Gros problème de Trojan Downloader Generic

[Ludo73]

Bonjour !

 

J'ai des Trojans sur mon ordi depuis 2 jours et je ne trouve pas le moyen de m'en débarraser. Pour le moment, il n'y a pas de réelle anomalie dans le comportement de mon ordinateur, seul Firefox "dérappe" en m'ouvrant des onglets à l'improviste...

L'autre gros soucis observé est le fait que, lorsque je démarre mon ordinateur (c'est un portable), il n'y a plus d'icône qui s'affiche dans ma barre des tâches en bas à gauche de mon écran, juste à coté du "démarrer" (là où normalement il y a l'icône du bureau, du navigateur...).

 

Voilà le rapport fait avec Hijack This :

 

Logfile of HijackThis v1.99.1

Scan saved at 23:46:47, on 04/08/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\drivers\KodakCCS.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\System32\pctspk.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\kybrdff_7.exe

C:\nwnmff_7.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\9Telecom\modem_ADSL_USB_Comtrend_CT-350\dslmon.exe

C:\WINDOWS\winlogon.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Documents and Settings\Ludovic\Mes documents\Download\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Program Files\Xi\NetXfer\NXToolBar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [VTPreset] VTPreset.exe

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_7.exe

O4 - HKLM\..\Run: [newname] C:\\nwnmff_7.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [!ewido] "F:\Ludo\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - Global Startup: DSLMON-9Online.LNK = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Téléchargement par NetXfer - C:\Program Files\Xi\NetXfer\NXAddLink.html

O8 - Extra context menu item: Téléchargez tous par NetXfer - C:\Program Files\Xi\NetXfer\NXAddList.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1116268035353

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Service Bonjour (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe (file missing)

O23 - Service: NtDIC(ntdic) (NtDIC) - Unknown owner - C:\WINDOWS\system32\icntrl.exe (file missing)

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Windows Kernel Services - Unknown owner - C:\WINDOWS\winlogon.exe

 

 

Voilà, merci de m'aider car j'ai grandement besoin que mon ordi marche...j'ai un mémoire de recherche à rendre dans un mois.....

 

Merci d'avance

[Gof]

Bonsoir Ludo73

Messages: 1

Bienvenue sur les forums de Zebulon

 

Quelques liens pour t'aider à commencer dans l'utilisation de ce forum :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

Tu es en effet infecté ; commence par appliquer cette procédure préliminaire :

J'attire ton attention sur le paramétrage d'Antivir qui est important, et sur le déplacement de Hijackthis.exe qui est mal placé dans ton cas.

 

Phase 1

• Faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.
   
  
• Télécharger Antivir
   
  
• Installer Antivir : Il est impératif de le configurer correctement afin de faire le meilleur scan possible ,
  voir la procédure suivante (imprimez la) => Tutoriel de tesgaz
   
  
• Allez jusqu'à l'étape: Configuration du tutoriel de tesgaz, dans ce paragraphe , seule la partie suivante nous interesse:Configuration du scanner et ses sous parties : "action on malware" - "Heuristic" - "Archives" .Note: il est inutile de configurer la fonction "Guard" décrite dans la partie "Configuration Guard".
  

PRECISIONS IMPORTANTES: le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure, a reposé sur les critères suivants :

- failles de votre antivirus qui a laissé passer des malwares

- Antivir peut-être installé et désinstallé facilement

- Antivir est reconnu pour son efficacité en mode sans échec

- le tutorial de tesgaz permet de le paramétrer sans problème.

 

Phase 2

• Redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)
   
  
• Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].
  NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec=>
  Comment démarrer l'ordinateur en mode sans échec
   
  
• A l'ouverture de session, choisir la session courante et non celle de l'administrateur
   
  
• Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage"=>
   
  -Activer la case : "Afficher les fichiers et dossiers cachés"
  -Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"
  -Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"
  -Puis, cliquer sur "Appliquer".
   
  Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.
  

Phase 3

• Nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider
   
  
• Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers=>
  -C:\TEMP
  -C:\WINDOWS\TEMP
  -C:\Documents And Settings\Session utilisateur\Local Settings\Temp
  -C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files
  -Vider la corbeille
   
   
  
• Recherche et élimination des parasites avec Antivir=>
  lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)
  Sauvegarder le rapport!
   
  
• Désinstallation d'Antivir(pour ceux qui ne souhaitent pas conserver le logiciel)=> terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).
   
   
  
• Redémarrer le PC en mode normal
   
  
• Installation et utilisation d'HijackThis=>
  
• Créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau. => Pour toi, il s'agit de copier-coller Hijackthis.exe dans un répertoire qui lui est dédié, comme indiqué.
  Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
   
  
• Arrêter tous les programmes en cours et fermer toutes les fenêtres
   
  
• Lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"
  
• Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
   
  NB : en cas de problème, appliquer le Tutorial de BipBip avec copies d'écran.
  

Phase 4

 

- Ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire. Puis faire de même avec le rapport antivir.

- Attendre l'analyse et la réponse.

Auteur : Megataupe - Canned modifié par Charles Ingals

 

 

Bon courage, a plus tard.

Modifié le 5 août 2006 par Gof

[Ludo73]

Bonsoir Ludo73

Bienvenue sur les forums de Zebulon

 

Quelques liens pour t'aider à commencer dans l'utilisation de ce forum :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

Tu es en effet infecté ; commence par appliquer cette procédure préliminaire :

J'attire ton attention sur le paramétrage d'Antivir qui est important, et sur le déplacement de Hijackthis.exe qui est mal placé dans ton cas.

Phase 2

• Redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)
   
  
• Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].
  NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec=>
  Comment démarrer l'ordinateur en mode sans échec
   
  
• A l'ouverture de session, choisir la session courante et non celle de l'administrateur
   
  
• Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage"=>
   
  -Activer la case : "Afficher les fichiers et dossiers cachés"
  -Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"
  -Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"
  -Puis, cliquer sur "Appliquer".
   
  Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.
  

Phase 3

• Nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider
   
  
• Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers=>
  -C:\TEMP
  -C:\WINDOWS\TEMP
  -C:\Documents And Settings\Session utilisateur\Local Settings\Temp
  -C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files
  -Vider la corbeille
  
• Recherche et élimination des parasites avec Antivir=>
  lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)
  Sauvegarder le rapport!
   
  
• Désinstallation d'Antivir(pour ceux qui ne souhaitent pas conserver le logiciel)=> terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).
  
• Redémarrer le PC en mode normal
   
  
• Installation et utilisation d'HijackThis=>
  
• Créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau. => Pour toi, il s'agit de copier-coller Hijackthis.exe dans un répertoire qui lui est dédié, comme indiqué.
  Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
   
  
• Arrêter tous les programmes en cours et fermer toutes les fenêtres
   
  
• Lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"
  
• Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
   
  NB : en cas de problème, appliquer le Tutorial de BipBip avec copies d'écran.
  

Phase 4

 

- Ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire. Puis faire de même avec le rapport antivir.

- Attendre l'analyse et la réponse. Auteur : Megataupe - Canned modifié par Charles Ingals

Bon courage, a plus tard.

 

 

 

Merci à toi Gof !!

 

J'ai fait la procédure que tu m'as indiqué, et c'est enfin terminé.

 

Voilà le dernier rapport de HijackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 14:24:28, on 05/08/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\WINDOWS\System32\pctspk.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\system32\cisvc.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\WINDOWS\system32\drivers\KodakCCS.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\Program Files\9Telecom\modem_ADSL_USB_Comtrend_CT-350\dslmon.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Program Files\Xi\NetXfer\NXToolBar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [VTPreset] VTPreset.exe

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [!ewido] "F:\Ludo\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - Global Startup: DSLMON-9Online.LNK = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Téléchargement par NetXfer - C:\Program Files\Xi\NetXfer\NXAddLink.html

O8 - Extra context menu item: Téléchargez tous par NetXfer - C:\Program Files\Xi\NetXfer\NXAddList.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1116268035353

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Service Bonjour (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe (file missing)

O23 - Service: NtDIC(ntdic) (NtDIC) - Unknown owner - C:\WINDOWS\system32\icntrl.exe (file missing)

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Windows Kernel Services - Unknown owner - C:\WINDOWS\winlogon.exe (file missing)

 

 

 

Et voici le rapport de Antivir :

 

 

AntiVir PersonalEdition Classic

Report file date: samedi 5 août 2006 12:31

 

Scanning for 474641 virus strains and unwanted programs.

 

Licensed to: AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 1) [5.1.2600]

Username: Ludovic

Computer name: LUDO

 

Version informations:

AVSCAN.EXE : 7.0.0.42 557096 05/08/2006 09:48:46

AVSCAN.DLL : 7.0.0.42 53288 05/08/2006 09:48:46

LUKE.DLL : 7.0.0.42 118824 05/08/2006 09:48:48

LUKERES.DLL : 7.0.0.42 25640 05/08/2006 09:48:49

ANTIVIR0.VDF : 6.35.0.1 7371264 05/08/2006 09:48:45

ANTIVIR1.VDF : 6.35.0.168 730112 05/08/2006 09:48:45

ANTIVIR2.VDF : 6.35.1.50 373248 05/08/2006 09:48:45

ANTIVIR3.VDF : 6.35.1.53 53248 05/08/2006 09:48:45

AVEWIN32.DLL : 7.1.1.2 1782272 05/08/2006 09:48:46

AVPREF.DLL : 7.0.0.1 49192 05/08/2006 09:48:46

AVREP.DLL : 6.35.1.25 737320 05/08/2006 09:48:46

AVRPBASE.DLL : 7.0.0.0 2162728 05/08/2006 09:48:46

AVPACK32.DLL : 7.1.0.1 335912 05/08/2006 09:48:46

AVREG.DLL : 6.31.0.90 27688 05/08/2006 09:48:46

NETNT.DLL : 6.32.0.0 6696 05/08/2006 09:48:50

NETNW.DLL : 6.32.0.0 9768 05/08/2006 09:48:50

RCIMAGE.DLL : 7.0.0.71 1642536 05/08/2006 09:50:54

RCTEXT.DLL : 7.0.0.75 77864 05/08/2006 09:50:54

 

Configuration settings for the scan:

Jobname: '%s'.................: Local Hard Disks

Configuration file............: C:\Program Files\AntiVir PersonalEdition Classic\alldiscs.avp

Boot sectors..................: C

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 1

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Skipped archive types.........: 1000,1001,1002,1003,1004,

Macro heuristic...............: 1

File heuristic................: 3

Primary action................: 1

Secondary action..............: 0

 

Start of the scan: samedi 5 août 2006 12:31

 

 

The scan over running processes will be started

13 Processes was scanned

 

Start scanning boot sectors:

 

Boot sector 'C:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

C:\kybrdff_7.exe

[DETECTION] Is the Trojan horse TR/Dldr.Adload.DL

[iNFO] The file was deleted!

C:\kybrdff_7.exe

[DETECTION] Is the Trojan horse TR/Dldr.Adload.DL

C:\nwnmff_7.exe

[DETECTION] Contains suspicious code HEUR/VB.Downloader

[iNFO] The file was deleted!

C:\nwnmff_7.exe

[DETECTION] Contains suspicious code HEUR/VB.Downloader

 

The registry was scanned ( 26 files ).

 

 

Starting the file scan:

 

C:\drsmartload1.exe

[DETECTION] Is the Trojan horse TR/Adlaod.GQ.2

[iNFO] The file was deleted!

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\01N6DQOV\nwnmff_7[1].exe

[DETECTION] Contains suspicious code HEUR/VB.Downloader

[iNFO] The file was deleted!

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\BFGBX7K0\drsmartload[1].exe

[DETECTION] Is the Trojan horse TR/Adlaod.GQ.2

[iNFO] The file was deleted!

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\BFGBX7K0\kybrdff_7[1].exe

[DETECTION] Is the Trojan horse TR/Dldr.Adload.DL

[iNFO] The file was deleted!

C:\Documents and Settings\Ludovic\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\Ludovic\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\Ludovic\Application Data\Thunderbird\Profiles\cu4nunfm.default\Mail\pop.wanadoo.fr\inbox

[0] Archive type: Netscape/Mozilla Mailbox

--> Mailbox_[From: "The Post Office" <noreply@wanadoo.fr>][subject: Returned mail: Data format error]6430.mim

[1] Archive type: MIME

--> text.scr

[DETECTION] Contains signature of the worm WORM/Mydoom.L

--> Mailbox_[From: alain.berlandi@wanadoo.fr][subject: W rlomrgcbx]6444.mim

[1] Archive type: MIME

--> attachment.zip

[DETECTION] Contains signature of the worm WORM/Mydoom.L

[2] Archive type: ZIP

--> attachment.scr

[DETECTION] Contains signature of the worm WORM/Mydoom.L

--> Mailbox_[From: "Post Office" <noreply@wanadoo.fr>][subject: Returned mail: Data format error]6636.mim

[1] Archive type: MIME

--> document.zip

[DETECTION] Contains signature of the worm WORM/Mydoom.L

[2] Archive type: ZIP

--> document.html .scr

[DETECTION] Contains signature of the worm WORM/Mydoom.L

--> Mailbox_[From: "Post Office" <postmaster@wanadoo.fr>][subject: Returned mail: see transcript for details]6660.mim

[1] Archive type: MIME

--> letter.zip

[DETECTION] Contains signature of the worm WORM/Mydoom.L

[2] Archive type: ZIP

--> letter.htm .pif

[DETECTION] Contains signature of the worm WORM/Mydoom.L

--> Mailbox_[From: jean-paul.bard@wanadoo.fr][subject: Message could not be delivered]6704.mim

[1] Archive type: MIME

--> letter.scr

[DETECTION] Contains signature of the worm WORM/Mydoom.L

--> Mailbox_[From: "Mail Delivery Subsystem" <postmaster@wanadoo.f][subject: DELIVERY REPORTS ABOUT YOUR E-MAIL]6728.mim

[1] Archive type: MIME

--> file.zip

[DETECTION] Contains signature of the worm WORM/Mydoom.L

[2] Archive type: ZIP

--> file.htm .exe

[DETECTION] Contains signature of the worm WORM/Mydoom.L

--> Mailbox_[From: "Mail Delivery Subsystem" <postmaster@wanadoo.f][subject: Message could not be delivered]6914.mim

[1] Archive type: MIME

--> document.zip

[DETECTION] Contains signature of the worm WORM/Mydoom.L

[2] Archive type: ZIP

--> document.cmd

[DETECTION] Contains signature of the worm WORM/Mydoom.L

[WARNING] The file was ignored!

C:\Documents and Settings\Ludovic\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\Ludovic\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\Program Files\Alcohol Soft\Alcohol 120\Langs\AX_RU.dll

[DETECTION] Contains suspicious code HEUR/Crypted.Patched

[iNFO] The file was deleted!

C:\WINDOWS\winlogon.exe

[DETECTION] Contains signature of the worm WORM/Sdbot.62091

[iNFO] The file was deleted!

C:\WINDOWS\system32\setup_57257.exe

[DETECTION] Contains signature of the worm WORM/Sdbot.62091

[iNFO] The file was deleted!

C:\WINDOWS\system32\setup_61388.exe

[DETECTION] Contains signature of the worm WORM/Sdbot.62091

[iNFO] The file was deleted!

C:\WINDOWS\system32\setup_75653.exe

[DETECTION] Contains signature of the worm WORM/Sdbot.62091

[iNFO] The file was deleted!

C:\WINDOWS\system32\TFTP1968

[DETECTION] Contains signature of the worm WORM/RBot.100378

[iNFO] The file was deleted!

C:\WINDOWS\system32\TFTP2452

[DETECTION] Contains suspicious code HEUR/Crypted.Modified

[iNFO] The file was deleted!

C:\WINDOWS\system32\TFTP3464

[DETECTION] Contains signature of the worm WORM/RBot.108544.12

[iNFO] The file was deleted!

C:\WINDOWS\system32\TFTP3884

[DETECTION] Contains suspicious code HEUR/Crypted.Modified

[iNFO] The file was deleted!

C:\WINDOWS\system32\TFTP428

[DETECTION] Contains signature of the worm WORM/RBot.212992

[iNFO] The file was deleted!

C:\WINDOWS\system32\windowsnfo.exe

[DETECTION] Contains suspicious code HEUR/Crypted.Modified

[iNFO] The file was deleted!

C:\WINDOWS\system32\config\default

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\drivers\sptd.sys

[WARNING] The file could not be opened!

C:\WINDOWS\system32\drivers\sptd7661.sys

[WARNING] The file could not be opened!

C:\WINDOWS\system32\drivers\vaxscsi.sys

[WARNING] The file could not be opened!

 

 

End of the scan: samedi 5 août 2006 14:11

Used time: 1:39:32 min

 

The scan has been done completely.

 

12498 Scanning directories

292183 Files were scanned

29 viruses and/or unwanted programs was found

17 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

13825 Archives were scanned

19 Warnings

1 Notes

 

 

 

Voilà. Je te remercie encore et je te dis à plus tard !

[Gof]

Bonjour Ludo73

 

Note : lorsque tu réponds, privilégie "Répondre" entre "Flash" et "Nouveau", cela permet d'éviter de citer tout le post précédent dans ta réponse.

 

Antivir a bien travaillé et a bien commencé le boulot. Tu possèdes beaucoup de mails infectés, je te conseille vivement de supprimer les messages présents dans ta boite de réception et dans ta boite d'archivage.

Je remarque cependant que tu n'as pas été assez rigoureux dans l'application de la procédure.

effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers=>

-C:\TEMP

-C:\WINDOWS\TEMP

-C:\Documents And Settings\Session utilisateur\Local Settings\Temp

-C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

-Vider la corbeille

Car Antivir a détecté des éléments infectieux dans ces dossiers. D'autre part, Antivir est encore présent sur ton pc, alors qu'il était demandé de le désinstaller à la fin de la procédure. La présence de 2 antivirus actifs sur un pc peut engendrer des disfonctionnements à répétition. Il te faut en désinstaller un (Antivir ou AVG).

 

Ton système n'est absolument pas à jour ! En l'état, on va d'abord procéder à la désinfection de sorte que les mises à jour puissent s'effectuer par la suite sans soucis, lorsque tu seras désinfecté.

 

-Exécute Hijackthis

• Clique sur Open the misc tools sections
  
• Clique sur Open uninstall Manager
  
• Clique sur Save list
  

-Enregistre le fichier > Une fenêtre du bloc-notes va s'ouvrir, copie-colle le contenu dans ton prochain post.

 

Cela me permettra de voir quels softs tu possèdes déjà pour adapter la procédure en fonction de ceux que tu possèdes, et également de vérifier si tu n'as pas d'éléments infectieux que l'on pourrait supprimer par le panneau de configuration Ajout/suppression de programmes.

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

• Double-clique blbeta.exe et accepte la licence; clique Scan puis Next
  
• Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
  
• Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
  

[Ludo73]

Re-bonjour !

 

J'ai effectuer le nettoyage des parties qui n'étaient pas propres comme tu me l'as demandé. Pour cela, j'ai refait un nettoyage du disque puis j'ai supprimé des fichiers manuellement.

Concernant ta remarque sur mes mails infectés, j'utilise Mozilla Thunderbird. J'ai des mails importants, notamment pour le boulot donc je peux pas me permettre de tous les supprimer. Du coup, j'ai compacté les dossiers (Fichiers, Compacter les dossiers).

 

Je ne peux pas te fournir la liste des programmes de désinstallation comme tu le souhaitais car lorsque je clique sur "save liste" dans HijackThis, rien ne se passe si ce n'est que le logiciel se ferme, sans trace de fichier texte.

 

Ensuite j'ai téléchargé BlackLight Beta mais il ne fonctionne pas sur mon ordi. Quand je double-clique sur blbeta.exe, un message d'erreur apparaît : "F-Secure BlackLight could not acquire necessary privileges". D'après le message, il y a 2 raisons possibles à cela : "your computer settings may prevent acquiring these privileges" ou "a malicious program might have disabled these privileges".

 

Du coup, j'ai relancer un scan Antivir, puis un scan avec HijackThis. Je sais pas si c'est judicieux d'avoir fait ça mais je te met les rapports si ça peut t'interesser. D'ailleurs, Antivir n'a rien trouvé. Voilà enfin un truc qui me rassure !!

 

Désolé pour le temps de réponse, il est vrai un peu long....

 

A plus tard !

[Ludo73]

J'oubliais les derniers rapports HijackThis et Antivir que j'ai obtenus.....

 

Voilà le rapport HijackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 21:00:52, on 05/08/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\drivers\KodakCCS.exe

C:\WINDOWS\System32\pctspk.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\9Telecom\modem_ADSL_USB_Comtrend_CT-350\dslmon.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [VTPreset] VTPreset.exe

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [!ewido] "F:\Ludo\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - Global Startup: DSLMON-9Online.LNK = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1116268035353

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Service Bonjour (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe (file missing)

O23 - Service: NtDIC(ntdic) (NtDIC) - Unknown owner - C:\WINDOWS\system32\icntrl.exe (file missing)

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Windows Kernel Services - Unknown owner - C:\WINDOWS\winlogon.exe (file missing)

 

 

Et le rapport Antivir :

 

 

 

AntiVir PersonalEdition Classic

Report file date: samedi 5 août 2006 19:27

 

Scanning for 474641 virus strains and unwanted programs.

 

Licensed to: AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 1) [5.1.2600]

Username: Ludovic

Computer name: LUDO

 

Version informations:

AVSCAN.EXE : 7.0.0.42 557096 05/08/2006 09:48:46

AVSCAN.DLL : 7.0.0.42 53288 05/08/2006 09:48:46

LUKE.DLL : 7.0.0.42 118824 05/08/2006 09:48:48

LUKERES.DLL : 7.0.0.42 25640 05/08/2006 09:48:49

ANTIVIR0.VDF : 6.35.0.1 7371264 05/08/2006 09:48:45

ANTIVIR1.VDF : 6.35.0.168 730112 05/08/2006 09:48:45

ANTIVIR2.VDF : 6.35.1.50 373248 05/08/2006 09:48:45

ANTIVIR3.VDF : 6.35.1.53 53248 05/08/2006 09:48:45

AVEWIN32.DLL : 7.1.1.2 1782272 05/08/2006 09:48:46

AVPREF.DLL : 7.0.0.1 49192 05/08/2006 09:48:46

AVREP.DLL : 6.35.1.25 737320 05/08/2006 09:48:46

AVRPBASE.DLL : 7.0.0.0 2162728 05/08/2006 09:48:46

AVPACK32.DLL : 7.1.0.1 335912 05/08/2006 09:48:46

AVREG.DLL : 6.31.0.90 27688 05/08/2006 09:48:46

NETNT.DLL : 6.32.0.0 6696 05/08/2006 09:48:50

NETNW.DLL : 6.32.0.0 9768 05/08/2006 09:48:50

RCIMAGE.DLL : 7.0.0.71 1642536 05/08/2006 09:50:54

RCTEXT.DLL : 7.0.0.75 77864 05/08/2006 09:50:54

 

Configuration settings for the scan:

Jobname: '%s'.................: Local Hard Disks

Configuration file............: C:\Program Files\AntiVir PersonalEdition Classic\alldiscs.avp

Boot sectors..................: C,F

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 1

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Skipped archive types.........: 1000,1001,1002,1003,1004,

Macro heuristic...............: 1

File heuristic................: 3

Primary action................: 1

Secondary action..............: 0

 

Start of the scan: samedi 5 août 2006 19:27

 

 

The scan over running processes will be started

14 Processes was scanned

 

Start scanning boot sectors:

 

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'F:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( 25 files ).

 

 

Starting the file scan:

 

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\Ludovic\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\Ludovic\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\Ludovic\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\Ludovic\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\drivers\sptd.sys

[WARNING] The file could not be opened!

C:\WINDOWS\system32\drivers\sptd7661.sys

[WARNING] The file could not be opened!

C:\WINDOWS\system32\drivers\vaxscsi.sys

[WARNING] The file could not be opened!

 

 

End of the scan: samedi 5 août 2006 20:47

Used time: 1:20:21 min

 

The scan has been done completely.

 

12314 Scanning directories

277062 Files were scanned

0 viruses and/or unwanted programs was found

0 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

9402 Archives were scanned

18 Warnings

2 Notes

 

 

Merci encore !

[Gof]

Bonjour Ludo73,

 

Il est impératif que tu désinstalles un de tes 2 antivirus ! Soit AVG, soit Antivir, en passant par le panneau de configuration>Ajout/suppression de programmes.

Concernant ta remarque sur mes mails infectés, j'utilise Mozilla Thunderbird. J'ai des mails importants, notamment pour le boulot donc je peux pas me permettre de tous les supprimer. Du coup, j'ai compacté les dossiers (Fichiers, Compacter les dossiers).

Ils ne vont peut-être plus apparaître dans le scan Antivir en mode sans échec, mais ils sont toujours présents et infectés.

 

Fais ceci stp :

 

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien la note au bas, avant de débuter.

Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.

• Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
  
• Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
  
• Coche Run this program as a task
  
• Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
  
• Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
  
• Lorsque le scan termine, clique sur le bouton Remove L2M
  
• Un message Done Scanning apparaîtra, clique OK.
  
• Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
  
• Ton PC va maintenant s'éteindre.
  
• Démarre ton PC normalement.
  
• Colle le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
  

*Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.

[Ludo73]

Salut !

 

J'ai enfin désinstaller Antivir comme tu me le conseillais....

 

Voilà les 2 rapports que tu me demandais :

 

Rapport Look2Me :

 

 

Look2Me-Destroyer V1.0.12

 

Scanning for infected files.....

Scan started at 06/08/2006 12:50:09

 

Infected! C:\WINDOWS\system32\p48q0el5ehq.dll

Infected! C:\WINDOWS\system32\irpol5731.dll

Infected! C:\WINDOWS\system32\n64slgh7164.dll

Infected! C:\WINDOWS\system32\guard.tmp

 

Attempting to delete infected files...

 

Making registry repairs.

 

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\H323TSP

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\OemStartMenuData

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Reliability

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Themes

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{24CC283B-5D75-430D-ACBC-34076F14D6BA}"

HKCR\Clsid\{24CC283B-5D75-430D-ACBC-34076F14D6BA}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{0343F106-2D47-46C2-BE3A-35E943195914}"

HKCR\Clsid\{0343F106-2D47-46C2-BE3A-35E943195914}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{A87C1C93-FEAB-4AAE-8369-7BDC595BDED2}"

HKCR\Clsid\{A87C1C93-FEAB-4AAE-8369-7BDC595BDED2}

 

Restoring Windows certificates.

 

Replaced hosts file with default windows hosts file

 

 

Restoring SeDebugPrivilege for Administrateurs - Succeeded

 

Et le rapport HijackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 13:30:54, on 06/08/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\drivers\KodakCCS.exe

C:\WINDOWS\System32\pctspk.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\9Telecom\modem_ADSL_USB_Comtrend_CT-350\dslmon.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [VTPreset] VTPreset.exe

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [!ewido] "F:\Ludo\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - Global Startup: DSLMON-9Online.LNK = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1116268035353

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Service Bonjour (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe (file missing)

O23 - Service: NtDIC(ntdic) (NtDIC) - Unknown owner - C:\WINDOWS\system32\icntrl.exe (file missing)

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Windows Kernel Services - Unknown owner - C:\WINDOWS\winlogon.exe (file missing)

 

 

 

A plus tard !

 

PS : je voulais te poser une question concernant mes mails que tu penses infectés. Comment sais tu qu'ils sont encore infectés alors que mon antivirus ne trouve plus de trace ? Merci.

[Gof]

Re bonjour Ludo73,

 

A présent, cette manipulation de devrait pas te poser de soucis.

 

-Exécute Hijackthis

• Clique sur Open the misc tools sections
  
• Clique sur Open uninstall Manager
  
• Clique sur Save list
  

-Enregistre le fichier > Une fenêtre du bloc-notes va s'ouvrir, copie-colle le contenu dans ton prochain post.

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

• Double-clique blbeta.exe et accepte la licence; clique Scan puis Next
  
• Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
  
• Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
  

Concernant tes mails, j'ai cru que tu les avais compressés, je t'avais lu trop vite. En fait tu les as "compactés" :

Quand vous supprimez des messages dans un client de messagerie électronique tel que Mozilla Thunderbird ou la suite Seamonkey, ceux-ci sont seulement cachés et ne sont pas réellement supprimés, même si vous videz la corbeille. Ces messages cachés restent présents jusqu’à ce qu’un compactage soit effectué. Jusqu’à ce moment, il est donc possible de restaurer un message effacé.

Le compactage n’est pas une compression contrairement à ce que l’on pourrait penser. Si cette opération fait gagner du poids c’est parce qu’elle supprime les messages effacés, pas parce qu’elle compresse les messages existants.

source Geckozone En fait, il s'agissait de messages supprimés déja de ta boite, et qui n'étaient pas complétement effacés. S'il y avait des messages que tu souhaitais conserver, je crains que tu ne les ais définitivement effacés.

[Ludo73]

Encore une fois, je n'ai pas pu te fournir la liste des programmes de désinstallation car la manip avec HijackThis pose toujours problème.... Quand je clique sur "save list", rien ne se passe !

 

Par contre, cette fois ci Blbeta.exe a marché. Je te donne le rapport (mais il semble que rien n'ai été détécté car je n'ai pas vu de liste de fichiers détéctés apparaître).

 

Rapport blbeta.exe :

 

08/06/06 16:11:23 [info]: BlackLight Engine 1.0.42 initialized

08/06/06 16:11:23 [info]: OS: 5.1 build 2600 (Service Pack 1)

08/06/06 16:11:23 [Note]: 7019 4

08/06/06 16:11:23 [Note]: 7005 0

08/06/06 16:11:30 [Note]: 7006 0

08/06/06 16:11:30 [Note]: 7011 1768

08/06/06 16:11:30 [Note]: 7026 0

08/06/06 16:11:30 [Note]: 7026 0

08/06/06 16:11:49 [Note]: FSRAW library version 1.7.1019

08/06/06 16:19:42 [Note]: 4013 20816

08/06/06 16:19:42 [Note]: 4020 11380 -910753792

08/06/06 16:19:42 [Note]: 4018 11380 -910753792

08/06/06 16:20:05 [Note]: 4013 49165

08/06/06 16:20:05 [Note]: 4020 11380 -910753792

08/06/06 16:20:05 [Note]: 4018 11380 -910753792

08/06/06 16:21:13 [Note]: 4013 48909

08/06/06 16:21:13 [Note]: 4020 11380 -910753792

08/06/06 16:21:13 [Note]: 4018 11380 -910753792

08/06/06 16:21:40 [Note]: 4013 49155

08/06/06 16:21:40 [Note]: 4020 11380 -910753792

08/06/06 16:21:40 [Note]: 4018 11380 -910753792

08/06/06 16:22:57 [Note]: 2000 1006

08/06/06 16:28:49 [Note]: 7007 0

 

 

Pour les mails, ne t'en fait pas, j'ai gardé mes mails importants...

 

A+