Ralentissements et plantages log Hijackthis

[lupiou]

Bonjour !

 

Je suis fraichement inscris.

Je viens vous demander de l'aide.

 

Mes problèmes :

- aléatoirement, la connexion peut être "stoppée", c'est à dire que je suis connecté mais rien ne se passe.

- explorer peut se bloquer

- les programmes ne se lancent plus

- le PC peut planter totalement

 

Voici le log Hijackthis :

 

 

Logfile of HijackThis v1.99.1

Scan saved at 21:05:01, on 14/08/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\ATKKBService.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\Microsoft Hardware\Keyboard\type32.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

D:\Downloads\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [intelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [skwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm

O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{B091066A-8819-4066-87A8-ECB8090B7403}: NameServer = 212.27.54.252 212.27.53.252

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

 

 

Je pense que le problème vient de svch0st.exe, car je fais l'analyse de mon log sur le site officiel, ce fichier est décrit comme un logiciel malveillant.

 

Merci de m'aider !

[Gof]

Bonsoir lupiou

 

Messages: 1

Bienvenue sur les forums de Zebulon

Quelques liens pour t'aider à commencer dans l'utilisation de ce forum :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

Bon, on va voir de quoi il s'agit. Commence par appliquer cette procédure préliminaire. Un membre de l'Espace sécurité, un junior ou moi-même s'occupera alors de toi :

 

J'attire ton attention sur le paramétrage d'Antivir qui est important, et sur le placement de Hijackthis.exe . Dans ton cas, ne retélécharge pas Hijackthis, mais déplace le, comme indiqué en fin de procédure.

Phase 1

• Faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.
   
  
• Télécharger Antivir
   
  
• Installer Antivir : Il est impératif de le configurer correctement afin de faire le meilleur scan possible ,
  voir la procédure suivante (imprimez la) => Tutoriel de tesgaz
   
  
• Allez jusqu'à l'étape: Configuration du tutoriel de tesgaz, dans ce paragraphe , seule la partie suivante nous interesse:Configuration du scanner et ses sous parties : "action on malware" - "Heuristic" - "Archives" .Note: il est inutile de configurer la fonction "Guard" décrite dans la partie "Configuration Guard".
   
  
• Si l'utilisateur désire conserver Antivir une fois la procédure de prénettoyage terminée(parce qu'il n'a pas d'antivirus par exemple) , il devra suivre le tutoriel en entier pour pouvoir bénéficier de la protection résidente !

  
  PRECISIONS IMPORTANTES: le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure, a reposé sur les critères suivants :
  - failles de votre antivirus qui a laissé passer des malwares
  - Antivir peut-être installé et désinstallé facilement
  - Antivir est reconnu pour son efficacité en mode sans échec
  - le tutorial de tesgaz permet de le paramétrer sans problème.

   
  
• Télécharger la dernière version d'HijackThis
   
  OU LA( en cas d'indisponibilité !)
  

Phase 2

• Redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)
   
  
• Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].
  NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec=>
  Comment démarrer l'ordinateur en mode sans échec
   
  
• A l'ouverture de session, choisir la session courante et non celle de l'administrateur
   
  
• Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage"=>
   
  -Activer la case : "Afficher les fichiers et dossiers cachés"
  -Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"
  -Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"
  -Puis, cliquer sur "Appliquer".
   
  Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.
  

Phase 3

• Nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider
   
  
• Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel, comme indiqué ci-dessous.
  Utilisateurs XP, assurez vous également de faire ceci => suppression de tous les fichiers contenus dans les dossiers=>
  -C:\TEMP
  -C:\WINDOWS\TEMP
  -C:\Documents And Settings\Session utilisateur\Local Settings\Temp
  -C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files
  -Vider la corbeille
   
   
  
• Recherche et élimination des parasites avec Antivir=>
  lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)
  Sauvegarder le rapport!
   
  
• Désinstallation d'Antivir(pour ceux qui ne souhaitent pas conserver le logiciel)=> terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).
   
   
  
• Redémarrer le PC en mode normal
   
   
  
• Installation et utilisation d'HijackThis=>
  
• Créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis. Renommer Hijackthis.exe en [votre pseudo sur zebulon].exe (ne pas insérer d'espace, ponctuation ou de caractères accentués dans le nom) ; créer un raccourci sur le bureau.
  Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
   
  
• Arrêter tous les programmes en cours et fermer toutes les fenêtres
   
  
• Lancer HijackThis (renommé) à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"
  
• Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
   
  NB : en cas de problème, appliquer le Tutorial de BipBip avec copies d'écran.
  

Phase 4

 

- Ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire. Puis faire de même avec le rapport antivir.

- Attendre l'analyse et la réponse.

Auteur : Megataupe / nouveau canned par Charles Ingals

 

Je te demanderais d'ajouter aux deux rapports déjà demandés celui-ci :

-Exécute Hijackthis

• Clique sur Open the misc tools sections
  
• Clique sur Open uninstall Manager
  
• Clique sur Save list
  

-Enregistre le fichier > Une fenêtre du bloc-notes va s'ouvrir, copie-colle le contenu dans ton prochain post.

 

Bon courage

[lupiou]

Voici le rapport Antivir :

 

AntiVir PersonalEdition Classic

Report file date: mardi 15 août 2006 10:49

 

Scanning for 481346 virus strains and unwanted programs.

 

Licensed to: AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 1) [5.1.2600]

Username: Ludo

Computer name: LUDO-GCIWYJQH3W

 

Version informations:

AVSCAN.EXE : 7.0.0.42 557096 14/08/2006 20:40:18

AVSCAN.DLL : 7.0.0.42 53288 14/08/2006 20:40:18

LUKE.DLL : 7.0.0.42 118824 14/08/2006 20:40:18

LUKERES.DLL : 7.0.0.42 25640 14/08/2006 20:40:18

ANTIVIR0.VDF : 6.35.0.1 7371264 14/08/2006 20:40:17

ANTIVIR1.VDF : 6.35.0.168 730112 14/08/2006 20:40:17

ANTIVIR2.VDF : 6.35.1.86 506880 14/08/2006 20:40:17

ANTIVIR3.VDF : 6.35.1.93 16896 14/08/2006 20:40:17

AVEWIN32.DLL : 7.1.1.2 1782272 14/08/2006 20:40:17

AVPREF.DLL : 7.0.0.1 49192 14/08/2006 20:40:18

AVREP.DLL : 6.35.1.80 749608 14/08/2006 20:40:18

AVRPBASE.DLL : 7.0.0.0 2162728 14/08/2006 20:40:18

AVPACK32.DLL : 7.1.0.1 335912 14/08/2006 20:40:17

AVREG.DLL : 6.31.0.90 27688 14/08/2006 20:40:18

NETNT.DLL : 6.32.0.0 6696 14/08/2006 20:40:18

NETNW.DLL : 6.32.0.0 9768 14/08/2006 20:40:18

RCIMAGE.DLL : 7.0.0.71 1642536 14/08/2006 20:40:19

RCTEXT.DLL : 7.0.0.75 77864 14/08/2006 20:40:19

 

Configuration settings for the scan:

Jobname: '%s'.................: Manual Selection

Configuration file............: C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Boot sectors..................: C,F,G

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 1

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Skipped archive types.........: 1000,1001,1002,1003,1004,

Macro heuristic...............: 1

File heuristic................: 2

Primary action................: 1

Secondary action..............: 0

 

Start of the scan: mardi 15 août 2006 10:49

 

 

The scan over running processes will be started

12 Processes was scanned

 

Start scanning boot sectors:

 

Boot sector 'C:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( 16 files ).

 

 

Starting the file scan:

 

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\Ludo\ntuser.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\Ludo\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\Ludo\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\Ludo\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system.LOG

[WARNING] The file could not be opened!

The path F:\ could not be found!

Le périphérique n'est pas prêt.

 

The path G:\ could not be found!

Le périphérique n'est pas prêt.

 

 

 

End of the scan: mardi 15 août 2006 10:59

Used time: 10:00 min

 

The scan has been done completely.

 

2223 Scanning directories

97338 Files were scanned

0 viruses and/or unwanted programs was found

0 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

497 Archives were scanned

15 Warnings

0 Notes

 

 

 

Rapport Hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 11:03:34, on 15/08/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\ATKKBService.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\Microsoft Hardware\Keyboard\type32.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Logitech\Video\AlbumDB2.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\WINDOWS\System32\LVComsX.exe

C:\Program Files\Hijackthis\lupiou.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [intelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [skwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm

O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{B091066A-8819-4066-87A8-ECB8090B7403}: NameServer = 212.27.54.252 212.27.53.252

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

 

Rapport Uninstall List :

 

 

Ad-Aware SE Personal

Adobe Flash Player 9 ActiveX

Adobe Reader 7.0.8 - Français

Adobe Shockwave Player

ADSL Autoconnect

ASUS Enhanced Display Driver

CCleaner (remove only)

DivX

DivX Converter

DivX Player

DivX Web Player

Download Accelerator Plus (DAP)

EasyCleaner

eMule0.47a MorphXT 8.5

FireTune

Free - Kit de connexion

HijackThis 1.99.1

IZArc 3.5 beta 3

J2SE Runtime Environment 5.0 Update 5

Java 2 Runtime Environment, SE v1.4.1_07

Java Web Start

Kaspersky Internet Security 6.0

K-Lite Codec Pack 2.71 Full

Logitech MouseWare 9.80

Logitech QuickCam

Microsoft Office XP Professional avec FrontPage

Mozilla Firefox (1.5.0.6)

MSN Messenger 7.5

NVIDIA Drivers

Programme de gestion Camera de Logitech®

QuickTime

Realtek AC'97 Audio

SAGEM F@st 800-908

Spybot - Search & Destroy 1.4

SuperCopier2

Winamp (remove only)

Windows Installer 3.1 (KB893803)

xp-AntiSpy 3.96-2

 

 

 

Merci pour ton aide Gof, j'espère que tu pourras m'aider avec ces rapports.

[Thanos]

salut lupiou,Gof

 

Rien de méchant à signaler sur ce rapport.

Remarque: DAP n'est pas très clair! lui préférer Free Download Manager (sans spywares).

Peux tu poster un rapport comme ceci ? =>

 

- Télécharge chercher.zip sur ton bureau

• Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
  
• Un nouveau dossier chercher va être créé
  
• Ouvre le et double-clic sur chercher.cmd
  
• Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande
  
• Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
  
• Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
  
• A nouveau menu Edition / copier
  
• Dans un nouveau message ici, faire un clic droit / coller
  

@+

[lupiou]

Salut charles ingals

 

J'ai suivi ton conseil, j'ai désinstallé DAP et je l'ai remplacé par Free Download Manager.

 

Voici le résultat de chercher.zip :

 

C:\WINDOWS\System32\nvapps.xml -->15/08/2006 16:26:24

C:\WINDOWS\System32\LVCOMSX.LOG -->15/08/2006 16:09:51

C:\WINDOWS\System32\wpa.dbl -->14/08/2006 11:38:55

C:\WINDOWS\System32\dtu100.dll -->04/08/2006 17:37:37

C:\WINDOWS\System32\dpl100.dll -->04/08/2006 17:37:37

C:\WINDOWS\System32\qt-dx331.dll -->27/07/2006 04:05:58

C:\WINDOWS\System32\pxinsi64.exe -->27/07/2006 04:05:54

C:\WINDOWS\System32\pxcpyi64.exe -->27/07/2006 04:05:54

C:\WINDOWS\System32\sysconfig.inf -->26/07/2006 19:54:25

C:\WINDOWS\System32\eraseme_00416.exe -->24/07/2006 04:35:57

C:\WINDOWS\System32\eraseme_63521.exe -->23/07/2006 18:03:12

C:\WINDOWS\System32\eraseme_82686.exe -->21/07/2006 11:16:57

C:\WINDOWS\System32\eraseme_17577.exe -->17/07/2006 12:23:54

C:\WINDOWS\System32\lvcoinst.log -->16/07/2006 11:37:01

C:\WINDOWS\System32\FNTCACHE.DAT -->12/07/2006 21:43:42

C:\WINDOWS\System32\slhost.exe -->12/07/2006 05:44:05

C:\WINDOWS\System32\CmdLineExt.dll -->12/07/2006 04:27:39

C:\WINDOWS\System32\h323log.txt -->11/07/2006 19:30:40

C:\WINDOWS\System32\BASSMOD.dll -->11/07/2006 19:21:10

C:\WINDOWS\System32\wbocx.ocx -->11/07/2006 19:19:08

C:\WINDOWS\System32\wbhelp2.dll -->11/07/2006 19:19:08

C:\WINDOWS\System32\AniGIF.ocx -->11/07/2006 19:19:08

C:\WINDOWS\System32\PerfStringBackup.INI -->11/07/2006 19:11:48

C:\WINDOWS\System32\perfh00C.dat -->11/07/2006 19:11:48

C:\WINDOWS\System32\perfh009.dat -->11/07/2006 19:11:48

 

C:\WINDOWS\0.log -->15/08/2006 16:24:23

C:\WINDOWS\wiadebug.log -->15/08/2006 16:23:26

C:\WINDOWS\wiaservc.log -->15/08/2006 16:23:25

C:\WINDOWS\bootstat.dat -->15/08/2006 16:23:23

C:\WINDOWS\QTFont.qfn -->15/08/2006 14:20:59

C:\WINDOWS\SchedLgU.Txt -->15/08/2006 12:33:51

C:\WINDOWS\Sti_Trace.log -->15/08/2006 11:01:51

C:\WINDOWS\ntbtlog.txt -->15/08/2006 11:01:04

C:\WINDOWS\system.ini -->14/08/2006 20:41:00

C:\WINDOWS\iun6002.exe -->12/08/2006 20:10:42

C:\WINDOWS\QTFont.for -->22/07/2006 18:35:10

C:\WINDOWS\adidsl.ini -->22/07/2006 10:20:15

C:\WINDOWS\Fast800.ini -->22/07/2006 10:19:39

C:\WINDOWS\WMSysPr9.prx -->16/07/2006 11:22:54

C:\WINDOWS\_delis32.ini -->16/07/2006 11:19:49

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 806A-72C1

 

Répertoire de C:\WINDOWS\system32

 

28/08/2001 16:00 4 096 csrss.exe

1 fichier(s) 4 096 octets

0 Rép(s) 44 286 181 376 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 806A-72C1

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

20/07/2006 03:06 <REP> .

20/07/2006 03:06 <REP> ..

11/07/2006 18:36 65 desktop.ini

14/10/1997 18:52 697 DirectAnimation Java Classes.osd

20/01/2000 15:25 1 162 Microsoft XML Parser for Java.osd

22/06/2006 11:41 5 032 swflash.inf

4 fichier(s) 6 956 octets

 

Total des fichiers listés :

4 fichier(s) 6 956 octets

2 Rép(s) 44 286 181 376 octets libres

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 806A-72C1

 

Répertoire de C:\Program Files

 

15/08/2006 16:26 <REP> .

15/08/2006 16:26 <REP> ..

11/07/2006 19:21 <REP> Adobe

22/07/2006 11:13 <REP> ADSL Autoconnect

02/08/2006 01:01 <REP> Alcohol Soft

11/07/2006 19:12 <REP> ASUSTeK

11/07/2006 19:22 <REP> CCleaner

01/08/2006 16:23 <REP> Codemasters

11/07/2006 18:33 <REP> ComPlus Applications

16/07/2006 14:46 <REP> Cyanide

14/08/2006 19:26 <REP> DivX

15/08/2006 12:16 <REP> eMule

14/08/2006 20:19 <REP> ewido anti-spyware 4.0

16/07/2006 11:33 <REP> Fichiers communs

15/08/2006 16:19 <REP> Free Download Manager

22/07/2006 11:09 <REP> Free.fr

03/08/2006 19:56 <REP> FrostWire

15/08/2006 12:39 <REP> Hijackthis

11/07/2006 18:37 <REP> Internet Explorer

11/07/2006 19:02 <REP> IZArc

13/07/2006 21:18 <REP> Java

13/07/2006 13:33 <REP> Java Web Start

14/07/2006 03:41 <REP> K-Lite Codec Pack

13/07/2006 21:23 <REP> Kaspersky Lab

18/07/2006 17:45 <REP> Lavasoft

03/08/2006 19:56 <REP> LimeWire

16/07/2006 11:39 <REP> Logitech

11/07/2006 18:58 <REP> microsoft frontpage

16/07/2006 11:15 <REP> Microsoft Hardware

12/07/2006 01:41 <REP> Microsoft Office

16/07/2006 16:58 <REP> Monte Cristo

11/07/2006 18:35 <REP> Movie Maker

15/08/2006 16:16 <REP> Mozilla Firefox

11/07/2006 18:32 <REP> MSN

11/07/2006 18:32 <REP> MSN Gaming Zone

19/07/2006 20:19 <REP> MSN Messenger

12/07/2006 21:25 <REP> NetMeeting

12/07/2006 21:11 <REP> Outlook Express

14/07/2006 03:46 <REP> QuickTime

16/07/2006 11:34 <REP> RegCleaner

22/07/2006 10:19 <REP> SAGEM

11/07/2006 18:32 <REP> Services en ligne

13/08/2006 09:57 <REP> Spybot - Search & Destroy

04/08/2006 08:55 <REP> SuperCopier2

11/07/2006 19:22 <REP> ToniArts

12/07/2006 04:20 <REP> Winamp

12/07/2006 21:18 <REP> Windows Media Player

11/07/2006 18:32 <REP> Windows NT

11/07/2006 18:58 <REP> xerox

14/08/2006 20:05 <REP> xp-AntiSpy

0 fichier(s) 0 octets

50 Rép(s) 44 286 177 280 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 806A-72C1

 

Répertoire de C:\Program Files\fichiers communs

 

16/07/2006 11:33 <REP> .

16/07/2006 11:33 <REP> ..

11/07/2006 19:23 <REP> Adobe

12/07/2006 01:41 <REP> Designer

12/07/2006 03:03 <REP> DirectX

11/07/2006 19:10 <REP> InstallShield

13/07/2006 21:18 <REP> Java

16/07/2006 11:40 <REP> Logitech

12/07/2006 01:42 <REP> Microsoft Shared

11/07/2006 18:34 <REP> MSSoap

11/07/2006 19:09 <REP> ODBC

11/07/2006 18:34 <REP> Services

11/07/2006 19:09 <REP> SpeechEngines

12/07/2006 21:11 <REP> System

0 fichier(s) 0 octets

14 Rép(s) 44 286 177 280 octets libres

c:\Documents and Settings\Ludo\.limewire\.NetworkShare\LimeWireWinInstaller 1.exe

c:\Documents and Settings\Ludo\.limewire\.NetworkShare\LimeWireWinInstaller 2.exe

c:\Documents and Settings\Ludo\.limewire\.NetworkShare\LimeWireWinInstaller.exe

c:\Documents and Settings\Ludo\Bureau\chercher\LFiles.exe

c:\Documents and Settings\Ludo\Local Settings\Temp\DapRemove.exe

c:\Documents and Settings\Ludo\Local Settings\Temp\Patch_MSN_Messenger.EXE

c:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Bases\avcmhk4.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\Ludo\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

 

Vérifications de quelques clefs

Recherche de clefs EGDACCESS

 

HKLM\SOFTWARE\Microsoft\Windows\explorer\SharedTaskScheduler

 

 

J'espère que ça va m'aider !

[lupiou]

Je vais vous détaillez de nouveaux problèmes :

- je ne peux surfer et exécuter des applications pendant des durées de 30 minutes environ, après c'est un gel du système

- je dois même redémarrer MANUELLEMENT l'ordinateur, il refuse tous les ordres que l'on peut lui donner

- j'ai des suppressions aléatoires de mes paramètres de configs de Mozilla, les favoris aussi

 

J'espère trouver une solution gràce à votre aide !

[Thanos]

salut

 

1) Met Kasperky à jour et quitte le programme.

 

2) -Télécharge ATF Cleaner by Atribune sur ton bureau.

 

On va créer un petit fichier pour nettoyer les restes de DAP =>

 

Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[-HKEY_CLASSES_ROOT\CLSID\{8110AEA1-AD5B-4B90-883F-04A9A33B106E}]
[-HKEY_LOCAL_MACHINE\Software\Speedbit]
[-HKEY_CLASSES_ROOT\daffile]
[-HKEY_LOCAL_MACHINE\Microsoft\Internet Explorer\Extensions\{669695BC-A811-4A9D-8CDF-BA8C795F261C}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Download &all with DAP]
[-HKEY_USER\.DEFAULT\Software\Microsoft\Internet Explorer\MenuExt\Download &all with DAP]
[-HKEY_CLASSES_ROOT\.das]
[-HKEY_CLASSES_ROOT\.dzs]
[-HKEY_CLASSES_ROOT\dzsfile]
[-HKEY_CLASSES_ROOT\dasfile]
[-HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\Suffixes\application\x-speedbit-daf]
[-HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\Suffixes\application\x-speedbit-dal]
[-HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\Suffixes\application\x-speedbit-das]
[-HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\Suffixes\application\x-speedbit-skin]
[-HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\Viewers\application\x-speedbit-daf]
[-HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\Viewers\application\x-speedbit-dal]
[-HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\Viewers\application\x-speedbit-das]
[-HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\Viewers\application\x-speedbit-skin]
[-HKEY_CLASSES_ROOT\DAPBHO.DAPHelper.1]
[-HKEY_CLASSES_ROOT\DAPBHO.DAPHelper]
[-HKEY_CLASSES_ROOT\CLSID\{F852086B-10E6-4743-9A3F-D8257A0A59E3}]
[-HKEY_CLASSES_ROOT\CLSID\{62999427-33FC-4BAF-9C9C-BCE6BD127F08}]
[-HKEY_CLASSES_ROOT\CLSID\{235D7A27-DE65-49F0-BFCF-D5C3BC3B2E67}]

-Aller en haut de page et cliquer sur le menu"Fichier" , une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau"

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant: kill.reg

-Dans le champs"Type" en bas de page ,choisis: "tous les fichiers"

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier"

-quitter le Bloc Notes. ne clique pas sur le fichier maintenant!

 

=>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer:

si ce n'est pas le cas,reprends les informations ci dessus et recommence!

 

3) *Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec"

 

4) Double clique sur le fichier kill.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

 

* Elimine les fichiers suivants (reste de DAP) =>

 

C:\WINDOWS\System32\wbhelp2.dll

C:\WINDOWS\System32\anigif.ocx

C:\WINDOWS\System32\wbocx.ocx

 

* Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

-Coche la case suivante:"select all"

 

-Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

5) Lance Kasperky et fais un scan complêt du pc. Conserve le rapport qui a été généré stp.

 

6) Redémarre normalement et :

 

*Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

* Quelques éléments à vérifier stp=>fais la recherche des fichiers suivants :

 

C:\WINDOWS\System32\eraseme_00416.exe (ou tout autre fichier que tu trouveras dans le répertoire , portant un nom identique eraseme_xxxxx.exe ou x est un chiffre)

 

A faire analyser ici => http://www.virustotal.com/flash/index_en.html

 

Lorsque tu cliques sur cette adresse,tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier eraseme_00416.exe que tu trouveras en allant dans le dossier C:\WINDOWS\System32

 

Tu cliques une fois sur le fichier eraseme_00416.exe (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "send" .Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .Fais pareil pour les autres.

 

Fais de même avec ces fichiers si tu trouves =>

 

C:\WINDOWS\System32\slhost.exe

C:\WINDOWS\_delis32.ini

 

Note: ces fichiers auront peut être disparu après le passage de Kaspersky!

 

* Ouvre HijackThis.

Clique sur Open Misc Tools Section

Assure toi que les deux cases de droite sont bien cochées:

* List all minor sections(Full)

* List Empty Sections(Complete)

Clique surGenerate StartupList Log

Click sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copie le et poste le ici.

 

* Relance stp "chercher.cmd" et poste le rapport .

 

Avec ca on y verra plus clair!

@+

[lupiou]

J'ai fait tout ce qu'il fallait. J'ai aussi supprimé manuellement les fichiers erasme_xxxxx.exe, slhost et delis32.

 

Voici le rapport Hijackthis :

StartupList report, 16/08/2006, 00:33:57

StartupList version: 1.52.2

Started from : C:\Program Files\Hijackthis\lupiou.EXE

Detected: Windows XP SP1 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

* Using default options

==================================================

 

Running processes:

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\ATKKBService.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\Microsoft Hardware\Keyboard\type32.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\Free Download Manager\fdm.exe

C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Hijackthis\lupiou.exe

 

--------------------------------------------------

 

Listing of startup folders:

 

Shell folders Common Startup:

[C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage]

DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

 

--------------------------------------------------

 

Checking Windows NT UserInit:

 

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

 

--------------------------------------------------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

 

SoundMan = SOUNDMAN.EXE

WinampAgent = C:\Program Files\Winamp\winampa.exe

kis = "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

IntelliType = "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

 

--------------------------------------------------

 

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

 

SkwatAutoconnect = C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

SuperCopier2.exe = C:\Program Files\SuperCopier2\SuperCopier2.exe

Free Download Manager = C:\Program Files\Free Download Manager\fdm.exe -autorun

 

--------------------------------------------------

 

Load/Run keys from C:\WINDOWS\WIN.INI:

 

load=*INI section not found*

run=*INI section not found*

 

Load/Run keys from Registry:

 

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\Windows: load=

HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

 

--------------------------------------------------

 

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

 

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

 

Shell & screensaver key from Registry:

 

Shell=Explorer.exe

SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr

drivers=*Registry value not found*

 

Policies Shell key:

 

HKCU\..\Policies: Shell=*Registry value not found*

HKLM\..\Policies: Shell=*Registry value not found*

 

--------------------------------------------------

 

 

Enumerating Browser Helper Objects:

 

(no name) - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

(no name) - C:\Program Files\Free Download Manager\iefdmcks.dll - {CC59E0F9-7E43-44FA-9FAA-8377850BF205}

 

--------------------------------------------------

 

Enumerating Download Program Files:

 

[shockwave Flash Object]

InProcServer32 = C:\WINDOWS\System32\Macromed\Flash\Flash9.ocx

CODEBASE = http://fpdownload.macromedia.com/pub/shock...ash/swflash.cab

 

--------------------------------------------------

 

Enumerating ShellServiceObjectDelayLoad items:

 

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\System32\webcheck.dll

SysTray: C:\WINDOWS\System32\stobject.dll

 

--------------------------------------------------

End of report, 6 265 bytes

Report generated in 0,047 seconds

 

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list version history only

 

 

 

Le rapport "chercher" :

C:\WINDOWS\System32\nvapps.xml -->16/08/2006 00:28:11

C:\WINDOWS\System32\LVCOMSX.LOG -->15/08/2006 16:09:51

C:\WINDOWS\System32\wpa.dbl -->14/08/2006 11:38:55

C:\WINDOWS\System32\dtu100.dll -->04/08/2006 17:37:37

C:\WINDOWS\System32\dpl100.dll -->04/08/2006 17:37:37

C:\WINDOWS\System32\qt-dx331.dll -->27/07/2006 04:05:58

C:\WINDOWS\System32\pxinsi64.exe -->27/07/2006 04:05:54

C:\WINDOWS\System32\pxcpyi64.exe -->27/07/2006 04:05:54

C:\WINDOWS\System32\sysconfig.inf -->26/07/2006 19:54:25

C:\WINDOWS\System32\lvcoinst.log -->16/07/2006 11:37:01

C:\WINDOWS\System32\FNTCACHE.DAT -->12/07/2006 21:43:42

C:\WINDOWS\System32\CmdLineExt.dll -->12/07/2006 04:27:39

C:\WINDOWS\System32\h323log.txt -->11/07/2006 19:30:40

C:\WINDOWS\System32\BASSMOD.dll -->11/07/2006 19:21:10

C:\WINDOWS\System32\PerfStringBackup.INI -->11/07/2006 19:11:48

C:\WINDOWS\System32\perfh00C.dat -->11/07/2006 19:11:48

C:\WINDOWS\System32\perfh009.dat -->11/07/2006 19:11:48

C:\WINDOWS\System32\perfc00C.dat -->11/07/2006 19:11:48

C:\WINDOWS\System32\perfc009.dat -->11/07/2006 19:11:48

C:\WINDOWS\System32\$winnt$.inf -->11/07/2006 19:00:08

C:\WINDOWS\System32\CONFIG.NT -->11/07/2006 18:37:06

C:\WINDOWS\System32\wmpscheme.xml -->11/07/2006 18:37:04

C:\WINDOWS\System32\nscompat.tlb -->11/07/2006 18:37:04

C:\WINDOWS\System32\amcompat.tlb -->11/07/2006 18:37:04

C:\WINDOWS\System32\WindowsLogon.manifest -->11/07/2006 18:36:03

 

C:\WINDOWS\0.log -->16/08/2006 00:28:06

C:\WINDOWS\wiaservc.log -->16/08/2006 00:28:03

C:\WINDOWS\wiadebug.log -->16/08/2006 00:28:03

C:\WINDOWS\bootstat.dat -->16/08/2006 00:28:00

C:\WINDOWS\SchedLgU.Txt -->16/08/2006 00:26:55

C:\WINDOWS\ntbtlog.txt -->15/08/2006 21:52:25

C:\WINDOWS\setupapi.log -->15/08/2006 19:54:31

C:\WINDOWS\QTFont.qfn -->15/08/2006 14:20:59

C:\WINDOWS\Sti_Trace.log -->15/08/2006 11:01:51

C:\WINDOWS\system.ini -->14/08/2006 20:41:00

C:\WINDOWS\iun6002.exe -->12/08/2006 20:10:42

C:\WINDOWS\QTFont.for -->22/07/2006 18:35:10

C:\WINDOWS\adidsl.ini -->22/07/2006 10:20:15

C:\WINDOWS\Fast800.ini -->22/07/2006 10:19:39

C:\WINDOWS\WMSysPr9.prx -->16/07/2006 11:22:54

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 806A-72C1

 

Répertoire de C:\WINDOWS\system32

 

28/08/2001 16:00 4 096 csrss.exe

1 fichier(s) 4 096 octets

0 Rép(s) 43 962 208 256 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 806A-72C1

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

20/07/2006 03:06 <REP> .

20/07/2006 03:06 <REP> ..

11/07/2006 18:36 65 desktop.ini

14/10/1997 18:52 697 DirectAnimation Java Classes.osd

20/01/2000 15:25 1 162 Microsoft XML Parser for Java.osd

22/06/2006 11:41 5 032 swflash.inf

4 fichier(s) 6 956 octets

 

Total des fichiers listés :

4 fichier(s) 6 956 octets

2 Rép(s) 43 962 208 256 octets libres

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 806A-72C1

 

Répertoire de C:\Program Files

 

15/08/2006 16:26 <REP> .

15/08/2006 16:26 <REP> ..

11/07/2006 19:21 <REP> Adobe

22/07/2006 11:13 <REP> ADSL Autoconnect

02/08/2006 01:01 <REP> Alcohol Soft

11/07/2006 19:12 <REP> ASUSTeK

11/07/2006 19:22 <REP> CCleaner

01/08/2006 16:23 <REP> Codemasters

11/07/2006 18:33 <REP> ComPlus Applications

16/07/2006 14:46 <REP> Cyanide

14/08/2006 19:26 <REP> DivX

15/08/2006 12:16 <REP> eMule

14/08/2006 20:19 <REP> ewido anti-spyware 4.0

16/07/2006 11:33 <REP> Fichiers communs

15/08/2006 16:19 <REP> Free Download Manager

22/07/2006 11:09 <REP> Free.fr

03/08/2006 19:56 <REP> FrostWire

16/08/2006 00:33 <REP> Hijackthis

11/07/2006 18:37 <REP> Internet Explorer

11/07/2006 19:02 <REP> IZArc

13/07/2006 21:18 <REP> Java

13/07/2006 13:33 <REP> Java Web Start

14/07/2006 03:41 <REP> K-Lite Codec Pack

13/07/2006 21:23 <REP> Kaspersky Lab

18/07/2006 17:45 <REP> Lavasoft

03/08/2006 19:56 <REP> LimeWire

16/07/2006 11:39 <REP> Logitech

11/07/2006 18:58 <REP> microsoft frontpage

16/07/2006 11:15 <REP> Microsoft Hardware

12/07/2006 01:41 <REP> Microsoft Office

16/07/2006 16:58 <REP> Monte Cristo

11/07/2006 18:35 <REP> Movie Maker

16/08/2006 00:29 <REP> Mozilla Firefox

11/07/2006 18:32 <REP> MSN

11/07/2006 18:32 <REP> MSN Gaming Zone

19/07/2006 20:19 <REP> MSN Messenger

12/07/2006 21:25 <REP> NetMeeting

12/07/2006 21:11 <REP> Outlook Express

14/07/2006 03:46 <REP> QuickTime

16/07/2006 11:34 <REP> RegCleaner

22/07/2006 10:19 <REP> SAGEM

11/07/2006 18:32 <REP> Services en ligne

13/08/2006 09:57 <REP> Spybot - Search & Destroy

04/08/2006 08:55 <REP> SuperCopier2

11/07/2006 19:22 <REP> ToniArts

12/07/2006 04:20 <REP> Winamp

12/07/2006 21:18 <REP> Windows Media Player

11/07/2006 18:32 <REP> Windows NT

11/07/2006 18:58 <REP> xerox

14/08/2006 20:05 <REP> xp-AntiSpy

0 fichier(s) 0 octets

50 Rép(s) 43 962 204 160 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 806A-72C1

 

Répertoire de C:\Program Files\fichiers communs

 

16/07/2006 11:33 <REP> .

16/07/2006 11:33 <REP> ..

11/07/2006 19:23 <REP> Adobe

12/07/2006 01:41 <REP> Designer

12/07/2006 03:03 <REP> DirectX

11/07/2006 19:10 <REP> InstallShield

13/07/2006 21:18 <REP> Java

16/07/2006 11:40 <REP> Logitech

12/07/2006 01:42 <REP> Microsoft Shared

11/07/2006 18:34 <REP> MSSoap

11/07/2006 19:09 <REP> ODBC

11/07/2006 18:34 <REP> Services

11/07/2006 19:09 <REP> SpeechEngines

12/07/2006 21:11 <REP> System

0 fichier(s) 0 octets

14 Rép(s) 43 962 204 160 octets libres

c:\Documents and Settings\Ludo\.limewire\.NetworkShare\LimeWireWinInstaller 1.exe

c:\Documents and Settings\Ludo\.limewire\.NetworkShare\LimeWireWinInstaller 2.exe

c:\Documents and Settings\Ludo\.limewire\.NetworkShare\LimeWireWinInstaller.exe

c:\Documents and Settings\Ludo\Bureau\ATF-Cleaner.exe

c:\Documents and Settings\Ludo\Bureau\chercher\LFiles.exe

c:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Bases\avcmhk4.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\Ludo\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

 

Vérifications de quelques clefs

Recherche de clefs EGDACCESS

 

HKLM\SOFTWARE\Microsoft\Windows\explorer\SharedTaskScheduler

 

 

Merci à tous de m'aider !

Modifié le 16 août 2006 par lupiou

[Thanos]

salut

 

Tu n'a pas posté l'intégralité du rapport hijackthis? il manque des rubriques ! au prochain message, stp, poste la totalité du rapport(notamment la rubrique "Enumerating Windows NT/2000/XP services" )

 

Je t'avais demandé de faire un scan en mode sans échec avec ton antivirus Kaspersky(mis à jour préalablement) et de poster le rapport, l'as tu fait?

 

Le rapport chercher.cmd ne montre rien de mauvais. Je t'avais demandé de poster le rapport de scan des fichiers suivants => C:\WINDOWS\System32\eraseme_00416.exe - C:\WINDOWS\System32\slhost.exe -

C:\WINDOWS\_delis32.ini => tu les as éliminé sans savoir de quoi il s'agit!! as tu fais le scan de ces fichiers? si oui poste le rapport stp.!Je te rassure quand même : ces fichiers sont je pense liés à une infection.

 

* Lance Ewido, et met le à jour. Ne lance pas de scan maintenant! ferme le programme après mise à jour.

=> Démarre Ewido avec l'icône qui se trouve sur ton Bureau.

Clique sur Update Now,

attend la fin de cette mise à jour,

puis ferme le programme.

 

 

* Redémarre en mode sans échec(en cas de problème voir le lien dans mon précédent message).

 

* Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

* Ouvre Firefox=>menu Outils=>Options=> Vie Privée=> Cookies=>clique sur le bouton "Supprimer les cookies".

 

* Relance Ewido et clique sur Scanner

Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine.

 

Reviens a l'onglet Scan cliques Complete system Scan.

Le scan démarre.

 

A la fin cliquer sur Apply all actions

Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.

 

* Redémarre en mode normal et poste le rapport d'Ewido, le rapport hijackthis comme je t'ai demandé plus haut , et fais stp un scan en ligne =>

 

Panda si tu n'y arrive pas : tutorial

Fais un scan en ligne avec Panda :

http://www.pandasoftware.fr/Activescan/Activescan.html .

Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .

Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index

 

Si ca ne marche pas , fais le scan chez Kaspersky comme montré dans le tutoriel de Malekal_Morte =>

http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566

 

 

@+

[lupiou]

J'ai posté l'intégralité du rapport, et j'ai vérifié : je n'ai pas de rapport "Enumerating Windows NT/2000/XP services".

Pour les fichiers, j'ai supprimé car le délai d'analyse sur le site était trop long, et puis ces fichiers ne m'inspiraient pas trop confiance.

IMPORTANT : depuis que j'ai supprimé ces fichiers, tout semble etre redevenu à la normale.

 

Je vais quand même continuer la procèdure que tu m'as donné. @+ merci de ton aide !