téléchargement d'antivirus impossibleLogfile of HijackThis v1.99.1

[francoise79]

Bonjour (bonsoir)

 

Récente utilisatrice d'internet (depuis seulement 1 mois), je n'y comprends pas grand-chose et la quantité de bêtises accumulées bloque presque tout :

- déconnexions sauvages

- parfois extrême lenteur même hors connexion

- messages d'antivirus dont je ne sais pas quoi faire (nombreux trojans, "il y a 1 virus sur votre ordinateur"...)

- chargement de Correctifs WindowsXp non pertinents

- impossible de :

1. télécharger un nouvel antivirus ni sur internet, ni par CD

2. accéder par InternetExplorer aux sites les proposant, pour consulter les aides

3. désactiver les anciens

à chaque fois les fenêtres se ferment automatiquement à peine ouvertes.

 

Des heures de perplexité, c'est vraiment désespérant.

Je me servais (un peu) d'internet au boulot mais là bien sûr tout est protégé, je ne rencontrais pas ces problèmes, je ne m'attendais pas à ça ! Déjà je ramais avec Windows...

 

Au tout début, j'ai installé AntiVirus Personnel et Professionnel, sur CD en version d'essai d'1 mois;

Puis Avast! qui détectait virus sur virus sans que je puisse faire rien d'autre de mon ordinateur;

Ensuite Starware s'est installé "tout seul" (je sais depuis que ce n'est pas 1 antivirus, et je ne sais pas combien de ses instructions j'ai pu essayer de suivre...)

Je crois avoir téléchargé AntiVir PersonnalEdition ... mais est-il vraiment installé et actif ? et en plus c'est en anglais, pas trop adapté pour ceux qui débutent sur internet.

 

J'ai essayé péniblement de suivre divers conseils ( scan, restauration, suppression des fichiers temp, désinstallation de certains composants qui paraissaient intrus, tentatives de changement d'antivirus ...) mis bout à bout, voilà le résultat : c'est sûrement pire à chaque intervention.

 

Alors ce forum ... ça a l'air super !

J'ai essayé de suivre la procédure de mégataupe 23/06/05 . Merci d'avoir rédigé des instructions pour les nuls! il me fallait bien ça.

 

Voici le logfile de HijackThis associé :

 

-------------------

 

Logfile of HijackThis v1.99.1

Scan saved at 03:25:06, on 10/10/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\msejavaupdt32.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\Multimedia Card Reader\shwicon2k.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE

C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\HbTools\Bin\4.8.0.0\HbtWeatherOnTray.exe

C:\PROGRA~1\MICROA~1\SCURIT~1\ANTI-V~1\ANTI-S~1\OESpamTest.ExE

C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\Program Files\HbTools\Bin\4.8.0.0\HbtSrv.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe msejavaupdt32.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,msejavaupdt32.exe

O2 - BHO: TVEngine Helper /fleok=1D8A83A5C2E6107C91A475760EA83FA5EF80752B94E2DF7B5875442138C7 - {4B18DD50-C996-44fc-AC52-0FECFF82ED58} - c:\program files\hbtools\hbtv\hbtvhelper.dll

O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.8.0.0\HbtHostIE.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.8.0.0\HbtHostIE.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [Auto EPSON Stylus Photo RX420 Series sur NOM-37NIO0M4QG3] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P56 "Auto EPSON Stylus Photo RX420 Series sur NOM-37NIO0M4QG3" /O29 "\\NOM-37NIO0M4QG3\Imprimante2" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P41 "EPSON Stylus Photo RX420 Series (Copie 1)" /O5 "LPT1:" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.8.0.0\HbtWeatherOnTray.exe

O4 - HKLM\..\Run: [ekuqrgwv] C:\WINDOWS\System32\wmbliazo.exe

O4 - HKLM\..\Run: [AutoTBar] 2\Wbem;c:\Python22;C:\Program Files\Fichiers communs\Roxio Shared\DLLSharedAUTOTBAR.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Ms Java Update For Windows NT/XP] msejavaupdt32.exe

O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\MICROA~1\SCURIT~1\ANTI-V~1\ANTI-S~1\OESpamTest.ExE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe

O4 - HKCU\..\Run: [backupNotify] c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe

O4 - HKCU\..\Run: [PathOOOvirg] file:///C:/Program%20Files/OpenOffice.org1.1.4/program/OOoVirgTray.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Ms Java Update For Windows NT/XP] msejavaupdt32.exe

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Anti-Hacker.lnk = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25ae7c28925eed...RdxIE601_fr.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1159628367387

O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtool...ams/hbtools.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {DA6462AC-9024-11D2-8454-004005195FED} (GP0.GP0Ctl) - file://C:\Documents and Settings\Françoise\Mes documents\PROF\Téléchargements\LogicielsTraitementTexte\controleAID\GP0.CAB

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{DC2897CC-7987-4977-9A9A-E35499428F79}: NameServer = 194.206.126.253 194.206.126.54

O18 - Protocol: hola - {626601A0-4BAE-11D1-A7E1-00A0246C1E64} - (no file)

O18 - Protocol: holb - {626601A1-4BAE-11D1-A7E1-00A0246C1E64} - (no file)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Anti-Virus Service (kavsvc) - Kaspersky Labs Ltd. - C:\Program Files\Micro Application\Sécurité Internet\Anti-Virus Perso & Pro\Anti-Spam\KAV\KAVSVC.exe

O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\starwin32.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Microsoft sdk core (sdk) - Unknown owner - C:\WINDOWS\lsass.exe

 

---------

 

Quel charabia !

 

Est-ce que quelqu'un peut m'aider ?

Merci d'avance

[Malekal_morte]

Bonjour,

 

 

A LIRE, ton ordinateur est infecté car il n'est pas à jour et non protégé par un firewall. Dans le cas où tu te connectes avec un modem, il est IMPORTANT que tu installes ZoneAlarm avant de commencer les manipulations. En effet, si tu ne le fais pas, après avoir nettoyé ton ordinateur, dès que tu vas te reconnecter à internet, tu vas te réinfecter, il faudra alors recommencer à zéro. Donc :

 

---> Installe ZoneAlarm

 

Une fois ZoneAlarm installé, tu peux commencer ces manipulations, à effectuer entièrement

Merci de bien vouloir :

- Lire attentivement les instructions demandées et prendre son temps pour les effectuer convenablement, sinon la désinfection ne sera pas complète.

- Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

- A l'issu de la procédure, merci de bien copier/coller TOUS les rapports demandés.

- N'hésitez pas à consulter les liens d'aides, ils sont là pour vous guider !

 

-- Menu Démarrer puis executer, dans le champs tape : SC delete sdk

 

- Demarrer / executer / tape services.msc

- Cherche Microsoft Star Window Service dans la liste

- Double clic dessus, positionne le type de démarrage sur désactiver

 

 

 

Dans ajout/suppression de programmes, désinstalle si présent :

Hotbar / HbTools

 

 

 

 

Sur HijackThis, refais un scan et coches les lignes suivantes :

 

F2 - REG:system.ini: Shell=Explorer.exe msejavaupdt32.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,msejavaupdt32.exe

O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.8.0.0\HbtHostIE.dll

O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.8.0.0\HbtWeatherOnTray.exe

O4 - HKLM\..\Run: [ekuqrgwv] C:\WINDOWS\System32\wmbliazo.exe

O4 - HKLM\..\Run: [Ms Java Update For Windows NT/XP] msejavaupdt32.exe

O4 - HKCU\..\Run: [Ms Java Update For Windows NT/XP] msejavaupdt32.exe

- Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O18 - Protocol: hola - {626601A0-4BAE-11D1-A7E1-00A0246C1E64} - (no file)

O18 - Protocol: holb - {626601A1-4BAE-11D1-A7E1-00A0246C1E64} - (no file)

 

---> puis clic sur le bouton "Fix Checked"

n'hésite pas à consulter l'aide HijackThis

 

- Télécharge et installe ewido

- Mets le à jour à partir du menu update en haut, n'hésite pas à consulter l'Aide ewido pour tout problème.

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

 

- Télécharge la version d'évaluation de Kaspersky Antivirus : http://www.kaspersky.com/fr/trials?chapter=186498689 - tutorial : http://www.malekal.com/tutorial_Kaspersky_trial.html

- Après l'installation, lors de la configuration via l'assistant :

- Active la version d'évaluation des licences de 30 jours

- Lance une mise à jour automatique

- Active la protection de base

** Ne lance pas un scan une fois le programme installé et configuré **

 

____

 

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

 

-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

 

- Ouvre ewido et clic sur l'onglet Settings, pour How to Act sélèctionne Quarantine.

Reviens a l'onglet Scan cliques Complete system Scan.

Le scan démarre.

A la fin cliquer sur Apply all actions

Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.

N'hésite pas à consulter l'Aide ewido pour tout problème.

 

 

- Démarre Kaspersky à partir du Menu Démarrer / Tous les programmes / Kaspersky Anti-virus

- Une icone avec un K grisé va apparaître en bas à droite à côté de l'horloge

- Fais un clic droit sur cette icône puis "Analyser le Poste de travail"

- Le scan de l'ordinateur va démarrer

- Une fois le scan terminé, supprime tous les malwares détectés

- Créé un rapport à partir du bouton Enregistrer-sous en bas de la fenêtre, enregistre le fichier sous le nom Kaspersky.txt sur ton bureau

 

____

 

 

-- Redémarre en mode normal : Menu Démarrer / Arreter / Redémarre l'ordinateur

Attention : dans le cas où l'ordinateur redémarre en boucle en mode sans échec, faire la manipulation inverse en décochant l'option /SAFEBOOT à l'aide de msconfig : voir à nouveau cette page : cliquez-ici

 

 

 

-- Copie/Colle ici les rapports sans en oublier :

- du scan Kaspersky

- ewido

- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt

- ainsi qu'un nouveau log HijackThis

[francoise79]

[

Bonsoir Malekal, bruce lee, Phengizy

 

francoise79 de retour ...

 

 

Suite aux conseils de Phengizy vers 15h00, j'ai essayé de restaurer, à 2 dates différentes (2 et 4 oct). A chaque fois, après déconnexion et redémarrage de Windows, j'ai le message " votre ordi ne peut pas être restauréà ... , aucun changement n'a été effectué"

En plus chaque redémarrage passe maintenant en ce que je crois être le mode sans échec (écran noir, message parlant de la "console de récupération de Windows"...)

 

Et depuis je n'ai plus de connexion internet ! Le port est soit disant occupé ou débranché.

Du coup je l'ai vraiment débranché : ça vaut peut-être mieux vu la qualité da ma protection, mais plus de forum ...

 

C'est mon père qui s'est manifesté sous le pseudo "francoise791". Je l'avais au téléphone, mais il était quand même à 700 km de chez moi. Pas très pratique.

Je suis en ligne depuis chez des voisins sympas mais un peu éloignés de chez moi et de mon ordi . J'ai juste emmené mes 6 rapports d'erreur avec 1 clé USB que j'espère (?) non-infectée.

 

Que dois-je faire ?

 

J'ai juste aperçu mais je n'ai pas encore lu les réponses de Phengizy (sur forum "à l'aide" démarré aujourd'hui à 13h53), bruce lee (sur message perso) et Malekal (sur forum "téléchargement d'antivirus impossible" démarré aujourd'hui à 05h00 ... et auquel je peux maintenant accéder puisque j'ai changé d'ordi ).

Je ne voudrais pas non plus bloquer 3 personnes en même temps, vos compétences sont sans doute aussi attendues ailleurs. Et je ne saurais pas gérer 3 listes d'instructions et y répondre simultannément.

 

Je choisis rester sur "à l'aide".

 

A propos de vos instructions, pouvez-vous me dire comment et quoi enregistrer pour pour m'en servir quand je serais chez moi ?( où, je le rappelle, je n'ai plus internet !)

 

J'avais installé HijackThis ... est-il corrompu ?

Visiblement Avast! et Antivir se bouffent le nez.

 

Petite précision que vous allez apprécier: je n'ai pas de copie de mes disques Windows...

Mais bon ici j'ai quand même 1 clé USB, et des CD neufs et 1 imprimante.

 

Celui qui veut bien me répondre veut-il des HijackThis.log enregistrés depuis cette nuit ? je ne peux pas fournir grand-chose d'autre.

 

Un grand merci encore à vous 3, et encore plus à celui qui saura me dépanner.

[Malekal_morte]

Si tu as un modem USB débranche le.

Désinstalle le kit internet, installe le avec le CD fourni par ton fournisseur d'accès.

Rebranche le modem.

[francoise79]

Bonjour Malekal

 

Je suis de retour mais pas avec mon ordi. (voir le forum "à l'aide")

 

Tu me conseilles :

Si tu as un modem USB débranche le.

Désinstalle le kit internet, installe le avec le CD fourni par ton fournisseur d'accès.

Rebranche le modem.

 

Le modem est débranché, j'espère que je l'ai correctement désinstallé.

J'ai fait ça hier ...de mémoire, par Démarrer, Panneau de config, Connexion internet ...

Mon problème c'est que l'assistant me parlait de 2 réseaux: 1 POPP et 1 "reseau local" ...

J'ai supposé qu'il fallait virer le POPP. Mais je ne suis pas sûre d'avoir tout désinstallé, puisqu'au démarrage, l'ordi continue à chercher à se connecter.

 

Pour la suite, je n'ose pas réinstaller internet : je ne crois pas être protégée par l'antivirus Antivir, que je ne peux pourtant pas désintaller.

Dans Ajout-suppression de programmes, quand je clique sur Suprression il ferme tout et me renvoie sur le bureau.

 

Hier soir j'ai enregistré sur 1 clé les outils pour fiare ce que tu m'as dis hier :

 

- ZoneAlarm

- HijackThis

- aide HijackThis

- ewido

- Aide ewido

- clean.zip

- http://www.kaspersky.com/fr/trials?chapter=186498689

- tutorial : http://www.malekal.com/tutorial_Kaspersky_trial.html

- lis ceci

(symantec)

 

De retour chez moi, je me suis rendue compte que je n'ai pas du tous les enregistrer sois le bon format : à chaque fois mon ordi m' affiche une page hors connexion ou je ne peux pas naviguer pour les aides.

 

Je reviens cet après-midi pour te décrire le suivi des instructions.

Déja je peux te dire que je ne peux pas installer ZoneAlarm : la fenêtre se ferme dès que je pointe dessus ...

 

Mais là, je dois y aller ...

je reviens vers 15 h

 

à +

-

[francoise79]

Désolée, impossible de revenir à 15h comme prévu … il paraît que « y’apasquel’ordidanslavie ».

Du coup, j’écris de chez moi avec Word mercredi après-midi, je ne sais pas si je pourrais bientôt sortir pour poster. Ni si ça va tenir sur un post.

Et en plus c’est pas pratique pour atteindre le forum quand on n’a plus internet chez soi, surtout de là où j’habite …

 

1°) A ce propos, j’ai un autre ordi à la maison.

J’espère qu’il est sain : il n’a jamais été connecté à internet, mais n’est sûrement pas protégé, puisque le seul antivirus qu’il ait eu, c’est le Norton de démo, dont l’abonnement est expiré. Pour lui non plus, on n’a jamais fait de disque de copie de Windows

Si j’installe mon modem (FAI=NordNet) dessus, que peut-il se passer ?

 

2°) Qu’est-ce que ça risque de passer ma clé USB de mon ordi malade à d’autres (celui des voisins sympas, celui de mon mari, ceux du collège où je travaille, ceux d’une salle de ressources PlanNet) ?

Je ne vois pas comment l’éviter pour :

- charger les outils prescrits par dr.zebulon

- enregistrer fidèlement les instructions (les voisins sont sympas mais n’ont plus d’encre, mon mari n’a pas internet, je ne passe pas mes soirées au collège, et la salle PlanNet fait les gros yeux en ce qui concerne le papier et l’encre …)

- transmettre les logfiles

 

3°) Deux petites questions tout à fait stupides :

- Quelle est la différence entre antivirus et firewall ?

- Quand un antivirus détecte un danger, que faut-il lui demander : Move to quarantine, Delete, Rename, Access deny -qui est par défaut-, Ignore ? J’hésite entre quarantine et access deny …

Réponses en langage pourlesnuls, stp !

 

4°) Avant d’en venir au rapport et à tes consignes, voilà la description des trucs bizarres de mon ordi quand je l’ai remis en route ce matin (après avoir fait seulement environ la moitié de tes instructions hier soir avant de m’endormir dessus !)

 

- Un écran fond noir avec « choisissez le système d’exploitation Windows » appareît puis disparaît tout seul.

- Sur l’écran « WindowsXp » avec le bidule vert qui défile, il y a « Kasperski Internet Security 6.0 » en petit en haut à gauche.

- L’écran des sessions d’utilisateurs (mon bureau aussi) est « bizarre ». Un peu flou, les icones + grandes, et la police semble + grosse ou – nette. Une histoire de résolution ?

 

- Une fenêtre (d’accueil ?) Antivir ne fait que passer, une autre la suit, en anglais, genre il est temps d’activer, pas le temps de la lire.

 

- Apparaît « Kasperski assistant d’activation »

Si je coche « activer la version », clic OK + SUIVANT, alors message :

« Erreur d’envoi requête http, l’application n’a pas réussi à s’initialiser correctement (Oxc0000135) »

Ici clic ARRETER+OK et donc je coche « Activer plus tard ». (1)

- Puis « Protection Antivirus, Mode mise à jour » : je coche « Automatique ».

Si clic sur « Mettre à jour maintenant », alors message :

« Impossible de lancer la mise à jour, Kasperski n’est pas activé, nous vous conseillons d’activer le + tôt possible ».

Si clic sur « Configurer », alors onglets « Paramètres », « Source de mise à jour », « Compléments »

??? Au secours !!!… clic RETOUR.

- Retour (1) : clic OK ;

fenêtre « Mode d’analyse » : clic OK ;

fenêtre « Protection par mot de passe », désactivé, clic SUIVANT ;

fenêtre « Collecte des infos en cours » ;

fenêtre « Protection interactive », …protection de base…, clic SUIVANT.

- Fenêtre « Fin de configuration » : je coche « Lancer le logiciel ».

 

- Tiens ! revoilà ce bon vieux « Security warning Antivir » : message« Antivir has found out that your last update dates back more than 3 days, you should update …”

OK, …cause toujours !

 

- On en était à Kaspersky, qui m’annonce «Votre licence est arrivée à échéance ».

OK, …salut et merci pour tout !

 

5°) J’en arrive à la procédure que tu me recommandes mardi à 08h04.

On ne peut pas dire que ça a été facile …

 

Auparavant j’avais enregistré sur ma clé :

- zlsSetup_65_737_000.fr.exe (ZoneAlarm)

- Outils de suppression de malware-spyware

- HijackThis.exe

- Tutorial et Guide HijackThis

- ewido-setup_4.0.0.172a.exe

- Tutorial et Guide ewido V4.

- clean.zip

- kav6.0.0.303fr.exe

- Tutorial Kaspersky Trial

- Comment démarrer WindowsXp en mode sans échec

 

mais pour les Aides, je n’ai pas su enregistrer sur la clé de façon à ce que je puisse faire grand-chose hors connexion.

C’est quoi les formats .htl, .hmt et .mht ?

Encore une réponse pourlesnuls , non ?

 

J’ai aussi fait un log HijackThis, le voilà : --------------------------------------------------------------------------------

 

Logfile of HijackThis v1.99.1

Scan saved at 20:39:14, on 10/10/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\System32\msejavaupdt32.exe

C:\WINDOWS\Explorer.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\Multimedia Card Reader\shwicon2k.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE

C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\HbTools\Bin\4.8.0.0\HbtWeatherOnTray.exe

C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nordnet.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nordnet.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe msejavaupdt32.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,msejavaupdt32.exe

O2 - BHO: TVEngine Helper /fleok=1D8A83A5C2E6107C91A475760EA83FA5EF80752B94E2DF7B5875442138C7 - {4B18DD50-C996-44fc-AC52-0FECFF82ED58} - c:\program files\hbtools\hbtv\hbtvhelper.dll

O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.8.0.0\HbtHostIE.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.8.0.0\HbtHostIE.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [Auto EPSON Stylus Photo RX420 Series sur NOM-37NIO0M4QG3] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P56 "Auto EPSON Stylus Photo RX420 Series sur NOM-37NIO0M4QG3" /O29 "\\NOM-37NIO0M4QG3\Imprimante2" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P41 "EPSON Stylus Photo RX420 Series (Copie 1)" /O5 "LPT1:" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.8.0.0\HbtWeatherOnTray.exe

O4 - HKLM\..\Run: [ekuqrgwv] C:\WINDOWS\System32\wmbliazo.exe

O4 - HKLM\..\Run: [AutoTBar] 2\Wbem;c:\Python22;C:\Program Files\Fichiers communs\Roxio Shared\DLLSharedAUTOTBAR.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Ms Java Update For Windows NT/XP] msejavaupdt32.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe

O4 - HKCU\..\Run: [backupNotify] c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe

O4 - HKCU\..\Run: [PathOOOvirg] file:///C:/Program%20Files/OpenOffice.org1.1.4/program/OOoVirgTray.exe

O4 - HKCU\..\Run: [Ms Java Update For Windows NT/XP] msejavaupdt32.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25ae7c28925eed...RdxIE601_fr.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1159628367387

O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtool...ams/hbtools.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {DA6462AC-9024-11D2-8454-004005195FED} (GP0.GP0Ctl) - file://C:\Documents and Settings\Françoise\Mes documents\PROF\Téléchargements\LogicielsTraitementTexte\controleAID\GP0.CAB

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O18 - Protocol: hola - {626601A0-4BAE-11D1-A7E1-00A0246C1E64} - (no file)

O18 - Protocol: holb - {626601A1-4BAE-11D1-A7E1-00A0246C1E64} - (no file)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\starwin32.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Microsoft sdk core (sdk) - Unknown owner - C:\WINDOWS\lsass.exe

fin -----------------------------------------------------------------------------------------------------------------------------------

 

C’est parti pour ta procédure, voilà ce que j’ai noté en l’exécutant :

 

A LIRE, ton ordinateur est infecté car il n'est pas à jour et non protégé par un firewall. Dans le cas où tu te connectes avec un modem, il est IMPORTANT que tu installes http://www.malekal.com/tutorial_zonealarm.html avant de commencer les manipulations. En effet, si tu ne le fais pas, après avoir nettoyé ton ordinateur, dès que tu vas te reconnecter à internet, tu vas te réinfecter, il faudra alors recommencer à zéro. Donc :

---> Installe http://www.malekal.com/tutorial_zonealarm.html

c’est impossible : la fenêtre se ferme dès que je pointe sur l’icône de ZoneAlarm (même pas le temps de cliquer).

Une fois ZoneAlarm installé, tu peux commencer ces manipulations, à effectuer entièrement

ça commence bien, il n’est pas installé, mais je continue…

Merci de bien vouloir :

- Lire attentivement les instructions demandées et prendre son temps pour les effectuer convenablement, sinon la désinfection ne sera pas complète.

- Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

- A l'issu de la procédure, merci de bien copier/coller TOUS les rapports demandés.

- N'hésitez pas à consulter les liens d'aides, ils sont là pour vous guider !

-- Menu Démarrer puis executer, dans le champs tape : SC delete sdk

après OK, une fenêtre apparaît et s’efface instantanément

- Demarrer / executer / tape services.msc

RAS

- Cherche Microsoft Star Window Service dans la liste

- Double clic dessus, positionne le type de démarrage sur désactiver

j’ai bien un message « selected components were successfully removed »

Dans ajout/suppression de programmes, désinstalle si présent :

Hotbar / HbTools

RAS

Sur http://www.01net.com/telecharger/windows/I...ches/29061.html, UserInit=C:\WINDOWS\System32\userinit.exe,msejavaupdt32.exe

C’est HijackThis, ça ?

refais un scan et coches les lignes suivantes :

F2 - REG:system.ini: Shell=Explorer.exe msejavaupdt32.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,msejavaupdt32.exe

RAS

O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.8.0.0\HbtHostIE.dll

O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.8.0.0\HbtWeatherOnTray.exe

O4 - HKLM\..\Run: [ekuqrgwv] C:\WINDOWS\System32\wmbliazo.exe

celles là, je ne les trouve pas.

O4 - HKLM\..\Run: [Ms Java Update For Windows NT/XP] msejavaupdt32.exe

O4 - HKCU\..\Run: [Ms Java Update For Windows NT/XP] msejavaupdt32.exe

- Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O18 - Protocol: hola - {626601A0-4BAE-11D1-A7E1-00A0246C1E64} - (no file)

O18 - Protocol: holb - {626601A1-4BAE-11D1-A7E1-00A0246C1E64} - (no file)

RAS

---> puis clic sur le bouton "Fix Checked"

le voilà: ----------------------------------------------------------------------------------------------------------------------------

 

Logfile of HijackThis v1.99.1

Scan saved at 02:03:44, on 11/10/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\System32\msejavaupdt32.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\Multimedia Card Reader\shwicon2k.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE

C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\WINDOWS\Explorer.exe

L:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nordnet.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nordnet.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe msejavaupdt32.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,msejavaupdt32.exe

O2 - BHO: TVEngine Helper /fleok=1D8A83A5C2E6107C91A475760EA83FA5EF80752B94E2DF7B5875442138C7 - {4B18DD50-C996-44fc-AC52-0FECFF82ED58} - c:\program files\hbtools\hbtv\hbtvhelper.dll (file missing)

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [Auto EPSON Stylus Photo RX420 Series sur NOM-37NIO0M4QG3] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P56 "Auto EPSON Stylus Photo RX420 Series sur NOM-37NIO0M4QG3" /O29 "\\NOM-37NIO0M4QG3\Imprimante2" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P41 "EPSON Stylus Photo RX420 Series (Copie 1)" /O5 "LPT1:" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [AutoTBar] 2\Wbem;c:\Python22;C:\Program Files\Fichiers communs\Roxio Shared\DLLSharedAUTOTBAR.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Ms Java Update For Windows NT/XP] msejavaupdt32.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\RunOnce: [HbTools] cmd /c "rmdir "C:\Program Files\HbTools" /s /q"

O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe

O4 - HKCU\..\Run: [backupNotify] c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe

O4 - HKCU\..\Run: [PathOOOvirg] file:///C:/Program%20Files/OpenOffice.org1.1.4/program/OOoVirgTray.exe

O4 - HKCU\..\Run: [Ms Java Update For Windows NT/XP] msejavaupdt32.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25ae7c28925eed...RdxIE601_fr.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1159628367387

O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtool...ams/hbtools.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {DA6462AC-9024-11D2-8454-004005195FED} (GP0.GP0Ctl) - file://C:\Documents and Settings\Françoise\Mes documents\PROF\Téléchargements\LogicielsTraitementTexte\controleAID\GP0.CAB

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O18 - Protocol: hola - {626601A0-4BAE-11D1-A7E1-00A0246C1E64} - (no file)

O18 - Protocol: holb - {626601A1-4BAE-11D1-A7E1-00A0246C1E64} - (no file)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

 

fin -----------------------------------------------------------------------------------------------------------------------------------

 

n'hésite pas à consulter http://www.malekal.com/tutorial_HijackThis.html

- Télécharge et installe http://download.grisoft.cz/softw/70/filedi..._4.0.0.172a.exe

- Mets le à jour à partir du menu update en haut, n'hésite pas à consulter l'http://www.malekal.com/tutorial_ewidoV4.html pour tout problème.

update, consulter : impossible sans connexion

- Télécharge http://www.malekal.com/download/clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

RAS

- Télécharge la version d'évaluation de Kaspersky Antivirus : http://www.kaspersky.com/fr/trials?chapter=186498689 - tutorial : http://www.malekal.com/tutorial_Kaspersky_trial.html

- Après l'installation, lors de la configuration via l'assistant :

- Active la version d'évaluation des licences de 30 jours

message : « Erreur requête http » etc , je finis par cocher « Activer le logiciel + tard »

Pas de rapport : s’il devait en avoir un, pas pu en faire (licence à échéance):

- Lance une mise à jour automatique

impossible

Pas de rapport : s’il devait en avoir un, pas pu en faire (licence à échéance):

- Active la protection de base

** Ne lance pas un scan une fois le programme installé et configuré **

RAS sauf que là je dois finir par aller dormir …

 

(2)

Le lendemain :

- Redémarre en mode en mode sans échec, si tu sais pas comment on fait http://service1.symantec.com/SUPPORT/INTER...020325143456924

-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

- Ouvre ewido et clic sur l'onglet Settings, pour How to Act sélèctionne Quarantine.

Reviens a l'onglet Scan cliques Complete system Scan.

Le scan démarre.

RAS jusque là.

Le scan dure plus d’une heure …

pendant la première heure, il a trouvé plus de 60 machins louches ; après j’ai pas pu surveiller.

A la fin cliquer sur Apply all actions

message :

« Warning, C\windows\system3.2_config\systemprofile\LocalSettings\Temporary Internet Files\contents\IE5\S37B0CBW\ucmoreix[1].exe/IUCMORE.DLL

can not be quarantined because embedded in the archive

C\ (…pareil.. jusqu’à…) ucmoreix[1].exe

Do you want to quarantine the whole archive?”

 

Je réponds « Yes for all » , en priant pour que ce soit bien ce qu’il faut faire !

Réponse : « All actions have been applied ».

 

 

Au fait, j’ai toujours la fenêtre noire de clean.cmd qui est ouverte et qui contient juste « WINDOWS\system3.2\cmd.exe ».

Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.

N'hésite pas à consulter l'http://www.malekal.com/tutorial_ewidoV4.html pour tout problème.

voilà le log d’ewido : -----------------------------------------------------------------------------------------------------------

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

 

+ Created at: 18:55:51 11/10/2006

 

+ Scan result:

 

 

 

C:\WINDOWS\Downloaded Program Files\HbInstIE.dll -> Adware.HotBar : Cleaned with backup (quarantined).

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IZ4NGTSD\Installer[1].exe -> Adware.Look2Me : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Local Settings\Temporary Internet Files\Content.IE5\Y9WFA9M5\util[1].js -> Adware.MediaMotor : Cleaned with backup (quarantined).

C:\Documents and Settings\Françoise\Mes documents\FrançoiseProf\CléTransfert\CléBruno\sudoku\S4\SudokuChallengeSetup_1.01-dm.exe -> Adware.Trymedia : Cleaned with backup (quarantined).

C:\Program Files\TheSearchAccelerator -> Adware.UCmore : Cleaned with backup (quarantined).

C:\Program Files\TheSearchAccelerator\INSTALL.LOG -> Adware.UCmore : Cleaned with backup (quarantined).

C:\Program Files\TheSearchAccelerator\TBlogin.users.ucmore.com.4.5.40.0 -> Adware.UCmore : Cleaned with backup (quarantined).

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S37B0CBW\ucmoreiex[1].exe/IUCMORE.DLL -> Adware.Ucmore : Cleaned with backup (quarantined).

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S37B0CBW\ucmoreiex[1].exe/UCMTSAIE.DLL -> Adware.Ucmore : Cleaned with backup (quarantined).

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S37B0CBW\ucmoreiex[1].exe/empty_00000001 -> Adware.Ucmore : Cleaned with backup (quarantined).

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KLMVONS9\MTE3NDI6ODoxNg[1].exe -> Downloader.Small.buy : Cleaned with backup (quarantined).

C:\Documents and Settings\Armande\Cookies\armande@247realmedia[1].txt -> TrackingCookie.247realmedia : Cleaned with backup (quarantined).

C:\Documents and Settings\Françoise\Cookies\françoise@247realmedia[2].txt -> TrackingCookie.247realmedia : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\maureen@247realmedia[1].txt -> TrackingCookie.247realmedia : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\bruno@2o7[1].txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).

C:\Documents and Settings\Françoise\Cookies\franç[email protected][1].txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).

C:\Documents and Settings\Laura\Cookies\laura@2o7[2].txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).

C:\Documents and Settings\Laura\Cookies\[email protected][1].txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\maureen@2o7[2].txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\[email protected][1].txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\maureen@adbrite[2].txt -> TrackingCookie.Adbrite : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\[email protected][1].txt -> TrackingCookie.Adjuggler : Cleaned with backup (quarantined).

C:\Documents and Settings\Armande\Cookies\armande@adtech[2].txt -> TrackingCookie.Adtech : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\bruno@adtech[2].txt -> TrackingCookie.Adtech : Cleaned with backup (quarantined).

C:\Documents and Settings\Françoise\Cookies\françoise@adtech[2].txt -> TrackingCookie.Adtech : Cleaned with backup (quarantined).

C:\Documents and Settings\Laura\Cookies\laura@adtech[2].txt -> TrackingCookie.Adtech : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\maureen@adtech[2].txt -> TrackingCookie.Adtech : Cleaned with backup (quarantined).

C:\Documents and Settings\Armande\Cookies\armande@advertising[1].txt -> TrackingCookie.Advertising : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\bruno@advertising[2].txt -> TrackingCookie.Advertising : Cleaned with backup (quarantined).

C:\Documents and Settings\Laura\Cookies\laura@advertising[1].txt -> TrackingCookie.Advertising : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\maureen@advertising[2].txt -> TrackingCookie.Advertising : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\bruno@atdmt[2].txt -> TrackingCookie.Atdmt : Cleaned with backup (quarantined).

C:\Documents and Settings\Françoise\Cookies\françoise@atdmt[1].txt -> TrackingCookie.Atdmt : Cleaned with backup (quarantined).

C:\Documents and Settings\Laura\Cookies\laura@atdmt[2].txt -> TrackingCookie.Atdmt : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\maureen@atdmt[2].txt -> TrackingCookie.Atdmt : Cleaned with backup (quarantined).

C:\Documents and Settings\Armande\Cookies\armande@bluestreak[1].txt -> TrackingCookie.Bluestreak : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\bruno@bluestreak[2].txt -> TrackingCookie.Bluestreak : Cleaned with backup (quarantined).

C:\Documents and Settings\Françoise\Cookies\françoise@bluestreak[1].txt -> TrackingCookie.Bluestreak : Cleaned with backup (quarantined).

C:\Documents and Settings\Laura\Cookies\laura@bluestreak[1].txt -> TrackingCookie.Bluestreak : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\maureen@bluestreak[1].txt -> TrackingCookie.Bluestreak : Cleaned with backup (quarantined).

C:\Documents and Settings\Armande\Cookies\armande@burstnet[2].txt -> TrackingCookie.Burstnet : Cleaned with backup (quarantined).

C:\Documents and Settings\Armande\Cookies\[email protected][1].txt -> TrackingCookie.Burstnet : Cleaned with backup (quarantined).

C:\Documents and Settings\Françoise\Cookies\françoise@clickbank[1].txt -> TrackingCookie.Clickbank : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\[email protected][2].txt -> TrackingCookie.Clubdicecasino : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\maureen@clubdicecasino[1].txt -> TrackingCookie.Clubdicecasino : Cleaned with backup (quarantined).

C:\Documents and Settings\Françoise\Cookies\françoise@com[1].txt -> TrackingCookie.Com : Cleaned with backup (quarantined).

C:\Documents and Settings\Armande\Cookies\[email protected][2].txt -> TrackingCookie.Comclick : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\[email protected][2].txt -> TrackingCookie.Comclick : Cleaned with backup (quarantined).

C:\Documents and Settings\Laura\Cookies\[email protected][1].txt -> TrackingCookie.Comclick : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\[email protected][1].txt -> TrackingCookie.Comclick : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\bruno@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Cleaned with backup (quarantined).

C:\Documents and Settings\Armande\Cookies\armande@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\bruno@doubleclick[2].txt -> TrackingCookie.Doubleclick : Cleaned with backup (quarantined).

C:\Documents and Settings\Françoise\Cookies\françoise@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned with backup (quarantined).

C:\Documents and Settings\Laura\Cookies\laura@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\maureen@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned with backup (quarantined).

C:\Documents and Settings\Armande\Cookies\armande@estat[1].txt -> TrackingCookie.Estat : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\bruno@estat[2].txt -> TrackingCookie.Estat : Cleaned with backup (quarantined).

C:\Documents and Settings\Laura\Cookies\laura@estat[1].txt -> TrackingCookie.Estat : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\maureen@estat[1].txt -> TrackingCookie.Estat : Cleaned with backup (quarantined).

C:\Documents and Settings\Armande\Cookies\[email protected][1].txt -> TrackingCookie.Falkag : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\[email protected][2].txt -> TrackingCookie.Falkag : Cleaned with backup (quarantined).

C:\Documents and Settings\Françoise\Cookies\franç[email protected][2].txt -> TrackingCookie.Falkag : Cleaned with backup (quarantined).

C:\Documents and Settings\Françoise\Cookies\franç[email protected][2].txt -> TrackingCookie.Falkag : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\[email protected][1].txt -> TrackingCookie.Falkag : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\[email protected][2].txt -> TrackingCookie.Falkag : Cleaned with backup (quarantined).

C:\Documents and Settings\Armande\Cookies\armande@fastclick[1].txt -> TrackingCookie.Fastclick : Cleaned with backup (quarantined).

C:\Documents and Settings\Armande\Cookies\[email protected][2].txt -> TrackingCookie.Fastclick : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\maureen@fastclick[1].txt -> TrackingCookie.Fastclick : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\maureen@hitbox[2].txt -> TrackingCookie.Hitbox : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\[email protected][1].txt -> TrackingCookie.Hitbox : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\maureen@ivwbox[1].txt -> TrackingCookie.Ivwbox : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\bruno@linksynergy[1].txt -> TrackingCookie.Linksynergy : Cleaned with backup (quarantined).

C:\Documents and Settings\Armande\Cookies\armande@mediaplex[1].txt -> TrackingCookie.Mediaplex : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\bruno@mediaplex[1].txt -> TrackingCookie.Mediaplex : Cleaned with backup (quarantined).

C:\Documents and Settings\Françoise\Cookies\françoise@mediaplex[1].txt -> TrackingCookie.Mediaplex : Cleaned with backup (quarantined).

C:\Documents and Settings\Laura\Cookies\laura@mediaplex[1].txt -> TrackingCookie.Mediaplex : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\maureen@mediaplex[1].txt -> TrackingCookie.Mediaplex : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\[email protected][1].txt -> TrackingCookie.Overture : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\bruno@overture[1].txt -> TrackingCookie.Overture : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\[email protected][1].txt -> TrackingCookie.Overture : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\[email protected][1].txt -> TrackingCookie.Pointroll : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\[email protected][1].txt -> TrackingCookie.Realtracker : Cleaned with backup (quarantined).

C:\Documents and Settings\Armande\Cookies\[email protected][1].txt -> TrackingCookie.Reliablestats : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\[email protected][1].txt -> TrackingCookie.Reliablestats : Cleaned with backup (quarantined).

C:\Documents and Settings\Armande\Cookies\armande@serving-sys[2].txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\[email protected][2].txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\bruno@serving-sys[1].txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).

C:\Documents and Settings\Laura\Cookies\laura@serving-sys[1].txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\maureen@serving-sys[2].txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).

C:\Documents and Settings\Armande\Cookies\[email protected][2].txt -> TrackingCookie.Smartadserver : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\[email protected][1].txt -> TrackingCookie.Smartadserver : Cleaned with backup (quarantined).

C:\Documents and Settings\Françoise\Cookies\franç[email protected][2].txt -> TrackingCookie.Smartadserver : Cleaned with backup (quarantined).

C:\Documents and Settings\Laura\Cookies\[email protected][1].txt -> TrackingCookie.Smartadserver : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\[email protected][2].txt -> TrackingCookie.Smartadserver : Cleaned with backup (quarantined).

C:\Documents and Settings\Armande\Cookies\armande@statcounter[1].txt -> TrackingCookie.Statcounter : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\bruno@statcounter[1].txt -> TrackingCookie.Statcounter : Cleaned with backup (quarantined).

C:\Documents and Settings\Armande\Cookies\armande@tacoda[1].txt -> TrackingCookie.Tacoda : Cleaned with backup (quarantined).

C:\Documents and Settings\Armande\Cookies\armande@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\bruno@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\maureen@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\bruno@trafficmp[1].txt -> TrackingCookie.Trafficmp : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\maureen@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Cleaned with backup (quarantined).

C:\Documents and Settings\Armande\Cookies\armande@valueclick[1].txt -> TrackingCookie.Valueclick : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\bruno@valueclick[1].txt -> TrackingCookie.Valueclick : Cleaned with backup (quarantined).

C:\Documents and Settings\Armande\Cookies\armande@weborama[2].txt -> TrackingCookie.Weborama : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\bruno@weborama[1].txt -> TrackingCookie.Weborama : Cleaned with backup (quarantined).

C:\Documents and Settings\Françoise\Cookies\françoise@weborama[1].txt -> TrackingCookie.Weborama : Cleaned with backup (quarantined).

C:\Documents and Settings\Laura\Cookies\laura@weborama[1].txt -> TrackingCookie.Weborama : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\maureen@weborama[1].txt -> TrackingCookie.Weborama : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\[email protected][1].txt -> TrackingCookie.Webtrendslive : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\[email protected][2].txt -> TrackingCookie.Webtrendslive : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\[email protected][2].txt -> TrackingCookie.Yieldmanager : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\[email protected][1].txt -> TrackingCookie.Yieldmanager : Cleaned with backup (quarantined).

C:\WINDOWS\system32\config\systemprofile\Cookies\[email protected][1].txt -> TrackingCookie.Yieldmanager : Cleaned with backup (quarantined).

C:\Documents and Settings\Armande\Cookies\armande@zedo[1].txt -> TrackingCookie.Zedo : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\[email protected][1].txt -> TrackingCookie.Zedo : Cleaned with backup (quarantined).

C:\Documents and Settings\Bruno\Cookies\bruno@zedo[2].txt -> TrackingCookie.Zedo : Cleaned with backup (quarantined).

C:\Documents and Settings\Maureen\Cookies\maureen@zedo[2].txt -> TrackingCookie.Zedo : Cleaned with backup (quarantined).

 

 

::Report end

fin -----------------------------------------------------------------------------------------------------------------------------------

 

- Démarre Kaspersky à partir du Menu Démarrer / Tous les programmes / Kaspersky Anti-virus

Message : « Attention, votre licence est arrivée à échéance… pour continuer à utiliser le logiciel, veuillez acheter la licence, si vous avez déjà acheté, veuillez activer ».

Je ferme cette boite.

- Une icone avec un K grisé va apparaître en bas à droite à côté de l'horloge

il y est.

- Fais un clic droit sur cette icône puis "Analyser le Poste de travail"

impossible : cette partie du menu contextuel est inactif (gris clair)…

- Le scan de l'ordinateur va démarrer

non.

- Une fois le scan terminé, supprime tous les malwares détectés

- Créé un rapport à partir du bouton Enregistrer-sous en bas de la fenêtre, enregistre le fichier sous le nom Kaspersky.txt sur ton bureau

impossible de faire quoi que ce soit, puisque Analyse est inactif.

Pas de rapport s’il devait en avoir un ( je ne peux pas en faire car licence à échéance)

-- Redémarre en mode normal : Menu Démarrer / Arreter / Redémarre l'ordinateur

Attention : dans le cas où l'ordinateur redémarre en boucle en mode sans échec, faire la manipulation inverse en décochant l'option /SAFEBOOT à l'aide de msconfig : voir à nouveau cette page : http://service1.symantec.com/SUPPORT/INTER...020325143456924

RAS.

-- Copie/Colle ici les rapports sans en oublier :

- du scan Kaspersky

non, je ne peux pas en faire car licence à échéance

- ewido

il est + haut.

- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt

le voilà : --------------------------------------------------------------------------------------------------------------------------

où est il ? je ne le trouve nulle part …

j’ai des vieux rapport.txt de SmitFraud Fix, le + récent du 09/10 à 21h19, c’est pas ça . P’têt bien que je l’ai perdu à force de jongler avec ma clé, les 2 ordi (les 2 bureaux, les 2 C : ), Word et Copier/coller

Je recommence la procédure à (2) : mode sans échec, clean , ewido (le scannnnnnnnn …), kaspersky mais ça m’étonnerait, safeboot … ou je recommence tout ?

fin -----------------------------------------------------------------------------------------------------------------------------------

- ainsi qu'un nouveau log HijackThis

le voilà : --------------------------------------------------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 19:20:20, on 11/10/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\Multimedia Card Reader\shwicon2k.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE

C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\System32\rundll32.exe

C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nordnet.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nordnet.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: TVEngine Helper /fleok=1D8A83A5C2E6107C91A475760EA83FA5EF80752B94E2DF7B5875442138C7 - {4B18DD50-C996-44fc-AC52-0FECFF82ED58} - c:\program files\hbtools\hbtv\hbtvhelper.dll (file missing)

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [Auto EPSON Stylus Photo RX420 Series sur NOM-37NIO0M4QG3] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P56 "Auto EPSON Stylus Photo RX420 Series sur NOM-37NIO0M4QG3" /O29 "\\NOM-37NIO0M4QG3\Imprimante2" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P41 "EPSON Stylus Photo RX420 Series (Copie 1)" /O5 "LPT1:" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [AutoTBar] 2\Wbem;c:\Python22;C:\Program Files\Fichiers communs\Roxio Shared\DLLSharedAUTOTBAR.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe

O4 - HKCU\..\Run: [backupNotify] c:\Program Files\HP\Digit

[francoise79]

Bonjour malekal

 

Il est très très tôt jeudi matin, j’ai relancé ta procédure en essayant de ne pas me gourrer cette fois. J’enverrai les 2 posts, rédigés sur Word chez moi (pourvu que je sache les copier-coller de Word sur ma clé vers le forum !), dès que je trouve un accès Internet.

Entre les 2, par téléphone, mon père « francoise791 » m’a fait désactiver plein de machins par Exécuter, Démarrage … j’ai pas noté quoi, s’il le faut, on peut peut-être lui demander, il suit le forum.

Et j’ai vidé une gigacorbeille, et viré tous mes fichiers RecentTemp et TemporaryInternetFiles (mais je n’ai pas touché à ceux des autres utilisateurs … ou plutôt, je n’y ai pas pensé).

 

Bon, je relis mes notes… c’est parti :

A LIRE, ton ordinateur est infecté car il n'est pas à jour et non protégé par un firewall. Dans le cas où tu te connectes avec un modem, il est IMPORTANT que tu installes http://www.malekal.com/tutorial_zonealarm.html avant de commencer les manipulations. En effet, si tu ne le fais pas, après avoir nettoyé ton ordinateur, dès que tu vas te reconnecter à internet, tu vas te réinfecter, il faudra alors recommencer à zéro. Donc :

---> Installe http://www.malekal.com/tutorial_zonealarm.html

alors là, miracle !!! « Installation de ZoneAlarm » : ça marche … pourvu que ça dure !

« Config. », « Démarrage Assistant de licence » … « ZoneAlarm gratuit » est coché, l’ordi redémarre.

 

Petits messages familiers :

- de Antivir et Kaspersky, genre « activation nécessaire car à échéance »,

- puis des « pch notify » : applications qui ne réussissent pas à s’initialiser correctement (Ox000135)

Et « Antivirus System Tray Tools » qui c’est, lui???

Une fois ZoneAlarm installé, tu peux commencer ces manipulations, à effectuer entièrement

Merci de bien vouloir :

- Lire attentivement les instructions demandées et prendre son temps pour les effectuer convenablement, sinon la désinfection ne sera pas complète.

- Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

- A l'issu de la procédure, merci de bien copier/coller TOUS les rapports demandés.

- N'hésitez pas à consulter les liens d'aides, ils sont là pour vous guider !

-- Menu Démarrer puis executer, dans le champs tape : SC delete sdk

après OK, une fenêtre apparaît et s’efface instantanément

- Demarrer / executer / tape services.msc

- Cherche Microsoft Star Window Service dans la liste

- Double clic dessus, positionne le type de démarrage sur désactiver

c’est resté d’hier

Dans ajout/suppression de programmes, désinstalle si présent :

Hotbar / HbTools

elle n’y est plus

Sur http://www.01net.com/telecharger/windows/I...ches/29061.html, UserInit=C:\WINDOWS\System32\userinit.exe,msejavaupdt32.exe

j’ai HijackThis en français, pas comme sur ton tuto (mais je ne me plains pas)

refais un scan et coches les lignes suivantes :

F2 - REG:system.ini: Shell=Explorer.exe msejavaupdt32.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,msejavaupdt32.exe

O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.8.0.0\HbtHostIE.dll

O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.8.0.0\HbtWeatherOnTray.exe

O4 - HKLM\..\Run: [ekuqrgwv] C:\WINDOWS\System32\wmbliazo.exe

O4 - HKLM\..\Run: [Ms Java Update For Windows NT/XP] msejavaupdt32.exe

O4 - HKCU\..\Run: [Ms Java Update For Windows NT/XP] msejavaupdt32.exe

- Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O18 - Protocol: hola - {626601A0-4BAE-11D1-A7E1-00A0246C1E64} - (no file)

O18 - Protocol: holb - {626601A1-4BAE-11D1-A7E1-00A0246C1E64} - (no file)

RAS : aucune de ces lignes n’y est.

---> puis clic sur le bouton "Fix Checked"

voilà le log ------------------------------------------------------------------------------------------------------------------------

 

Logfile of HijackThis v1.99.1

Scan saved at 02:51:18, on 12/10/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Multimedia Card Reader\shwicon2k.exe

C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\Program Files\QuickTime\qttask.exe

C:\HP\KBD\KBD.EXE

C:\windows\system\hpsysdrv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

L:\CléZebulon\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nordnet.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nordnet.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: TVEngine Helper /fleok=1D8A83A5C2E6107C91A475760EA83FA5EF80752B94E2DF7B5875442138C7 - {4B18DD50-C996-44fc-AC52-0FECFF82ED58} - c:\program files\hbtools\hbtv\hbtvhelper.dll (file missing)

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [Auto EPSON Stylus Photo RX420 Series sur NOM-37NIO0M4QG3] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P56 "Auto EPSON Stylus Photo RX420 Series sur NOM-37NIO0M4QG3" /O29 "\\NOM-37NIO0M4QG3\Imprimante2" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P41 "EPSON Stylus Photo RX420 Series (Copie 1)" /O5 "LPT1:" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [AutoTBar] 2\Wbem;c:\Python22;C:\Program Files\Fichiers communs\Roxio Shared\DLLSharedAUTOTBAR.EXE

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [PathOOOvirg] file:///C:/Program%20Files/OpenOffice.org1.1.4/program/OOoVirgTray.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [backupNotify] c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe

O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25ae7c28925eed...RdxIE601_fr.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1159628367387

O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtool...ams/hbtools.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {DA6462AC-9024-11D2-8454-004005195FED} (GP0.GP0Ctl) - file://C:\Documents and Settings\Françoise\Mes documents\PROF\Téléchargements\LogicielsTraitementTexte\controleAID\GP0.CAB

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

fin -----------------------------------------------------------------------------------------------------------------------------------

j’en ai même un autre à 03h03, je ne sais pas trop pourquoi. je le garde pour l’instant.

 

n'hésite pas à consulter http://www.malekal.com/tutorial_HijackThis.html

- Télécharge et installe http://download.grisoft.cz/softw/70/filedi..._4.0.0.172a.exe

- Mets le à jour à partir du menu update en haut, n'hésite pas à consulter l'http://www.malekal.com/tutorial_ewidoV4.html pour tout problème.

à l’installation, j’ai le message « Successfully installed » ;

à « Start update » : toujours impossible sans connexion, et message « … should update as soon as possible »

- Télécharge http://www.malekal.com/download/clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

- Télécharge la version d'évaluation de Kaspersky Antivirus : http://www.kaspersky.com/fr/trials?chapter=186498689 - tutorial : http://www.malekal.com/tutorial_Kaspersky_trial.html

- Après l'installation, lors de la configuration via l'assistant :

- Active la version d'évaluation des licences de 30 jours

il ne veut pas être ré-installé, c’est normal,

puis toujours message : « Erreur requête http » etc , je re-coche « Activer le logiciel + tard »

- Lance une mise à jour automatique

- Active la protection de base

** Ne lance pas un scan une fois le programme installé et configuré **

impossible, toujours « … la clé de licence est arrivée à échéance, la protection est désactivée »

Pas de rapport : s’il devait en avoir un, pas pu en faire

- Redémarre en mode en mode sans échec, si tu sais pas comment on fait http://service1.symantec.com/SUPPORT/INTER...020325143456924

Je me rends compte qu’hier, je m’étais contenter de « rester patiente », je n’avais pas « appuyé sur 1 touche pour continuer » … d’où toujours la «« fenêtre noire de clean.cmd qui est ouverte et qui contient juste « WINDOWS\system3.2\cmd.exe »» …

c’est mieux cette fois : « Nettoyage de disque », ……… « Terminé »

et je peux te coller le rapport !!

le voilà : --------------------------------------------------------------------------------------------------------------------------

 

Script clean par Malekal_morte - http://www.malekal.com

 

Microsoft Windows XP [version 5.1.2600]

Script execute en mode sans echec

 

*** Suppression de fichiers sur C:

 

*** Suppression des fichiers dans C:\WINDOWS\

C:\WINDOWS\ALCXMNTR.EXE FOUND

C:\WINDOWS\lsass.exe FOUND

C:\WINDOWS\unvise32qt.exe FOUND

 

*** Suppression des fichiers dans C:\WINDOWS\system32

C:\WINDOWS\system32\?????_netapi.exe FOUND

C:\WINDOWS\system32\a.exe FOUND

C:\WINDOWS\system32\msejavaupdt32.exe FOUND

C:\WINDOWS\system32\x FOUND

C:\WINDOWS\system32\px.dll FOUND

C:\WINDOWS\system32\drivers\etc\hosts.msn FOUND

 

"C:\Program Files\Deskbar\" FOUND

"C:\Program Files\funwebproducts\" FOUND

"C:\Program Files\MyWebSearch\" FOUND

 

*** Suppression des clefs du registre effectuee..

 

fin -----------------------------------------------------------------------------------------------------------------------------------

 

-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

- Ouvre ewido et clic sur l'onglet Settings, pour How to Act sélèctionne Quarantine.

Reviens a l'onglet Scan cliques Complete system Scan.

Le scan démarre.

RAS jusque là.

Le scan dure encore 1 heure 1/2 … mais il ne trouve RIEN : « scan completed, nothing found »

Ouf ?

A la fin cliquer sur Apply all actions

ça n’est même pas actif

Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.

N'hésite pas à consulter l'http://www.malekal.com/tutorial_ewidoV4.html pour tout problème.

voilà le log d’ewido, il est pas beau çui-là? : ----------------------------------------------------------------------------

 

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

 

+ Created at: 05:08:54 12/10/2006

 

+ Scan result:

 

 

 

Nothing found.

 

 

 

::Report end

 

 

fin -----------------------------------------------------------------------------------------------------------------------------------

 

- Démarre Kaspersky à partir du Menu Démarrer / Tous les programmes / Kaspersky Anti-virus

encore message : « Alerte, … la clé de licence est arrivée à échéance, la protection est désactivée »

- Une icone avec un K grisé va apparaître en bas à droite à côté de l'horloge

il y est toujours

j’ai noté la date des signatures dans l’info-bulle : 26/07/06 ; ça sert à quoi ?

je suis perplexe : comme antivirus, on n’avait plus rien depuis le Norton de démonstration à l’achat , on n’a jamais rien mis, et on n’a Internet que depuis le 23/09 … je ne vois pas pourquoi il est à échéance, ça ne fait pas 1 mois.

- Fais un clic droit sur cette icône puis "Analyser le Poste de travail"

impossible : cette partie du menu contextuel est toujours inactif (gris clair)…

- Le scan de l'ordinateur va démarrer

non.

- Une fois le scan terminé, supprime tous les malwares détectés

- Créé un rapport à partir du bouton Enregistrer-sous en bas de la fenêtre, enregistre le fichier sous le nom Kaspersky.txt sur ton bureau

impossible de faire quoi que ce soit, puisque Analyse est inactif.

Pas de rapport s’il devait en avoir un.

-- Redémarre en mode normal : Menu Démarrer / Arreter / Redémarre l'ordinateur

Attention : dans le cas où l'ordinateur redémarre en boucle en mode sans échec, faire la manipulation inverse en décochant l'option /SAFEBOOT à l'aide de msconfig : voir à nouveau cette page : http://service1.symantec.com/SUPPORT/INTER...020325143456924

RAS.

-- Copie/Colle ici les rapports sans en oublier :

- du scan Kaspersky

non, je ne peux pas en faire car licence à échéance

- ewido

il est + haut.

- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt

il est + haut

- ainsi qu'un nouveau log HijackThis

le voilà : --------------------------------------------------------------------------------------------------------------------------

 

Logfile of HijackThis v1.99.1

Scan saved at 05:19:58, on 12/10/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Multimedia Card Reader\shwicon2k.exe

C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\Program Files\QuickTime\qttask.exe

C:\HP\KBD\KBD.EXE

C:\windows\system\hpsysdrv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nordnet.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?p...&ar=msnhome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nordnet.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: TVEngine Helper /fleok=1D8A83A5C2E6107C91A475760EA83FA5EF80752B94E2DF7B5875442138C7 - {4B18DD50-C996-44fc-AC52-0FECFF82ED58} - c:\program files\hbtools\hbtv\hbtvhelper.dll (file missing)

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [Auto EPSON Stylus Photo RX420 Series sur NOM-37NIO0M4QG3] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P56 "Auto EPSON Stylus Photo RX420 Series sur NOM-37NIO0M4QG3" /O29 "\\NOM-37NIO0M4QG3\Imprimante2" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P41 "EPSON Stylus Photo RX420 Series (Copie 1)" /O5 "LPT1:" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [AutoTBar] 2\Wbem;c:\Python22;C:\Program Files\Fichiers communs\Roxio Shared\DLLSharedAUTOTBAR.EXE

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [PathOOOvirg] file:///C:/Program%20Files/OpenOffice.org1.1.4/program/OOoVirgTray.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [backupNotify] c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe

O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25ae7c28925eed...RdxIE601_fr.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1159628367387

O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtool...ams/hbtools.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {DA6462AC-9024-11D2-8454-004005195FED} (GP0.GP0Ctl) - file://C:\Documents and Settings\Françoise\Mes documents\PROF\Téléchargements\LogicielsTraitementTexte\controleAID\GP0.CAB

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

fin -----------------------------------------------------------------------------------------------------------------------------------

Franchement, ne gâche pas ma joie stp, c’est pas mieux qu’hier ?

Bon je sais, il reste sûrement des p’tits réglages à faire … mais je suis un peu + optimiste sur l’avenir de mon ordi.

 

Deux petites questions avant d’en finir pour aujourd’hui :

- Est-ce que je peux espérer rebrancher Internet bientöt ?

- Quand ZoneAlarm me prévient : « AntivirusMachin tente d’accéder à 1 zone sure », je lui dis « Autoriser » ou « Refuser » ?

la réponse est sûrement dans ton tuto, mais si c’est dans celui du début de tes consignes , http://www.malekal.com/tutorial_zonealarm.html , justement celui-là je l’ai mal enregistré, je ne l’ai pas.

 

En tout cas, bravo pour les (autres) tutos, cette fois je m’en suis vraiment servie, c’est super bien fait, les instructions et les explications tout en pourlesnuls, avec des jolis dessins en couleur. Aucun problème, c’est un boulot impec super pro de ta part, si j’ai pu suivre, tout le monde le peut !!!

Re bravo …

 

Et aussi un grand grand merciiiiii pour ta patience et ta compétence

à +

[francoise79]

Bonjour malekal

 

En voulant fermer mon ordi tout à l’heure, j’ai vu que AntiVir voulait bien me faire un scan… Je l’ai donc lancé, mais je n’étais pas en mode sans échec. Il signalait des « Detections » et des « Warnings ».

Est-ce que les rapports d’AntiVir peuvent servir à quelque chose, à défaut de celui de Kaspersky ? Il y en a plusieurs car je n’ai pas trouvé d’analyse complète du poste de travail. En plus ça a été super super long car j’ai l’impression qu’il n’a pas bossé car l’écran se mettait en veille…

Je les colle .

 

d’abord « Windows système directory » : -----------------------------------------------------------------------------

AntiVir PersonalEdition Classic

Report file date: jeudi 12 octobre 2006 09:10

 

Scanning for 522603 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 1) [5.1.2600]

Username: Françoise

Computer name: NOM-W8KZ05N5F7S

 

Version information:

AVSCAN.EXE : 7.0.0.47 200744 21/08/2006 10:06:56

AVSCAN.DLL : 7.0.0.45 41000 07/09/2006 10:56:33

LUKE.DLL : 7.0.0.47 118824 07/09/2006 10:32:33

LUKERES.DLL : 7.0.0.47 9256 07/09/2006 10:56:33

ANTIVIR0.VDF : 6.35.0.1 7371264 31/05/2006 10:35:27

ANTIVIR1.VDF : 6.36.0.89 1745920 02/10/2006 10:33:23

ANTIVIR2.VDF : 6.36.0.90 2048 02/10/2006 10:33:23

ANTIVIR3.VDF : 6.36.0.96 62976 06/10/2006 10:33:23

AVEWIN32.DLL : 7.2.0.25 1860096 07/10/2006 10:33:23

AVPREF.DLL : 7.0.0.2 23592 24/07/2006 12:36:04

AVREP.DLL : 6.36.0.79 843816 07/10/2006 10:33:23

AVRPBASE.DLL : 7.0.0.0 2162728 30/03/2006 08:43:31

AVPACK32.DLL : 7.2.0.0 368680 21/07/2006 06:00:28

AVREG.DLL : 6.31.0.90 27688 28/07/2005 10:06:36

NETNT.DLL : 6.32.0.0 6696 27/09/2005 07:56:49

NETNW.DLL : 7.0.0.0 9768 24/07/2006 12:35:55

RCIMAGE.DLL : 7.0.0.74 1642536 01/08/2006 11:22:57

RCTEXT.DLL : 7.0.1.4 77864 07/10/2006 10:33:21

 

Configuration settings for the scan:

Jobname.......................: Windows System Directory

Configuration file............: C:\Program Files\AntiVir PersonalEdition Classic\sysdir.avp

Boot sectors..................: C

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 1

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Macro heuristic...............: 1

File heuristic................: 0

Primary action................: 1

Secondary action..............: 0

 

Start of the scan: jeudi 12 octobre 2006 09:10

 

 

The scan of running processes will be started

20 Processes were scanned

 

Start scanning boot sectors:

 

Boot sector 'C:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( 42 files ).

 

 

Starting the file scan:

 

C:\WINDOWS\System32\jkkjg.dll

[DETECTION] Is the Trojan horse TR/Vundo.Gen

[iNFO] The file was moved to '4598eb01.qua'!

C:\WINDOWS\System32\config\default

[WARNING] The file could not be opened!

C:\WINDOWS\System32\config\default.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\System32\config\SAM

[WARNING] The file could not be opened!

C:\WINDOWS\System32\config\SAM.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\System32\config\SECURITY

[WARNING] The file could not be opened!

C:\WINDOWS\System32\config\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\System32\config\software

[WARNING] The file could not be opened!

C:\WINDOWS\System32\config\software.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\System32\config\system

[WARNING] The file could not be opened!

C:\WINDOWS\System32\config\system.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\System32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\BZU7N0P7\84785_redworld[1].exe

[DETECTION] Contains signature of the worm WORM/Rbot.384000.1

[iNFO] The file was moved to '4564eaf7.qua'!

C:\WINDOWS\System32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\BZU7N0P7\loader[1].exe

[DETECTION] Is the Trojan horse TR/Dldr.Adload.FX.2

[iNFO] The file was moved to '458eeb35.qua'!

C:\WINDOWS\System32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\HBZGLY5G\84785_redworld[1].exe

[DETECTION] Contains signature of the worm WORM/Rbot.384000.1

[iNFO] The file was moved to '4564eafd.qua'!

C:\WINDOWS\System32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\HBZGLY5G\desk[1].jpg

[0] Archive type: RAR SFX (self extracting)

--> service32.exe

[DETECTION] Is the Trojan horse TR/Clicker.Small.FU.Gen

--> dr.exe

[DETECTION] Is the Trojan horse TR/Dldr.Adload.fg

--> rm.exe

[DETECTION] Is the Trojan horse TR/Vundo.Gen

--> serv32.exe

[DETECTION] Is the Trojan horse TR/PCK.PolyCrypt.A.12

[iNFO] The file was moved to '45a0eb31.qua'!

C:\WINDOWS\System32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\HBZGLY5G\dfndrff_e[1].exe

[DETECTION] Is the Trojan horse TR/Dldr.DollarRev.B

[iNFO] The file was moved to '459beb34.qua'!

C:\WINDOWS\System32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\HBZGLY5G\DXC1205b[1].exe

[DETECTION] Is the Trojan horse TR/Dldr.DollarRev.F

[iNFO] The file was moved to '4570eb28.qua'!

C:\WINDOWS\System32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S37B0CBW\84785_redworld[1].exe

[DETECTION] Contains signature of the worm WORM/Rbot.384000.1

[iNFO] The file was moved to '4564eb07.qua'!

C:\WINDOWS\System32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S37B0CBW\kybrdff_e[2].exe

[DETECTION] Is the Trojan horse TR/Dldr.DollarRev.D

[iNFO] The file was moved to '458feb4e.qua'!

C:\WINDOWS\System32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S37B0CBW\nwnmff_e[1].exe

[DETECTION] Is the Trojan horse TR/Dldr.DollarRev.D

[iNFO] The file was moved to '459beb4e.qua'!

C:\WINDOWS\System32\drivers\fidbox.dat

[WARNING] The file could not be opened!

C:\WINDOWS\System32\drivers\fidbox.idx

[WARNING] The file could not be opened!

C:\WINDOWS\System32\drivers\fidbox2.dat

[WARNING] The file could not be opened!

C:\WINDOWS\System32\drivers\fidbox2.idx

[WARNING] The file could not be opened!

 

 

End of the scan: jeudi 12 octobre 2006 09:13

Used time: 02:41 min

 

The scan has been done completely.

 

252 Scanning directories

12300 Files were scanned

13 viruses and/or unwanted programs were found

0 files were deleted

0 files were repaired

10 files were moved to quarantine

0 files were renamed

4 Archives were scanned

14 Warnings

0 Notes

 

puis “My documents “: --------------------------------------------------------------------------------------------------------

AntiVir PersonalEdition Classic

Report file date: jeudi 12 octobre 2006 09:15

 

Scanning for 522603 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 1) [5.1.2600]

Username: Françoise

Computer name: NOM-W8KZ05N5F7S

 

Version information:

AVSCAN.EXE : 7.0.0.47 200744 21/08/2006 10:06:56

AVSCAN.DLL : 7.0.0.45 41000 07/09/2006 10:56:33

LUKE.DLL : 7.0.0.47 118824 07/09/2006 10:32:33

LUKERES.DLL : 7.0.0.47 9256 07/09/2006 10:56:33

ANTIVIR0.VDF : 6.35.0.1 7371264 31/05/2006 10:35:27

ANTIVIR1.VDF : 6.36.0.89 1745920 02/10/2006 10:33:23

ANTIVIR2.VDF : 6.36.0.90 2048 02/10/2006 10:33:23

ANTIVIR3.VDF : 6.36.0.96 62976 06/10/2006 10:33:23

AVEWIN32.DLL : 7.2.0.25 1860096 07/10/2006 10:33:23

AVPREF.DLL : 7.0.0.2 23592 24/07/2006 12:36:04

AVREP.DLL : 6.36.0.79 843816 07/10/2006 10:33:23

AVRPBASE.DLL : 7.0.0.0 2162728 30/03/2006 08:43:31

AVPACK32.DLL : 7.2.0.0 368680 21/07/2006 06:00:28

AVREG.DLL : 6.31.0.90 27688 28/07/2005 10:06:36

NETNT.DLL : 6.32.0.0 6696 27/09/2005 07:56:49

NETNW.DLL : 7.0.0.0 9768 24/07/2006 12:35:55

RCIMAGE.DLL : 7.0.0.74 1642536 01/08/2006 11:22:57

RCTEXT.DLL : 7.0.1.4 77864 07/10/2006 10:33:21

 

Configuration settings for the scan:

Jobname.......................: My Documents

Configuration file............: C:\Program Files\AntiVir PersonalEdition Classic\mydocs.avp

Boot sectors..................: C

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 1

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Macro heuristic...............: 1

File heuristic................: 0

Primary action................: 1

Secondary action..............: 0

 

Start of the scan: jeudi 12 octobre 2006 09:15

 

 

The scan of running processes will be started

20 Processes were scanned

 

Start scanning boot sectors:

 

Boot sector 'C:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( 42 files ).

 

 

Starting the file scan:

 

 

 

End of the scan: jeudi 12 octobre 2006 09:49

Used time: 34:58 min

 

The scan has been done completely.

 

2427 Scanning directories

227592 Files were scanned

0 viruses and/or unwanted programs were found

0 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

2509 Archives were scanned

0 Warnings

1 Notes

 

puis “ Manual selection”, en cochant tout : -----------------------------------------------------------------------------

AntiVir PersonalEdition Classic

Report file date: jeudi 12 octobre 2006 09:37

 

Scanning for 522603 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 1) [5.1.2600]

Username: Françoise

Computer name: NOM-W8KZ05N5F7S

 

Version information:

AVSCAN.EXE : 7.0.0.47 200744 21/08/2006 10:06:56

AVSCAN.DLL : 7.0.0.45 41000 07/09/2006 10:56:33

LUKE.DLL : 7.0.0.47 118824 07/09/2006 10:32:33

LUKERES.DLL : 7.0.0.47 9256 07/09/2006 10:56:33

ANTIVIR0.VDF : 6.35.0.1 7371264 31/05/2006 10:35:27

ANTIVIR1.VDF : 6.36.0.89 1745920 02/10/2006 10:33:23

ANTIVIR2.VDF : 6.36.0.90 2048 02/10/2006 10:33:23

ANTIVIR3.VDF : 6.36.0.96 62976 06/10/2006 10:33:23

AVEWIN32.DLL : 7.2.0.25 1860096 07/10/2006 10:33:23

AVPREF.DLL : 7.0.0.2 23592 24/07/2006 12:36:04

AVREP.DLL : 6.36.0.79 843816 07/10/2006 10:33:23

AVRPBASE.DLL : 7.0.0.0 2162728 30/03/2006 08:43:31

AVPACK32.DLL : 7.2.0.0 368680 21/07/2006 06:00:28

AVREG.DLL : 6.31.0.90 27688 28/07/2005 10:06:36

NETNT.DLL : 6.32.0.0 6696 27/09/2005 07:56:49

NETNW.DLL : 7.0.0.0 9768 24/07/2006 12:35:55

RCIMAGE.DLL : 7.0.0.74 1642536 01/08/2006 11:22:57

RCTEXT.DLL : 7.0.1.4 77864 07/10/2006 10:33:21

 

Configuration settings for the scan:

Jobname.......................: Manual Selection

Configuration file............: C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Boot sectors..................: A,C,D,F,G,H,I,J,K

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 1

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Macro heuristic...............: 1

File heuristic................: 0

Primary action................: 1

Secondary action..............: 0

 

Start of the scan: jeudi 12 octobre 2006 09:37

 

 

The scan of running processes will be started

21 Processes were scanned

 

Start scanning boot sectors:

 

Boot sector 'A:\'

[NOTE] In the drive 'A:\' no data medium is inserted!

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'D:\'

[NOTE] No virus was found!

Boot sector 'G:\'

[NOTE] In the drive 'G:\' no data medium is inserted!

Boot sector 'H:\'

[NOTE] In the drive 'H:\' no data medium is inserted!

Boot sector 'I:\'

[NOTE] In the drive 'I:\' no data medium is inserted!

Boot sector 'J:\'

[NOTE] In the drive 'J:\' no data medium is inserted!

 

Starting to scan the registry.

The registry was scanned ( 42 files ).

 

 

Starting the file scan:

 

The path A:\ could not be found!

Le périphérique n'est pas prêt.

 

C:\desk.exe

[0] Archive type: RAR SFX (self extracting)

--> service32.exe

[DETECTION] Is the Trojan horse TR/Clicker.Small.FU.Gen

--> dr.exe

[DETECTION] Is the Trojan horse TR/Dldr.Adload.fg

--> rm.exe

[DETECTION] Is the Trojan horse TR/Vundo.Gen

--> serv32.exe

[DETECTION] Is the Trojan horse TR/PCK.PolyCrypt.A.12

[iNFO] The file was moved to '45a0f116.qua'!

C:\hiberfil.sys

[WARNING] The file could not be opened!

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\Armande\Local Settings\Temporary Internet Files\Content.IE5\YLX6JEPS\desk[1].jpg

[0] Archive type: RAR SFX (self extracting)

--> service32.exe

[DETECTION] Is the Trojan horse TR/Clicker.Small.FU.Gen

--> dr.exe

[DETECTION] Is the Trojan horse TR/Dldr.Adload.fg

--> rm.exe

[DETECTION] Is the Trojan horse TR/Vundo.Gen

--> serv32.exe

[DETECTION] Is the Trojan horse TR/PCK.PolyCrypt.A.12

[iNFO] The file was moved to '45a0f23b.qua'!

C:\Documents and Settings\Bruno\Local Settings\Temporary Internet Files\Content.IE5\4TIFKXU3\desk[1].jpg

[0] Archive type: RAR SFX (self extracting)

--> service32.exe

[DETECTION] Is the Trojan horse TR/Clicker.Small.FU.Gen

--> dr.exe

[DETECTION] Is the Trojan horse TR/Dldr.Adload.fg

--> rm.exe

[DETECTION] Is the Trojan horse TR/Vundo.Gen

--> serv32.exe

[DETECTION] Is the Trojan horse TR/PCK.PolyCrypt.A.12

[iNFO] The file was moved to '45a0f326.qua'!

C:\Documents and Settings\Françoise\ntuser.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\Françoise\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\Françoise\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\Françoise\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\Laura\Local Settings\Temporary Internet Files\Content.IE5\BZU7N0P7\desk[1].jpg

[0] Archive type: RAR SFX (self extracting)

--> service32.exe

[DETECTION] Is the Trojan horse TR/Clicker.Small.FU.Gen

--> dr.exe

[DETECTION] Is the Trojan horse TR/Dldr.Adload.fg

--> rm.exe

[DETECTION] Is the Trojan horse TR/Vundo.Gen

--> serv32.exe

[DETECTION] Is the Trojan horse TR/PCK.PolyCrypt.A.12

[WARNING] An error has occurred and the file was not deleted. ErrorID: 16003

[WARNING] The file could not be deleted!

C:\Documents and Settings\Laura\Local Settings\Temporary Internet Files\Content.IE5\S37B0CBW\loader[1].exe

[DETECTION] Is the Trojan horse TR/Dldr.Adload.FX.2

[iNFO] The file was moved to '458f2c0c.qua'!

C:\Documents and Settings\LocalService\ntuser.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\LocalService\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\SDI70PGN\desk[2].jpg

[0] Archive type: RAR SFX (self extracting)

--> service32.exe

[DETECTION] Is the Trojan horse TR/Clicker.Small.FU.Gen

--> dr.exe

[DETECTION] Is the Trojan horse TR/Dldr.Adload.fg

--> rm.exe

[DETECTION] Is the Trojan horse TR/Vundo.Gen

--> serv32.exe

[DETECTION] Is the Trojan horse TR/PCK.PolyCrypt.A.12

[iNFO] The file was moved to '45a12c55.qua'!

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\SDI70PGN\desk[3].jpg

[0] Archive type: RAR SFX (self extracting)

--> service32.exe

[DETECTION] Is the Trojan horse TR/Clicker.Small.FU.Gen

--> dr.exe

[DETECTION] Is the Trojan horse TR/Dldr.Adload.fg

--> rm.exe

[DETECTION] Is the Trojan horse TR/Vundo.Gen

--> serv32.exe

[DETECTION] Is the Trojan horse TR/PCK.PolyCrypt.A.12

[iNFO] The file was moved to '45a12c5a.qua'!

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\SDI70PGN\loader[1].exe

[DETECTION] Is the Trojan horse TR/Dldr.VB.WM.1

[iNFO] The file was moved to '458f2c66.qua'!

C:\Documents and Settings\NetworkService\ntuser.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\Program Files\DeluxeCommunications\Dxc.exe

[DETECTION] Is the Trojan horse TR/Agent.134656

[iNFO] The file was moved to '45913538.qua'!

C:\Program Files\epson\EPSON PhotoQuicker3.5\Config\User\Armande.pq3

[WARNING] The file could not be opened!

C:\Program Files\epson\EPSON PhotoQuicker3.5\Config\User\BRUNO.pq3

[WARNING] The file could not be opened!

C:\Program Files\epson\EPSON PhotoQuicker3.5\Config\User\Laura.pq3

[WARNING] The file could not be opened!

C:\Program Files\epson\EPSON PhotoQuicker3.5\Config\User\Maureen.pq3

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\drivers\fidbox.dat

[WARNING] The file could not be opened!

C:\WINDOWS\system32\drivers\fidbox.idx

[WARNING] The file could not be opened!

C:\WINDOWS\system32\drivers\fidbox2.dat

[WARNING] The file could not be opened!

C:\WINDOWS\system32\drivers\fidbox2.idx

[WARNING] The file could not be opened!

C:\WINDOWS\Temp\it_0012.exe

[DETECTION] Is the Trojan horse TR/PCK.PolyCrypt.A.20

[iNFO] The file was moved to '458d453f.qua'!

C:\WINDOWS\Temp\syshost.exe

[DETECTION] Contains signature of the dropper DR/Agent.Y.3

[iNFO] The file was moved to '45a14547.qua'!

C:\WINDOWS\Temp\winsyst32.exe

[DETECTION] Is the Trojan horse TR/Click.Agent.HZ.9

[iNFO] The file was moved to '459c4538.qua'!

C:\WINDOWS\Temp\ZLT0184f.TMP

[WARNING] The file could not be opened!

C:\WINDOWS\Temp\ZLT01853.TMP

[WARNING] The file could not be opened!

The path F:\ could not be found!

Le périphérique n'est pas prêt.

 

The path G:\ could not be found!

Le périphérique n'est pas prêt.

 

The path H:\ could not be found!

Le périphérique n'est pas prêt.

 

The path I:\ could not be found!

Le périphérique n'est pas prêt.

 

The path J:\ could not be found!

Le périphérique n'est pas prêt.

 

The path K:\ could not be found!

Le périphérique n'est pas prêt.

 

 

 

End of the scan: jeudi 12 octobre 2006 15:50

Used time: 6:13:50 min

 

The scan has been done completely.

 

10415 Scanning directories

719546 Files were scanned

30 viruses and/or unwanted programs were found

0 files were deleted

0 files were repaired

11 files were moved to quarantine

0 files were renamed

18516 Archives were scanned

37 Warnings

1 Notes

 

puis « Local hard disk » : ----------------------------------------------------------------------------------------------------

AntiVir PersonalEdition Classic

Report file date: jeudi 12 octobre 2006 12:00

 

Scanning for 522603 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 1) [5.1.2600]

Username: SYSTEM

Computer name: NOM-W8KZ05N5F7S

 

Version information:

AVSCAN.EXE : 7.0.0.47 200744 21/08/2006 10:06:56

AVSCAN.DLL : 7.0.0.45 41000 07/09/2006 10:56:33

LUKE.DLL : 7.0.0.47 118824 07/09/2006 10:32:33

LUKERES.DLL : 7.0.0.47 9256 07/09/2006 10:56:33

ANTIVIR0.VDF : 6.35.0.1 7371264 31/05/2006 10:35:27

ANTIVIR1.VDF : 6.36.0.89 1745920 02/10/2006 10:33:23

ANTIVIR2.VDF : 6.36.0.90 2048 02/10/2006 10:33:23

ANTIVIR3.VDF : 6.36.0.96 62976 06/10/2006 10:33:23

AVEWIN32.DLL : 7.2.0.25 1860096 07/10/2006 10:33:23

AVPREF.DLL : 7.0.0.2 23592 24/07/2006 12:36:04

AVREP.DLL : 6.36.0.79 843816 07/10/2006 10:33:23

AVRPBASE.DLL : 7.0.0.0 2162728 30/03/2006 08:43:31

AVPACK32.DLL : 7.2.0.0 368680 21/07/2006 06:00:28

AVREG.DLL : 6.31.0.90 27688 28/07/2005 10:06:36

NETNT.DLL : 6.32.0.0 6696 27/09/2005 07:56:49

NETNW.DLL : 7.0.0.0 9768 24/07/2006 12:35:55

RCIMAGE.DLL : 7.0.0.74 1642536 01/08/2006 11:22:57

RCTEXT.DLL : 7.0.1.4 77864 07/10/2006 10:33:21

 

Configuration settings for the scan:

Jobname.......................: Local Hard Disks

Configuration file............: C:\Program Files\AntiVir PersonalEdition Classic\alldiscs.avp

Boot sectors..................: C,D

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 1

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Macro heuristic...............: 1

File heuristic................: 0

Primary action................: 1

Secondary action..............: 0

 

Start of the scan: jeudi 12 octobre 2006 12:00

 

 

The scan of running processes will be started

38 Processes were scanned

 

Start scanning boot sectors:

 

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'D:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( 36 files ).

 

 

Starting the file scan:

 

C:\hiberfil.sys

[WARNING] The file could not be opened!

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\Françoise\ntuser.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\Françoise\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\Françoise\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\Françoise\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\Laura\Local Settings\Temporary Internet Files\Content.IE5\BZU7N0P7\desk[1].jpg

[0] Archive type: RAR SFX (self extracting)

--> service32.exe

[DETECTION] Is the Trojan horse TR/Clicker.Small.FU.Gen

--> dr.exe

[DETECTION] Is the Trojan horse TR/Dldr.Adload.fg

--> rm.exe

[DETECTION] Is the Trojan horse TR/Vundo.Gen

--> serv32.exe

[DETECTION] Is the Trojan horse TR/PCK.PolyCrypt.A.12

[iNFO] The file was moved to '45a12ba6.qua'!

C:\Documents and Settings\LocalService\ntuser.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\LocalService\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\ntuser.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\System Volume Information\_restore{71098F3C-A1EB-4A91-B548-B2C12F310422}\RP1\A0002142.dll

[DETECTION] Is the Trojan horse TR/Vundo.Gen

[iNFO] The file was moved to '455e4789.qua'!

C:\System Volume Information\_restore{71098F3C-A1EB-4A91-B548-B2C12F310422}\RP1\A0002144.exe

[0] Archive type: RAR SFX (self extracting)

--> service32.exe

[DETECTION] Is the Trojan horse TR/Clicker.Small.FU.Gen

--> dr.exe

[DETECTION] Is the Trojan horse TR/Dldr.Adload.fg

--> rm.exe

[DETECTION] Is the Trojan horse TR/Vundo.Gen

--> serv32.exe

[DETECTION] Is the Trojan horse TR/PCK.PolyCrypt.A.12

[iNFO] The file was moved to '455e47ac.qua'!

C:\System Volume Information\_restore{71098F3C-A1EB-4A91-B548-B2C12F310422}\RP1\A0002162.exe

[DETECTION] Is the Trojan horse TR/Agent.134656

[iNFO] The file was moved to '455e4817.qua'!

C:\WINDOWS\system32\config\default

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\drivers\fidbox.dat

[WARNING] The file could not be opened!

C:\WINDOWS\system32\drivers\fidbox.idx

[WARNING] The file could not be opened!

C:\WINDOWS\system32\drivers\fidbox2.dat

[WARNING] The file could not be opened!

C:\WINDOWS\system32\drivers\fidbox2.idx

[WARNING] The file could not be opened!

C:\WINDOWS\Temp\ZLT0184f.TMP

[WARNING] The file could not be opened!

C:\WINDOWS\Temp\ZLT01853.TMP

[WARNING] The file could not be opened!

 

 

End of the scan: jeudi 12 octobre 2006 16:22

Used time: 4:22:53 min

 

The scan has been done completely.

 

10421 Scanning directories

720924 Files were scanned

10 viruses and/or unwanted programs were found

0 files were deleted

0 files were repaired

4 files were moved to quarantine

0 files were renamed

18520 Archives were scanned

32 Warnings

1 Notes

 

enfin, « Removal drives » : --------------------------------------------------------------------------------------------------

AntiVir PersonalEdition Classic

Report file date: jeudi 12 octobre 2006 16:02

 

Scanning for 522603 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 1) [5.1.2600]

Username: Françoise

Computer name: NOM-W8KZ05N5F7S

 

Version information:

AVSCAN.EXE : 7.0.0.47 200744 21/08/2006 10:06:56

AVSCAN.DLL : 7.0.0.45 41000 07/09/2006 10:56:33

LUKE.DLL : 7.0.0.47 118824 07/09/2006 10:32:33

LUKERES.DLL : 7.0.0.47 9256 07/09/2006 10:56:33

ANTIVIR0.VDF : 6.35.0.1 7371264 31/05/2006 10:35:27

ANTIVIR1.VDF : 6.36.0.89 1745920 02/10/2006 10:33:23

ANTIVIR2.VDF : 6.36.0.90 2048 02/10/2006 10:33:23

ANTIVIR3.VDF : 6.36.0.96 62976 06/10/2006 10:33:23

AVEWIN32.DLL : 7.2.0.25 1860096 07/10/2006 10:33:23

AVPREF.DLL : 7.0.0.2 23592 24/07/2006 12:36:04

AVREP.DLL : 6.36.0.79 843816 07/10/2006 10:33:23

AVRPBASE.DLL : 7.0.0.0 2162728 30/03/2006 08:43:31

AVPACK32.DLL : 7.2.0.0 368680 21/07/2006 06:00:28

AVREG.DLL : 6.31.0.90 27688 28/07/2005 10:06:36

NETNT.DLL : 6.32.0.0 6696 27/09/2005 07:56:49

NETNW.DLL : 7.0.0.0 9768 24/07/2006 12:35:55

RCIMAGE.DLL : 7.0.0.74 1642536 01/08/2006 11:22:57

RCTEXT.DLL : 7.0.1.4 77864 07/10/2006 10:33:21

 

Configuration settings for the scan:

Jobname.......................: Removable Drives

Configuration file............: C:\Program Files\AntiVir PersonalEdition Classic\rmdiscs.avp

Boot sectors..................: A,G,H,I,J,L,F,K

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 1

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Macro heuristic...............: 1

File heuristic................: 0

Primary action................: 1

Secondary action..............: 0

 

Start of the scan: jeudi 12 octobre 2006 16:02

 

 

The scan of running processes will be started

21 Processes were scanned

 

Start scanning boot sectors:

 

Boot sector 'A:\'

[NOTE] In the drive 'A:\' no data medium is inserted!

Boot sector 'G:\'

[NOTE] In the drive 'G:\' no data medium is inserted!

Boot sector 'H:\'

[NOTE] In the drive 'H:\' no data medium is inserted!

Boot sector 'I:\'

[NOTE] In the drive 'I:\' no data medium is inserted!

Boot sector 'J:\'

[NOTE] In the drive 'J:\' no data medium is inserted!

Boot sector 'L:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( 42 files ).

 

 

Starting the file scan:

 

The path A:\ could not be found!

Le périphérique n'est pas prêt.

 

The path G:\ could not be found!

Le périphérique n'est pas prêt.

 

The path H:\ could not be found!

Le périphérique n'est pas prêt.

 

The path I:\ could not be found!

Le périphérique n'est pas prêt.

 

The path J:\ could not be found!

Le périphérique n'est pas prêt.

 

The path F:\ could not be found!

Le périphérique n'est pas prêt.

 

The path K:\ could not be found!

Le périphérique n'est pas prêt.

 

 

 

End of the scan: jeudi 12 octobre 2006 16:02

Used time: 00:37 min

 

The scan has been done completely.

 

10 Scanning directories

915 Files were scanned

0 viruses and/or unwanted programs were found

0 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

10 Archives were scanned

0 Warnings

0 Notes

 

ouf ! --------------------------------------------------------------------------------------------------------------------------------

J’ai aussi trouvé 3 « Updates » : Upd-20066-10-12-11-50-6.log est le + récent. Mais est-ce que ça sert ? je les ai gardés

Bon courage à toi pour déchiffrer ça !

 

à +

Modifié le 12 octobre 2006 par francoise79

[Malekal_morte]

On finit d'abord la désinfection.

Je répondrais aux questions ensuite!

 

 

- Télécharge DiagHelp.zip sur ton bureau

- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout

- Un nouveau dossier chercher va être créé DiagHelp

- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)

- Une fenêtre va s'ouvrir, choisis l'option 1

- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande

- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :

-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout

-- A nouveau menu Edition / copier

-- Dans un nouveau message ici, faire un clic droit / coller

 

______

 

Ouvre internet explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut".

Toujours sur Internet explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut".

 

Pour effectuer les scans, désactive ton antivirus, logiciels de protections et logiciels pouvant bloquer les popups (barres Google, barres Yahoo etc..).

 

Scan en ligne avec Kaspersky :

- Fais un Scan en ligne sur Kaspersky en utilisant Internet Explorer et pas firefox, ça ne marchera pas!.

- Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

- Scan la zone critique

- Copie/colle le rapport du scan ici

 

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

 

 

ET :

 

- Fais un scan avec panda en désactivant ton antivirus pendant le scan!

(Si tu es perdu, tu peux suivre cette aide pour les scans en ligne)

- Copie/colle le rapport panda ici

[francoise79]

Bonsoir malekal

 

J'ai connecté l'autre ordi de la maison à internet, ça sera quand même moins galère.

Pour ne pas renouveller les c..., celui-là a reçu : Mozilla + Antivir + ZoneAlarm (mais c'est celui que j'avais chargé par ma clé) + Terminator anti-spyware, et Kaperski a été désinstallé.

 

Tu me dis:

S

can en ligne avec

K

a

s

per

s

k

y :

- Fai

s

un

S

can en ligne

s

ur

K

a

s

per

s

k

y

en utili

s

ant Internet Explorer

et pa

s

firefox,

ç

a ne marchera pa

s

!.

-

S

i tu e

s

perdu, tu peux

s

uivre

cette aide pour le

s

s

can

s

en ligne

ET :

- Fai

s

un

s

can avec panda

en

d

é

s

activant

ton antiviru

s

pendant le

s

can!

(

S

i tu e

s

perdu, tu peux

s

uivre

cette aide pour le

s

s

can

s

en ligne

)

 

euh ... stp, comment je fais un scan en ligne à mon pc qui n'est pas sur internet ?

 

a+