Analyse rapports HijackThis svp

[bpu2]

Logfile of HijackThis v1.99.1

Scan saved at 11:18:09, on 17/09/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\Windowsupfixer.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Documents and Settings\bernard\Mes documents\Mes fichiers reçus\Hijackthis\HijackThis.exe

C:\WINDOWS\system32\NOTEPAD.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Windows Update] Windowsupfixer.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\RunServices: [Windows Update] Windowsupfixer.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1158391044171

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://msnfr.oberon-media.com/online2/MSN_...gamesloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5FB15556-A678-45DC-81F8-64F6653737F6}: NameServer = 212.27.54.252 212.27.53.252

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

[regis56]

Bonjour bpu2 !

 

Bienvenue sur les forums de Zebulon;)

Quelques liens pour t'aider à commencer dans l'utilisation de ce forum :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

Commence par appliquer cette procédure préliminaire. Un membre de l'Espace sécurité, un junior ou moi-même s'occupera alors de toi :

 

J'attire ton attention sur le paramétrage d'Antivir qui est important, sur le placement et le renommage de Hijackthis.exe

 

 

Phase 1

• Fais un copier-coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion; ou sauvegarde cette page via ton navigateur pour conserver la mise en page (Fichier>Enregistrer sous)
   
   
  
• Télécharge Antivir
   
   
  
• Installe Antivir : Il est impératif de le configurer correctement afin de faire la meilleure analyse possible,
  consulte le tuto suivant (imprime la ou sauvegarde la comme indiqué plus haut) => Tutoriel de tesgaz
   
   
  
• Rends-toi à l'étape: Configuration du tutoriel de tesgaz. Dans ce paragraphe , seule la partie suivante nous intéresse:Configuration du scanner et ses sous parties : "action on malware" - "Heuristic" - "Archives". Note: il est inutile de configurer la fonction "Guard" décrite dans la partie "Configuration Guard".
   
   
  
• Si tu désires conserver Antivir une fois la procédure de prénettoyage terminée (parce que tu n'as pas d'antivirus par exemple), il te faudra suivre le tutoriel en entier pour pouvoir bénéficier de la protection résidente !

  Précisions importantes -> le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure a reposé sur les critères suivants :
  - failles de ton antivirus qui a laissé passer des malwares
  - Antivir peut-être installé et désinstallé facilement
  - Antivir est reconnu pour son efficacité en mode sans échec
  - le tutorial de tesgaz permet de le paramétrer sans problème.

   
  
• Télécharge la dernière version d'HijackThis ici ou ici (en cas d'indisponibilité!)
  

Phase 2

• Redémarre le PC, impérativement en mode sans échec.
   
   
  
• Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuie sur [Entrée].
  NB : en cas de problème pour sélectionner le mode sans échec, applique la procédure de Symantec=>
  Comment démarrer l'ordinateur en mode sans échec
   
   
  
• A l'ouverture de session, choisis la session courante (ta session habituelle) et non celle de l'administrateur.
  

Phase 3

• Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage"=>
  -Activer la case : "Afficher les fichiers et dossiers cachés"
  -Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"
  -Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"
  -Puis, cliquer sur "Appliquer".
   
  Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.
   
  Nettoyage rapide du disque dur : Menu Démarrer>Exécuter, tape CleanMgr et valide.
   
  
• Cette fonction cleanmgr génére parfois un bug sous système Windows 2000.
   
  
• Complète le nettoyage cleanmgr par un nettoyage succint manuel => suppression de tous les fichiers contenus dans les dossiers :
  -C:\TEMP
  -C:\WINDOWS\TEMP
  -C:\Documents And Settings\Session utilisateur\Local Settings\Temp
  -C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files
  -Vider la corbeille
   
   
  
• Recherche et élimination des parasites avec Antivir=>
  lance une analyse complète du, ou des disques dur, et supprime tous les fichiers infectés (s'ils existent)
  Sauvegarde le rapport!
   
   
  
• Désinstallation d'Antivir(si tu ne souhaites pas le conserver)=> termine les processus suivants dans le gestionnaire des tâches (fais Ctrl+Alt+Suppr pour ouvrir la fenêtre puis clique sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE
  Puis, désinstalle Antivir dans ajout/suppression de programmes.
   
   
  
• Redémarre le PC en mode normal
   
   
  
• Installation et utilisation d'HijackThis=>
  Crée un nouveau dossier à la racine de ton disque dur :
  C:\Program Files\HijackThis
  Double-clique sur poste de travail / double-clique sur l'icone de C / double-clique sur le répertoire Program Files / Fais un clic-droit dans la fenêtre et choisis "nouveau dossier"; nomme le "HijackThis".
  Décompresse le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis. Renomme Hijackthis.exe en [ton pseudo sur zebulon].exe (n'insère pas d'espaces, de ponctuations ou de caractères accentués dans le nom); crée un raccourci sur le bureau.
  Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
   
   
  
• Arrête tous les programmes en cours et ferme toutes les fenêtres
   
   
  
• Exécute HijackThis (renommé) à l'aide du raccourci et clique sur le bouton "Do a system scan and save a logfile"
   
   
  
• Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
   
   
  
• NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran.
  

Phase 4

• Ouvre le rapport HijackThis précédemment sauvegardé et fais : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que tu as crée dans le forum Analyse rapports HijackThis, Eradication malwares de manière à ce qu'un "helper" te dise ce qu'il faut faire. Puis fairs de même avec le rapport antivir.
  
• Attends l'analyse et la réponse. Les intervenants sont des bénévoles et prennent sur leur temps par passion, ne t'impatiente pas au bout de quelques minutes si tu n'as pas eu de réponses;)
   
  Je te demanderais d'ajouter aux deux rapports déjà demandés celui-ci :
   
   
  
• Exécute Hijackthis :
  Clique sur "Open the misc tools sections"
  Clique sur "Open uninstall Manager"
  Clique sur "Save list"
  Enregistre le fichier > Une fenêtre du bloc-notes va s'ouvrir, copie-colle le contenu dans ton prochain post.
  

[auteur de la méthode : Megataupe / New canned par Charles Ingals / Gof]

 

Bon courage @ +

[bpu2]

Bonsoir,

 

Voila, j'ai oublie d'explique le probleme.

 

J'ai reformate mon disk c: ce matin, j'ai utilise + de 3 anti-virus en ligne ou non, ad-dware, spybot, etc..

Un message d'alerte lorsque je me connecte s'inscrit toute les 3 mn (repair, reginsepro) (j'ai horreur de l'anglais) et ma connection sans rien faire (sans charger de page) emet a son max se qui bloque les pages que je veux demarer (je sais pas si je suis clair !!!!!). Je ne sais plus koi faire, l'un des anti-virus elimine certain problem mais ils reviennent osi sec.

 

Aider moi S'il vous plaît, j'en ai un peu marre de tourner en rond avec differend anti-virus , c'est pour cette raison que j'ai poste mon rapport hitjack this.

 

Merci d'avance.

[regis56]

Bonjour bpu2 !

 

Si tu veut que l'on t'aide fais ce qui est demandé STP.

 

A plus.

[bpu2]

Bonjour, j'ai suivie tes explications et voici le resultat :

 

Logfile of HijackThis v1.99.1

Scan saved at 17:58:20, on 18/09/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\RUNDLL32.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Hijackthis\bpu2.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\RunServices: [Windows Update] Windowsupfixer.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1158391044171

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://msnfr.oberon-media.com/online2/MSN_...gamesloader.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

Le 2em rapport concernant misc tool section :

 

Logfile of HijackThis v1.99.1

Scan saved at 17:58:20, on 18/09/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\RUNDLL32.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Hijackthis\bpu2.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\RunServices: [Windows Update] Windowsupfixer.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1158391044171

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://msnfr.oberon-media.com/online2/MSN_...gamesloader.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

le rapport de antivir :

 

 

 

AntiVir PersonalEdition Classic

Report file date: lundi 18 septembre 2006 17:11

 

Scanning for 504260 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 1) [5.1.2600]

Username: bernard

Computer name: PAILLES

 

Version information:

AVSCAN.EXE : 7.0.0.47 200744 21/08/2006 10:06:56

AVSCAN.DLL : 7.0.0.45 41000 07/09/2006 10:56:33

LUKE.DLL : 7.0.0.47 118824 07/09/2006 10:32:33

LUKERES.DLL : 7.0.0.47 9256 07/09/2006 10:56:33

ANTIVIR0.VDF : 6.35.0.1 7371264 31/05/2006 10:35:27

ANTIVIR1.VDF : 6.36.0.9 1424384 06/09/2006 07:12:24

ANTIVIR2.VDF : 6.36.0.14 122368 13/09/2006 14:48:16

ANTIVIR3.VDF : 6.36.0.35 42496 18/09/2006 14:48:16

AVEWIN32.DLL : 7.2.0.16 1835520 18/09/2006 14:48:16

AVPREF.DLL : 7.0.0.2 23592 24/07/2006 12:36:04

AVREP.DLL : 6.36.0.5 806952 18/09/2006 14:48:16

AVRPBASE.DLL : 7.0.0.0 2162728 30/03/2006 08:43:31

AVPACK32.DLL : 7.2.0.0 368680 21/07/2006 06:00:28

AVREG.DLL : 6.31.0.90 27688 28/07/2005 10:06:36

NETNT.DLL : 6.32.0.0 6696 27/09/2005 07:56:49

NETNW.DLL : 7.0.0.0 9768 24/07/2006 12:35:55

RCIMAGE.DLL : 7.0.0.74 1642536 01/08/2006 11:22:57

RCTEXT.DLL : 7.0.0.107 77864 07/09/2006 10:56:32

 

Configuration settings for the scan:

Jobname.......................: Local Drives

Configuration file............: C:\Program Files\AntiVir PersonalEdition Classic\alldrives.avp

Boot sectors..................: C,D,E,F,A,G

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 1

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Skipped archive types.........: 1000,1001,1002,1003,1004,1005,

Macro heuristic...............: 1

File heuristic................: 3

Primary action................: 1

Secondary action..............: 0

 

Start of the scan: lundi 18 septembre 2006 17:11

 

 

The scan of running processes will be started

4 Processes were scanned

 

Start scanning boot sectors:

 

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'D:\'

[NOTE] No virus was found!

Boot sector 'E:\'

[NOTE] No virus was found!

Boot sector 'F:\'

[NOTE] No virus was found!

Boot sector 'A:\'

[NOTE] In the drive 'A:\' no data medium is inserted!

 

Starting to scan the registry.

C:\WINDOWS\system32\Windowsupfixer.exe

[DETECTION] Contains signature of the worm WORM/Rbot.147456.22

[iNFO] The file was moved to '457cb79f.qua'!

C:\WINDOWS\system32\Windowsupfixer.exe

[DETECTION] Contains signature of the worm WORM/Rbot.147456.22

C:\WINDOWS\system32\Windowsupfixer.exe

[WARNING] The file could not be opened!

 

The registry was scanned ( 15 files ).

 

 

Starting the file scan:

 

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\bernard\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\bernard\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\bernard\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\bernard\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system.LOG

[WARNING] The file could not be opened!

D:\fusion\RECYCLER\S-1-5-21-1085031214-1644491937-839522115-1004\De20\tv sat.rar

[0] Archive type: RAR

--> tv sat\art_tbs_new.rar

[1] Archive type: RAR

--> art-tbs-new\art-tbs-new\program.exe

[DETECTION] Is the Trojan horse TR/Islafile

--> art-tbs-new\program.exe

[DETECTION] Is the Trojan horse TR/Islafile

--> tv sat\simba\3-10-04 DOMENICASKY CAMPIONATO OK- Italy -GIANLUIGI.zip

[1] Archive type: ZIP

--> 3-10-04 DOMENICASKY CAMPIONATO OK- Italy -GIANLUIGI/Banana TitProg New Version.exe

[DETECTION] Contains signature of the dial-up program DIAL/Generic

--> 3-10-04 DOMENICASKY CAMPIONATO OK- Italy -GIANLUIGI/SekaEditor2Key Online.exe

[DETECTION] Contains signature of the dial-up program DIAL/Generic

[iNFO] The file was deleted!

D:\fusion\t\RECYCLER\S-1-5-21-1085031214-1644491937-839522115-1004\Df69.rar

[0] Archive type: RAR

--> tv sat\art_tbs_new.rar

[1] Archive type: RAR

--> art-tbs-new\art-tbs-new\program.exe

[DETECTION] Is the Trojan horse TR/Islafile

--> art-tbs-new\program.exe

[DETECTION] Is the Trojan horse TR/Islafile

--> tv sat\simba\3-10-04 DOMENICASKY CAMPIONATO OK- Italy -GIANLUIGI.zip

[1] Archive type: ZIP

--> 3-10-04 DOMENICASKY CAMPIONATO OK- Italy -GIANLUIGI/Banana TitProg New Version.exe

[DETECTION] Contains signature of the dial-up program DIAL/Generic

--> 3-10-04 DOMENICASKY CAMPIONATO OK- Italy -GIANLUIGI/SekaEditor2Key Online.exe

[DETECTION] Contains signature of the dial-up program DIAL/Generic

[iNFO] The file was deleted!

D:\RECYCLER\S-1-5-21-1085031214-1644491937-839522115-1004\Dd1.rar

[0] Archive type: RAR

--> tv sat\art_tbs_new.rar

[1] Archive type: RAR

--> art-tbs-new\art-tbs-new\program.exe

[DETECTION] Is the Trojan horse TR/Islafile

--> art-tbs-new\program.exe

[DETECTION] Is the Trojan horse TR/Islafile

--> tv sat\simba\3-10-04 DOMENICASKY CAMPIONATO OK- Italy -GIANLUIGI.zip

[1] Archive type: ZIP

--> 3-10-04 DOMENICASKY CAMPIONATO OK- Italy -GIANLUIGI/Banana TitProg New Version.exe

[DETECTION] Contains signature of the dial-up program DIAL/Generic

--> 3-10-04 DOMENICASKY CAMPIONATO OK- Italy -GIANLUIGI/SekaEditor2Key Online.exe

[DETECTION] Contains signature of the dial-up program DIAL/Generic

[iNFO] The file was deleted!

The path A:\ could not be found!

Le périphérique n'est pas prêt.

 

 

 

End of the scan: lundi 18 septembre 2006 17:38

Used time: 27:23 min

 

The scan has been done completely.

 

2295 Scanning directories

151330 Files were scanned

13 viruses and/or unwanted programs were found

3 files were deleted

0 files were repaired

1 files were moved to quarantine

0 files were renamed

4069 Archives were scanned

16 Warnings

34 Notes

 

En esperant avoir tout fait comme il faut

 

Et merci d'avance de votre aide

[regis56]

Re

 

En esperant avoir tout fait comme il faut

 

Non mais c'est pas trop grave ! l'essentiel est là !

 

Tu as par exemple oublié de désinstaller antivir si tu laisse deux antivirus tourner tu risque de planter ton système

 

Voici ce que tu vas faire STP

 

Avant tout désinstalle antivir.

 

-Télécharger et installer EasyCleaner de Toni Helenius (Programme faisant partie de la catégorie des nettoyeurs)

http://personal.inet.fi/business/toniarts/ecleane.htm

 

Télécharger la version d'évaluation d'Ewido anti-spyware (Programme faisant partie des anti-malwares):

http://www.ewido.net/en/download

1. Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
    
   
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
    
   
3. Ferme Ewido. Ne pas le lancer tout de suite.
   

 

Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC.

Il faut exécuter toutes les étapes, dans l'ordre exact indiqué ci-dessous.

Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.

 

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" et en ayant désactivé les protections résidentes si il y en a ! (ex:Spybot S&D, Ad-Watch, Microsoft AntiSpyware )

 

-Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924

 

 

 

 

-Maintenant on va modifier la base de registres pour éliminer les lignes liées a l'infection !

Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes:

 

O4 - HKLM\..\RunServices: [Windows Update] Windowsupfixer.exe

 

Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked

 

-Vérifier d'avoir accès à tous les fichiers :

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer l'option : Afficher les fichiers et dossiers cachés

Désactiver l'option : Masquer les extensions des fichiers dont le type est connu

Désactiver l'option : Masquer les fichiers protégés du système d'exploitation

Puis cliquer sur "Appliquer à tous les dossiers"

 

Maintenant on va supprimer manuellement les fichiers infectieux !

 

Avant de supprimer quelque chose toujours noter la date et l'heure de création et communiquer les informations lors de la prochaine réponse.

 

Utiliser la fonction rechercher via "démarrer/rechercher/des fichiers ou des dossiers"(si problème voir ici http://www.hiboox.com/image.php?img=go6nc45.jpg )

Rechercher surement dans C:\WINDOWS\System32\ ou C:\WINDOWS\System\ et supprimer le(s) fichier(s) en gras suivant(s) si présent(s):

Windowsupfixer.exe

 

Vider la poubelle !

 

-Exécuter EasyCleaner (Utiliser le raccourci sur le bureau):

(Utilitaire qui va supprimer les dossiers temporaires/inutiles et nettoyer la base de registre)

Utiliser les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons".

*Remarque:

-Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" -

"Browser Cookies" puis clique sur "Find".

Lorsque le scan est terminé,clique sur "Delete all".

 

 

Relancer Ewido

• Clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
   
  
• Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
   
  
• Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
  

-Redémarrer en mode normal :

 

-Poster une réponse dans le même sujet

(Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!)

-Mettre un nouveau rapport HijackThis

-Poster le rapport Ewido

-Indiquer si le Pc présente encore des dysfonctionnements

 

Après avoir posté ta réponse :

 

Peux-tu faire s'il te plait un scan en ligne?=>

http://www.kaspersky.com/virusscanner

tuto d'aide ici

http://www.malekal.com/scan_Av_en_ligne.html

 

A plus et bon courage !

[bpu2]

Bonjour,

 

Voila le rapport apres les manipulations :

 

 

Logfile of HijackThis v1.99.1

Scan saved at 17:23:53, on 19/09/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\RUNDLL32.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

C:\Documents and Settings\bernard\Mes documents\Mes fichiers reçus\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1158391044171

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://msnfr.oberon-media.com/online2/MSN_...gamesloader.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

 

Et le rapport de Ewido :

 

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

 

+ Created at: 17:16:41 19/09/2006

 

+ Scan result:

 

 

 

Nothing found.

 

 

 

::Report end

 

 

Le probleme pour la transmission est resolu mais pas pour le message d'alerte qui s'inscrit toute les 3 mn (repair, reginsepro)

 

Merci beaucoup pour les 1er resultats (la transmission)

 

et merci d'avance pour la suite

[regis56]

Re

 

Pourras tu mettre le rapport kapersky quand tu l'auras fait STP ?

 

A plus.

[bpu2]

bonjour,

 

Voila le rapport kaspersky :

 

KASPERSKY ONLINE SCANNER REPORT

Thursday, September 21, 2006 12:41:52 PM

Operating System: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)

Kaspersky Online Scanner version: 5.0.83.0

Kaspersky Anti-Virus database last update: 21/09/2006

Kaspersky Anti-Virus database records: 212150

 

 

Scan Settings

Scan using the following antivirus database standard

Scan Archives true

Scan Mail Bases true

 

Scan Target Critical Areas

C:\WINDOWS

C:\DOCUME~1\bernard\LOCALS~1\Temp\

 

Scan Statistics

Total number of scanned objects 11077

Number of viruses found 0

Number of infected objects 0 / 0

Number of suspicious objects 0

Duration of the scan process 00:05:13

 

Infected Object Name Virus Name Last Action

C:\WINDOWS\Debug\oakley.log Object is locked skipped

 

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

 

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

 

C:\WINDOWS\Sti_Trace.log Object is locked skipped

 

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped

 

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

 

C:\WINDOWS\system32\config\default Object is locked skipped

 

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

 

C:\WINDOWS\system32\config\SAM Object is locked skipped

 

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

 

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

 

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

 

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

 

C:\WINDOWS\system32\config\software Object is locked skipped

 

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

 

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

 

C:\WINDOWS\system32\config\system Object is locked skipped

 

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

 

C:\WINDOWS\system32\h323log.txt Object is locked skipped

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

 

C:\WINDOWS\Temp\Perflib_Perfdata_5e8.dat Object is locked skipped

 

C:\WINDOWS\wiadebug.log Object is locked skipped

 

C:\WINDOWS\wiaservc.log Object is locked skipped

 

C:\DOCUME~1\bernard\LOCALS~1\Temp\~DF4E32.tmp Object is locked skipped

 

C:\DOCUME~1\bernard\LOCALS~1\Temp\~DFDA61.tmp Object is locked skipped

 

Scan process completed.

 

Merci

[regis56]

Ok

 

Ton message d'erreur peut tu nous dire de quel programme vient il ?