 18:48 <REP> Movie Maker

19/01/2005 18:52 <REP> microsoft frontpage

19/01/2005 18:52 <REP> xerox

15/03/2005 13:42 <REP> Lavasoft

28/03/2005 16:43 <REP> Adobe

17/01/2006 19:51 <REP> fdjeux

22/01/2005 15:12 <REP> Ahead

03/04/2005 17:45 <REP> Yahoo!

16/04/2005 13:30 <REP> Coktel

11/09/2005 22:51 <REP> MSN Messenger

22/01/2005 20:12 <REP> IncrediMail

22/01/2005 20:12 <REP> Common files

22/04/2006 19:37 <REP> Disney

30/04/2006 18:43 <REP> MVAPPS

16/05/2006 20:30 <REP> TLC

27/06/2005 11:14 <REP> Micro Application

03/01/2006 14:31 <REP> Illustrate

24/01/2006 13:21 <REP> Alwil Software

11/06/2006 12:35 <REP> Network Monitor

11/06/2006 20:17 <REP> CartoExploreur

14/06/2006 16:35 <REP> Windows

23/01/2005 10:30 <REP> directx

23/01/2005 10:40 <REP> ReflexiveArcade

23/01/2005 11:36 <REP> EPSON

23/01/2005 21:16 <REP> WinRAR

23/01/2005 21:31 <REP> Microsoft Office

23/01/2005 21:46 <REP> Microsoft Games

29/01/2005 21:50 <REP> GameSpy Arcade

14/02/2005 18:26 <REP> Microsoft Encarta

0 fichier(s) 0 octets

42 Rép(s) 15 049 850 880 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 181E-5ED4

 

Répertoire de C:\Program Files\fichiers communs

 

19/01/2005 18:38 <REP> .

19/01/2005 18:38 <REP> ..

19/01/2005 18:38 <REP> Microsoft Shared

19/01/2005 18:38 <REP> SpeechEngines

19/01/2005 18:38 <REP> ODBC

19/01/2005 18:48 <REP> System

19/01/2005 18:48 <REP> MSSoap

19/01/2005 18:48 <REP> Services

22/01/2005 14:57 <REP> InstallShield

22/01/2005 15:12 <REP> Ahead

22/01/2005 18:03 <REP> Adobe

23/01/2005 11:39 <REP> EPSON

23/01/2005 21:32 <REP> Designer

0 fichier(s) 0 octets

13 Rép(s) 15 049 850 880 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 181E-5ED4

 

Répertoire de C:\Program Files\common files

 

22/01/2005 20:12 <REP> .

22/01/2005 20:12 <REP> ..

22/01/2005 20:12 <REP> Microsoft Shared

0 fichier(s) 0 octets

3 Rép(s) 15 049 850 880 octets libres

c:\Documents and Settings\Anne\Mes documents\epson1764eu.exe

c:\Documents and Settings\Anne\Mes documents\epson1778eu.exe

c:\Documents and Settings\Anne\Mes documents\epson19437eu.exe

c:\Documents and Settings\Anne\Mes documents\epson3400eu.exe

c:\Documents and Settings\Anne\Mes documents\incredimail_install.exe

c:\Documents and Settings\Anne\Mes documents\setup.exe

c:\Documents and Settings\Anne\Mes documents\Décompression\WinZip_8-1_Fr.exe

c:\Documents and Settings\Anne\Mes documents\Décompression\Winzip 8.1 fr\wz81fr.exe

c:\Documents and Settings\Anne\Mes documents\Décompression\Winzip 8.1 fr\crack\Parco_Crack Wzip81_fr.exe

c:\Documents and Settings\Anne\Mes documents\puzzle\arbre_neige70.exe

c:\Documents and Settings\Anne\Mes documents\puzzle\tramway9.exe

c:\Documents and Settings\Anne\Mes documents\Mes fichiers reçus\antivirus\SpyWareNukerXT.exe

c:\Documents and Settings\Anne\Mes documents\Mes fichiers reçus\antivirus\zlsSetup_65_731_000_fr.exe

c:\Documents and Settings\Anne\Bureau\chercher\LFiles.exe

c:\Documents and Settings\Judith\Mes documents\jujumasuz\kim_possible.exe

c:\Documents and Settings\Mon Didi\Mes documents\Bretagne Cotes d'Armor - Ille et Vilaine\IGN_Rando.exe

c:\Documents and Settings\ad-aware 6.0\aawsepersonal.exe

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\Anne\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

 

Vérifications de quelques clefs

Recherche de clefs EGDACCESS

 

HKLM\SOFTWARE\Microsoft\Windows\explorer\SharedTaskScheduler

 

Bon avec tout ça j'arrive toujours pas à ouvrir IE et l'explorateur après un démarrage normal.

Mai y'a du bon quand même puisque j'ai fait du grand ménage avec antivir, spybot et ad-aware et c'était pas inutile !!!!!

 

voilà merci pour votre aide

[menin]

salut à tous

 

Cherchez plus mon problème est résolu

 

En regardant les dates de créations des fichiers infectés et la date de la DLL qui étaient les mêmes j'ai fixé

et détruit la DLL et hop au redémarrage tout fonctionne.

 

O2 - BHO: (no name) - {E21CC9C9-AF0E-421B-A9ED-431BA708983F} - C:\WINDOWS\System32\hgggg.dll

O2 - BHO: (no name) - {FB023A86-32D1-4731-94F1-3DB72C01D1E9} - C:\WINDOWS\System32\hgggg.dll

O20 - Winlogon Notify: hgggg - C:\WINDOWS\System32\hgggg.dll

 

Après ça scans avec les différents prog qui m'ont permis je l'espère de nettoyer le système.

[Malekal_morte]

Excuse moi, je crois que je t'ai oublié dans la bataille.

 

M'enfin c'est bien ce qu'il fallait faire

Ton infection était de type vundo.

 

je t'invite à jeter un coup d'oeil à ces liens dans la mesure du possible, essaye de rapporter ton infection :

 

Comment se protéger des virus : - Tout ceci est résume sur cette page : Sécuriser son ordinateur et connaître les menaces

 

Rapporte ton infection pour faire condamner les auteurs - créer ton message pour faire avancer les choses sur Malware-Complaints, pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapport ton infection :

- Voir les règles du forum

- Après t'être enregistré à l'aide du bouton en haut "register", tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..)

---> http://www.malwarecomplaints.info/viewforum.php?f=10