Ordinateur infecté Analyse rapport Hijackthis

[geol]

Re

 

Ok à tout à l'heure.

 

 

Bon, voilà, j'ai fait comme conseillé.

J'ai rien eu a disinstaller car je n'avais ni newnet ni newdonet

puis Ispfix n'a rien trouvé d'anormal

et Winsockfix a semble t-il fixé des trucs.

 

J'obteins le rapport suivant :

Running processes:

C:\WINDXP\System32\smss.exe

C:\WINDXP\system32\winlogon.exe

C:\WINDXP\system32\services.exe

C:\WINDXP\system32\lsass.exe

C:\WINDXP\system32\svchost.exe

C:\WINDXP\System32\svchost.exe

C:\WINDXP\Explorer.EXE

C:\WINDXP\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Executive Software\Diskeeper\DkService.exe

C:\WINDXP\system32\slserv.exe

C:\WINDXP\System32\svchost.exe

C:\WINDXP\ecRecvr.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Picasa2\PicasaMediaDetector.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe

C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Program Files\My Book\WD Backup\uBBMonitor.exe

C:\Program Files\Juice\Juice.exe

C:\WINDXP\System32\wbem\wmiapsrv.exe

C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareControl.exe

C:\WINDXP\System32\wuauclt.exe

C:\Documents and Settings\toi et moi\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R3 - URLSearchHook: (no name) - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)

O2 - BHO: (no name) - {7D00738B-6974-4794-98D4-DE79A07ECD81} - C:\WINDXP\System32\pmnlifg.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDXP\System32\msdxm.ocx

O3 - Toolbar: (no name) - {71AAABE5-1F0F-11d7-BD6F-004854603DCE} - (no file)

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [winupdates] C:\Program Files\winupdates\winupdates.exe /auto

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [teq3f19a] RUNDLL32.EXE w00907e1.dll,n 0053f1950000000a00907e1

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Program Files\ScanSoft\PDF Professional 3.0\\RegistryController.exe"

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [newname] C:\\nwnmff_e21.exe

O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e21.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [defender] C:\\dfndrff_e21.exe

O4 - HKLM\..\Run: [Ashampoo AntiSpyWare Guard] C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe

O4 - Startup: Juice.lnk = C:\Program Files\Juice\Juice.exe

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: WD Backup Monitor.lnk = C:\Program Files\My Book\WD Backup\uBBMonitor.exe

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Open with Scansoft PDF Converter 3.0 - res://C:\Program Files\ScanSoft\PDF Professional 3.0\IEShellExt.dll /100

O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1133866090909

O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} - http://www.securitoo.com/fra/pages/navol/fscax.cab

O20 - Winlogon Notify: Internet Settings - C:\WINDXP\system32\c8000idme80a0.dll (file missing)

O20 - Winlogon Notify: pmnlifg - C:\WINDXP\SYSTEM32\pmnlifg.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LEC TranslateDotNet Server - Unknown owner - C:\Program Files\Power Translator\LogoMedia TranslateDotNet Server.exe (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDXP\SYSTEM32\slserv.exe

O23 - Service: Windows USB Bus Driver - Unknown owner - C:\WINDXP\ecRecvr.exe

 

 

par ailleurs, au redémarrage j'ai eu le message suivant dans une fenetre intitulée "rundll" :

"erreur de chargement w00907ei.dll Le module spécifié est introuvable"

 

Voilà, tout cela me dépassace largement !

Merci pour les conseils !

[regis56]

Re

 

Et pour internet récupéré ou pas ?

[geol]

Par ailleurs, visiblement il y a un truc qui ne cesse pas de tenter de se connecter car j'ai une fenêtre qui apparait tout les 10 minutes et qui dit "aucne connexion à internet n'est possible actuellement. Pour afficher le contenu ..."

[regis56]

RE

 

Bon tant pis pour internet on verra plus tard

 

Il va falloir faire ceci STP

 

J'attire ton attention sur le paramétrage d'Antivir qui est important, sur le placement et le renommage de Hijackthis.exe

 

 

Phase 1

• Fais un copier-coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion; ou sauvegarde cette page via ton navigateur pour conserver la mise en page (Fichier>Enregistrer sous)
   
   
  
• Télécharge Antivir
   
   
  
• Installe Antivir : Il est impératif de le configurer correctement afin de faire la meilleure analyse possible,
  consulte le tuto suivant (imprime la ou sauvegarde la comme indiqué plus haut) => Tutoriel de tesgaz
   
   
  
• Rends-toi à l'étape: Configuration du tutoriel de tesgaz. Dans ce paragraphe , seule la partie suivante nous intéresse:Configuration du scanner et ses sous parties : "action on malware" - "Heuristic" - "Archives". Note: il est inutile de configurer la fonction "Guard" décrite dans la partie "Configuration Guard".
   
   
  
• Si tu désires conserver Antivir une fois la procédure de prénettoyage terminée (parce que tu n'as pas d'antivirus par exemple), il te faudra suivre le tutoriel en entier pour pouvoir bénéficier de la protection résidente !

  Précisions importantes -> le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure a reposé sur les critères suivants :
  - failles de ton antivirus qui a laissé passer des malwares
  - Antivir peut-être installé et désinstallé facilement
  - Antivir est reconnu pour son efficacité en mode sans échec
  - le tutorial de tesgaz permet de le paramétrer sans problème.

   
  
• Télécharge la dernière version d'HijackThis ici ou ici (en cas d'indisponibilité!)
  

Phase 2

• Redémarre le PC, impérativement en mode sans échec.
   
   
  
• Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuie sur [Entrée].
  NB : en cas de problème pour sélectionner le mode sans échec, applique la procédure de Symantec=>
  Comment démarrer l'ordinateur en mode sans échec
   
   
  
• A l'ouverture de session, choisis la session courante (ta session habituelle) et non celle de l'administrateur.
  

Phase 3

• Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage"=>
  -Activer la case : "Afficher les fichiers et dossiers cachés"
  -Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"
  -Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"
  -Puis, cliquer sur "Appliquer".
   
  Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.
   
  Nettoyage rapide du disque dur : Menu Démarrer>Exécuter, tape CleanMgr et valide.
   
  
• Cette fonction cleanmgr génére parfois un bug sous système Windows 2000.
   
  
• Complète le nettoyage cleanmgr par un nettoyage succint manuel => suppression de tous les fichiers contenus dans les dossiers :
  -C:\TEMP
  -C:\WINDOWS\TEMP
  -C:\Documents And Settings\Session utilisateur\Local Settings\Temp
  -C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files
  -Vider la corbeille
   
   
  
• Recherche et élimination des parasites avec Antivir=>
  lance une analyse complète du, ou des disques dur, et supprime tous les fichiers infectés (s'ils existent)
  Sauvegarde le rapport!
   
   
  
• Désinstallation d'Antivir(si tu ne souhaites pas le conserver)=> termine les processus suivants dans le gestionnaire des tâches (fais Ctrl+Alt+Suppr pour ouvrir la fenêtre puis clique sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE
  Puis, désinstalle Antivir dans ajout/suppression de programmes.
   
   
  
• Redémarre le PC en mode normal
   
   
  
• Installation et utilisation d'HijackThis=>
  Crée un nouveau dossier à la racine de ton disque dur :
  C:\Program Files\HijackThis
  Double-clique sur poste de travail / double-clique sur l'icone de C / double-clique sur le répertoire Program Files / Fais un clic-droit dans la fenêtre et choisis "nouveau dossier"; nomme le "HijackThis".
  Décompresse le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis. Renomme Hijackthis.exe en [ton pseudo sur zebulon].exe (n'insère pas d'espaces, de ponctuations ou de caractères accentués dans le nom); crée un raccourci sur le bureau.
  Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
   
   
  
• Arrête tous les programmes en cours et ferme toutes les fenêtres
   
   
  
• Exécute HijackThis (renommé) à l'aide du raccourci et clique sur le bouton "Do a system scan and save a logfile"
   
   
  
• Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
   
   
  
• NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran.
  

Phase 4

• Ouvre le rapport HijackThis précédemment sauvegardé et fais : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que tu as crée dans le forum Analyse rapports HijackThis, Eradication malwares de manière à ce qu'un "helper" te dise ce qu'il faut faire. Puis fairs de même avec le rapport antivir.
  
• Attends l'analyse et la réponse. Les intervenants sont des bénévoles et prennent sur leur temps par passion, ne t'impatiente pas au bout de quelques minutes si tu n'as pas eu de réponses;)
   
  Je te demanderais d'ajouter aux deux rapports déjà demandés celui-ci :
   
   
  
• Exécute Hijackthis :
  Clique sur "Open the misc tools sections"
  Clique sur "Open uninstall Manager"
  Clique sur "Save list"
  Enregistre le fichier > Une fenêtre du bloc-notes va s'ouvrir, copie-colle le contenu dans ton prochain post.
  

[auteur de la méthode : Megataupe / New canned par Charles Ingals / Gof]

 

Bon courage @ +

[geol]

Re

 

Et pour internet récupéré ou pas ?

 

 

oui, internet fonctionne grand merci !

[regis56]

RE

 

Ha bien !

 

Continu en faisant ce qui est ici

http://forum.zebulon.fr/index.php?s=&s...st&p=832546

 

A plus.

[geol]

RE

 

Ha bien !

 

Continu en faisant ce qui est ici

http://forum.zebulon.fr/index.php?s=&s...st&p=832546

 

A plus.

 

 

Pour l'instant j'ai suivi tes instructions à la lettre sauf la mise à jour d'Antivir impossible.

Antivir est en train de fonctionner. Ce sera un peu long visiblement. Je reprends contact dès que j'ai fini les manipulations et posterai les rapports.

En tout cas grand merci pour internet. Pour l'instant (je déconnecté ma connexion wifi du portable car il me semble que dès que je me connecte, il y a une tone de trucs qui essaient de rentrer !

En tout cas déjà merci pour ton aide

et à tout

[regis56]

Re

 

ouaip

 

Faudra installer un parefeu d'urgence après !!!

 

Mais avant on va désinfecter tout ca !

 

A plus.

[geol]

Re

 

ouaip

 

Faudra installer un parefeu d'urgence après !!!

 

Mais avant on va désinfecter tout ca !

 

A plus.

 

 

Me revoici,

désolé ce fut long, mais ma bécane fonctionne lentement !

 

voici le rapport de HijackThis :

Running processes:

C:\WINDXP\System32\smss.exe

C:\WINDXP\system32\winlogon.exe

C:\WINDXP\system32\services.exe

C:\WINDXP\system32\lsass.exe

C:\WINDXP\system32\svchost.exe

C:\WINDXP\System32\svchost.exe

C:\WINDXP\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Executive Software\Diskeeper\DkService.exe

C:\WINDXP\system32\slserv.exe

C:\WINDXP\System32\svchost.exe

C:\WINDXP\ecRecvr.exe

C:\WINDXP\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDXP\System32\wbem\wmiapsrv.exe

C:\dfndrff_e22.exe

C:\Program Files\HijackThis\geol.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll

O2 - BHO: (no name) - {7D00738B-6974-4794-98D4-DE79A07ECD81} - C:\WINDXP\System32\pmnlifg.dll

O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDXP\System32\msdxm.ocx

O3 - Toolbar: (no name) - {71AAABE5-1F0F-11d7-BD6F-004854603DCE} - (no file)

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [winupdates] C:\Program Files\winupdates\winupdates.exe /auto

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [teq3f19a] RUNDLL32.EXE w00907e1.dll,n 0053f1950000000a00907e1

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Program Files\ScanSoft\PDF Professional 3.0\\RegistryController.exe"

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [newname] C:\\nwnmff_e22.exe

O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e21.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [defender] C:\\dfndrff_e22.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDXP\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Ashampoo AntiSpyWare Guard] C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: WD Backup Monitor.lnk = C:\Program Files\My Book\WD Backup\uBBMonitor.exe

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Open with Scansoft PDF Converter 3.0 - res://C:\Program Files\ScanSoft\PDF Professional 3.0\IEShellExt.dll /100

O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1133866090909

O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} - http://www.securitoo.com/fra/pages/navol/fscax.cab

O20 - Winlogon Notify: Internet Settings - C:\WINDXP\system32\c8000idme80a0.dll (file missing)

O20 - Winlogon Notify: pmnlifg - C:\WINDXP\SYSTEM32\pmnlifg.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LEC TranslateDotNet Server - Unknown owner - C:\Program Files\Power Translator\LogoMedia TranslateDotNet Server.exe (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDXP\SYSTEM32\slserv.exe

O23 - Service: Windows USB Bus Driver - Unknown owner - C:\WINDXP\ecRecvr.exe

 

 

le rapport d'Antivir :

 

 

AntiVir PersonalEdition Classic

Report file date: mercredi 4 octobre 2006 16:21

 

 

Jobname: 'Local Drives'

 

Scanning for 370940 virus strains and unwanted programs.

 

Licensed to: AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (plain) [5.1.2600]

Username: toi et moi

Computer name: MOI

 

Version informations:

AVSCAN.EXE : 7.0.0.35 540712 21/04/2006 12:47:04

AVSCAN.DLL : 7.0.0.34 41000 05/04/2006 11:03:57

LUKE.DLL : 7.0.0.34 114728 05/04/2006 11:03:58

LUKERES.DLL : 7.0.0.34 25640 05/04/2006 11:03:58

ANTIVIR0.VDF : 6.32.0.60 4323840 02/05/2006 08:29:08

ANTIVIR1.VDF : 6.34.0.209 1930240 02/05/2006 08:29:09

ANTIVIR2.VDF : 6.34.1.1 89600 01/05/2006 17:17:55

ANTIVIR3.VDF : 6.34.1.26 48128 01/05/2006 17:17:55

AVEWIN32.DLL : 7.0.0.8 1171968 21/04/2006 15:40:14

AVPREF.DLL : 6.34.0.0 38440 18/01/2006 12:06:00

AVREP.DLL : 6.34.1.20 2371624 01/05/2006 17:17:56

AVPACK32.DLL : 7.0.0.4 335912 29/03/2006 09:44:25

AVREG.DLL : 6.31.0.90 27688 28/07/2005 10:06:36

NETNT.DLL : 6.32.0.0 6696 27/09/2005 07:56:49

NETNW.DLL : 6.32.0.0 9768 27/09/2005 07:56:49

 

 

Start of the scan: mercredi 4 octobre 2006 16:21

 

 

Start scanning boot sectors:

 

Boot sector 'C:'

[NOTE] No virus was found!

Boot sector 'E:'

[NOTE] No virus was found!

 

Starting to scan the registry.

 

The registry was scanned ( 39 files ).

 

 

Starting the file scan:

 

C:\drsmartload.exe

[DETECTION] Contains suspicious code HEURISTIC/VB.Downloader

[iNFO] A backup was created as '4596c3fc.qua' ( QUARANTINE )

[iNFO] The file was deleted!

C:\MTE3NDI6ODoxNg.exe

[DETECTION] Is the Trojan horse TR/Dldr.Small.buy.1

[iNFO] A backup was created as '4568c3de.qua' ( QUARANTINE )

[iNFO] The file was deleted!

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\6W9DN6VV\MTE3NDI6ODoxNg[1].exe

[DETECTION] Is the Trojan horse TR/Dldr.Small.buy.1

[iNFO] A backup was created as '4568c417.qua' ( QUARANTINE )

[iNFO] The file was deleted!

C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\KIVBI7W6\loader[1].exe

[DETECTION] Contains suspicious code HEURISTIC/VB.Downloader

[iNFO] A backup was created as '4584c434.qua' ( QUARANTINE )

[iNFO] The file was deleted!

C:\Documents and Settings\toi et moi\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\toi et moi\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\toi et moi\Application Data\Thunderbird\Profiles\n32j7adb.default\Mail\rabelais.univ-tours.fr\inbox

[0] Archive type: Netscape/Mozilla Mailbox

--> Mailbox_[From: [email protected] ][subject: Re: Secure delivery ].mim

[1] Archive type: MIME

--> document_b.devert.zip

[DETECTION] Contains signature of the worm WORM/NetSky.P

[2] Archive type: ZIP

--> data.rtf .scr

[DETECTION] Contains signature of the worm WORM/NetSky.P

--> Mailbox_[subject: Re: Thank you! ][From: [email protected] ].mim

[1] Archive type: MIME

--> Info.pif

[DETECTION] Contains signature of the worm WORM/Bagle.O

--> Mailbox_[From: [email protected] ][subject: [ville_et_politique] Forum notify ].mim

[1] Archive type: MIME

--> Attach.pif

[DETECTION] Contains signature of the worm WORM/Bagle.O

--> Mailbox_[From: [email protected] ][subject: [sPAM!] Delivery Failure ([email protected]) ].mim

[DETECTION] Contains signature of the worm WORM/NetSky.Q.2

[1] Archive type: MIME

--> file1.mim

[DETECTION] Contains signature of the worm WORM/NetSky.Q.2

[2] Archive type: MIME

--> data14565.pif

[DETECTION] Contains signature of the worm WORM/NetSky.Q

--> Mailbox_[From: [email protected] ][subject: Re: letter ].mim

[1] Archive type: MIME

--> letter.zip

[DETECTION] Contains signature of the worm WORM/NetSky.P

[2] Archive type: ZIP

--> document.txt .exe

[DETECTION] Contains signature of the worm WORM/NetSky.P

C:\Documents and Settings\toi et moi\Application Data\Thunderbird\Profiles\n32j7adb.default\Mail\rabelais.univ-tours.fr\revue & rapport

[0] Archive type: Netscape/Mozilla Mailbox

--> Mailbox_[From: [email protected] ][subject: Re: Secure delivery ].mim

[1] Archive type: MIME

--> document_b.devert.zip

[DETECTION] Contains signature of the worm WORM/NetSky.P

[2] Archive type: ZIP

--> data.rtf .scr

[DETECTION] Contains signature of the worm WORM/NetSky.P

C:\Documents and Settings\toi et moi\Application Data\Thunderbird\Profiles\n32j7adb.default\Mail\rabelais.univ-tours.fr

[0] Archive type: Netscape/Mozilla Mailbox

--> Mailbox_[From: [email protected] ][subject: [ville_et_politique] Forum notify ].mim

[1] Archive type: MIME

--> Attach.pif

[DETECTION] Contains signature of the worm WORM/Bagle.O

--> Mailbox_[subject: Re: Thank you! ][From: [email protected] ].mim

[1] Archive type: MIME

--> Info.pif

[DETECTION] Contains signature of the worm WORM/Bagle.O

--> Mailbox_[subject: Re: Thank you! ][From: [email protected] ].mim

[1] Archive type: MIME

--> Info.pif

[DETECTION] Contains signature of the worm WORM/Bagle.O

C:\Documents and Settings\toi et moi\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\toi et moi\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\Program Files\Alwil Software\Avast4\DATA\log\Warning.log

[DETECTION] Contains signature of the Java script virus JS/Dldr.IstBa.A.2.A

[iNFO] A backup was created as '4595ce10.qua' ( QUARANTINE )

[iNFO] The file was deleted!

C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt

[DETECTION] Contains signature of the Java script virus JS/Dldr.IstBa.A.2.A

[iNFO] A backup was created as '4592ce22.qua' ( QUARANTINE )

[iNFO] The file was deleted!

C:\Program Files\Mozilla Thunderbird\defaults\fis6sxgd.slt\Mail\rabelais.univ-tours.fr\inbox

[0] Archive type: Netscape/Mozilla Mailbox

--> Mailbox_[From: [email protected] ][subject: Re: Secure delivery ].mim

[1] Archive type: MIME

--> document_b.devert.zip

[DETECTION] Contains signature of the worm WORM/NetSky.P

[2] Archive type: ZIP

--> data.rtf .scr

[DETECTION] Contains signature of the worm WORM/NetSky.P

--> Mailbox_[subject: Re: Thank you! ][From: [email protected] ].mim

[1] Archive type: MIME

--> Info.pif

[DETECTION] Contains signature of the worm WORM/Bagle.O

--> Mailbox_[From: [email protected] ][subject: [ville_et_politique] Forum notify ].mim

[1] Archive type: MIME

--> Attach.pif

[DETECTION] Contains signature of the worm WORM/Bagle.O

--> Mailbox_[From: [email protected] ][subject: [sPAM!] Delivery Failure ([email protected]) ].mim

[DETECTION] Contains signature of the worm WORM/NetSky.Q.2

[1] Archive type: MIME

--> file1.mim

[DETECTION] Contains signature of the worm WORM/NetSky.Q.2

[2] Archive type: MIME

--> data14565.pif

[DETECTION] Contains signature of the worm WORM/NetSky.Q

--> Mailbox_[From: [email protected] ][subject: Re: letter ].mim

[1] Archive type: MIME

--> letter.zip

[DETECTION] Contains signature of the worm WORM/NetSky.P

[2] Archive type: ZIP

--> document.txt .exe

[DETECTION] Contains signature of the worm WORM/NetSky.P

C:\Program Files\Mozilla Thunderbird\defaults\fis6sxgd.slt\Mail\rabelais.univ-tours.fr\revue & rapport

[0] Archive type: Netscape/Mozilla Mailbox

--> Mailbox_[From: [email protected] ][subject: Re: Secure delivery ].mim

[1] Archive type: MIME

--> document_b.devert.zip

[DETECTION] Contains signature of the worm WORM/NetSky.P

[2] Archive type: ZIP

--> data.rtf .scr

[DETECTION] Contains signature of the worm WORM/NetSky.P

C:\Program Files\Mozilla Thunderbird\defaults\fis6sxgd.slt\Mail\rabelais.univ-tours.fr\urbama citeres

[0] Archive type: Netscape/Mozilla Mailbox

--> Mailbox_[From: [email protected] ][subject: [ville_et_politique] Forum notify ].mim

[1] Archive type: MIME

--> Attach.pif

[DETECTION] Contains signature of the worm WORM/Bagle.O

--> Mailbox_[subject: Re: Thank you! ][From: [email protected] ].mim

[1] Archive type: MIME

--> Info.pif

[DETECTION] Contains signature of the worm WORM/Bagle.O

C:\Program Files\Mozilla Thunderbird\Mail\rabelais.univ-tours.fr\inbox

[0] Archive type: Netscape/Mozilla Mailbox

--> Mailbox_[From: [email protected] ][subject: Re: Secure delivery ].mim

[1] Archive type: MIME

--> document_b.devert.zip

[DETECTION] Contains signature of the worm WORM/NetSky.P

[2] Archive type: ZIP

--> data.rtf .scr

[DETECTION] Contains signature of the worm WORM/NetSky.P

--> Mailbox_[subject: Re: Thank you! ][From: [email protected] ].mim

[1] Archive type: MIME

--> Info.pif

[DETECTION] Contains signature of the worm WORM/Bagle.O

--> Mailbox_[From: [email protected] ][subject: [ville_et_politique] Forum notify ].mim

[1] Archive type: MIME

--> Attach.pif

[DETECTION] Contains signature of the worm WORM/Bagle.O

--> Mailbox_[From: [email protected] ][subject: [sPAM!] Delivery Failure ([email protected]) ].mim

[DETECTION] Contains signature of the worm WORM/NetSky.Q.2

[1] Archive type: MIME

--> file1.mim

[DETECTION] Contains signature of the worm WORM/NetSky.Q.2

[2] Archive type: MIME

--> data14565.pif

[DETECTION] Contains signature of the worm WORM/NetSky.Q

--> Mailbox_[From: [email protected] ][subject: Re: letter ].mim

[1] Archive type: MIME

--> letter.zip

[DETECTION] Contains signature of the worm WORM/NetSky.P

[2] Archive type: ZIP

--> document.txt .exe

[DETECTION] Contains signature of the worm WORM/NetSky.P

C:\Program Files\Mozilla Thunderbird\Mail\rabelais.univ-tours.fr\revue & rapport

[0] Archive type: Netscape/Mozilla Mailbox

--> Mailbox_[From: [email protected] ][subject: Re: Secure delivery ].mim

[1] Archive type: MIME

--> document_b.devert.zip

[DETECTION] Contains signature of the worm WORM/NetSky.P

[2] Archive type: ZIP

--> data.rtf .scr

[DETECTION] Contains signature of the worm WORM/NetSky.P

C:\Program Files\Mozilla Thunderbird\Mail\rabelais.univ-tours.fr\urbama citeres

[0] Archive type: Netscape/Mozilla Mailbox

--> Mailbox_[From: [email protected] ][subject: [ville_et_politique] Forum notify ].mim

[1] Archive type: MIME

--> Attach.pif

[DETECTION] Contains signature of the worm WORM/Bagle.O

--> Mailbox_[subject: Re: Thank you! ][From: [email protected] ].mim

[1] Archive type: MIME

--> Info.pif

[DETECTION] Contains signature of the worm WORM/Bagle.O

C:\WINDXP\system32\config\default

[WARNING] The file could not be opened!

C:\WINDXP\system32\config\default.LOG

[WARNING] The file could not be opened!

C:\WINDXP\system32\config\SAM

[WARNING] The file could not be opened!

C:\WINDXP\system32\config\SAM.LOG

[WARNING] The file could not be opened!

C:\WINDXP\system32\config\SECURITY

[WARNING] The file could not be opened!

C:\WINDXP\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINDXP\system32\config\software

[WARNING] The file could not be opened!

C:\WINDXP\system32\config\software.LOG

[WARNING] The file could not be opened!

C:\WINDXP\system32\config\system

[WARNING] The file could not be opened!

C:\WINDXP\system32\config\system.LOG

[WARNING] The file could not be opened!

The path D:\ could not be found!

Le périphérique n'est pas prêt.

 

 

 

End of the scan: mercredi 4 octobre 2006 17:43

Used time: 1:22:07 min

 

The scan has been done completely.

 

5347 Scanning directories

211528 Files were scanned

46 viruses and/or unwanted programs was found

6 files were deleted

0 files were repaired

6 files were moved to quarantine

0 files were renamed

19880 Archives were scanned

26 Warnings

0 Notes

 

le rapport "uninstall" des soft :

ACDSee 5.0 Standard Trial

Ad-Aware SE Personal

Adobe Acrobat 5.0

Adobe Illustrator 10

Adobe SVG Viewer 3.0

Ahead Nero Burning ROM

Ashampoo AntiSpyWare 1.50

avast! Antivirus

Avira AntiVir PersonalEdition Classic

Canon MP Drivers 6.0

Canon MP Navigator 1.0

Canon ScanGear Starter

Canon Utilities Easy-PhotoPrint

CCleaner (remove only)

CD-LabelPrint

Check Identical Files version 2.20

Cordial 9, correcteur et analyseur de la langue française

Correctif Windows XP - KB842773

Diagnostic 9 Synapse Développement

Diskeeper Professional Edition

DivX

DivX Player

DivX Web Player

Easy-WebPrint

Google Desktop Search

GTK+ 2.8.18-1 runtime environment

HijackThis 1.99.1

Juice 2.2

l'Encyclopédie de L'état du monde

Livebox

MapInfo Professional 7.0

Mozilla Firefox (1.5)

Nikon View 5

OmniPage SE 2.0

Philcarto

Picasa 2

Presto! PageManager 6.01

RealPlayer

Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g

ScanSoft PDF Professional 3.0

Search Bar

Sentinel System Driver

SiS 650

Smart Link 56K Modem

Sony Digital Voice Editor

The GIMP 2.2.12

Trellian LiveUpgrade v2.0

Unlocker 1.8.3

Wave Flow

WD Backup

WD Firewire HID Driver

Windows XP Hotfix (SP1) [see Q317181 for more information]

WinRAR archiver

XBudget 4.10

xPhil

 

 

voilà.

Par ailleurs, j'obtiens tjs des messages d'erreurs au démarage :

- intitulé "rundll" :

"erreur de chargement w00907ei.dll Le module spécifié est introuvable"

- intitulé "project1" : "erreur d'exécution '76' chemin d'accès introuvable"

 

merci une nouvelle fois pour l'aide donnée et à venir

[regis56]

Re

 

Bon il va falloir faire du ménage dans tes mails !!

 

Sauvegardes tout tes mails que tu est sur à 100% et supprime tout les autres.

 

Ensuite :

 

1ére étape :

 

Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
    
   
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
    
   
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.
   

Télécharger ATF Cleaner par Atribune.

http://www.atribune.org/ccount/click.php?id=1

 

Télécharger SmitfraudFix de S!Ri sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézipper la totalité de l'archive smitfraudfix.zip

-Son tutorial

http://siri.urz.free.fr/Fix/SmitfraudFix.php

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

 

Utilisation ----- option 1 - Recherche :

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

 

Poster le rapport sur le forum et continuer la procédure.

 

2éme étape : Le nettoyage !

 

Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage

ou tuto Symantec).

http://service1.symantec.com/support/inter...020905112131924

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

 

Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

Ensuite double cliquer sur smitfraudfix.cmd

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran

et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté.

A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

 

A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1

Attention : l'option 2 de l'outil supprime le fond d'écran !

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

 

 

Du mode Sans Échec, lance AVG Anti-Spyware et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.

• AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. AVG Anti-Spyware affichera "All actions have been applied" du côté droit.
   
  
• Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
  

 

-Redémarrer en mode normal :

 

-Poster une réponse dans le même sujet

(Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!)

-Mettre le rapport de Smitfraudfix

-Mettre un nouveau rapport HijackThis

-Poster le rapport AVG Anti-Spyware

-Indiquer si le Pc présente encore des dysfonctionnements

 

A plus et bon courage !