Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Problème + rapport HijackThis

HayPo

Par HayPo
dans Analyses et éradication malwares

 Partager

Messages recommandés

HayPo Member

HayPo

Posté(e)
Posté(e) (modifié)

Bonjour à tous.

J'ai un probleme.

J'essaie de faire le hijackthis et de faire la procédure de préhijackthis, mais en mode sans echec explorer refuse de marcher, il se coupe à chaque fois que je le lance, et je ne peux donc pas toucher à l'option des fichiers.

Y a-t-il une commande pour l'option des fichiers ?

 

J'ai tout de même pu faire une analyse avec antivir, et il detecte tr/vundo.gen et il ne peut pas le supprimer apparemment.

 

Les problemes qui m'avaient poussé à faire cette démarche etaient, que lors de l'ouverture d'une page internet avec firefox ou ie, j'avais un popup de systemdoctor ou de winantirus2006.

 

Que dois-je faire ?

 

Merci d'avance.

Modifié par HayPo
Lien vers le commentaire
Partager sur d’autres sites

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut et bienvenue sur le forum :P

 

HayPo commence par poster ton rapport en mode normal =>

  • Télécharger la dernière version d'HijackThis
     
  • Installation et utilisation d'HijackThis=>
  • Créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.
    Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
  • Renomme le fichier HijackThis.exe en HayPo.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste
  • Arrêter tous les programmes en cours et fermer toutes les fenêtres
     
  • Lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

NB : en cas de problème, appliquer le Tutorial de BipBip avec copies d'écran.

 

ajoutes y le rapport d'Antivir stp :P

Lien vers le commentaire
Partager sur d’autres sites
HayPo Member

HayPo

Posté(e)
  • Auteur
Posté(e) (modifié)

Merci pour ton accueil.

 

Voici donc le log de HijackThis et le report d'Antivir

 

HijackThis

 

Logfile of HijackThis v1.99.1

Scan saved at 22:25:15, on 11/10/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\system32\HPConfig.exe

C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\IBM\CLIENT~1\cwbbs.exe

C:\PROGRA~1\IBM\CLIENT~1\cwbntred.exe

C:\WINDOWS\System32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\IBM\Client Access\CWBPROVD.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\IBM\Client Access\cwbuitsk.exe

C:\Program Files\IBM\Client Access\CWBSVD.EXE

C:\WINDOWS\System32\carpserv.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\HijackThis\HayPo.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/2Q00CPT/040C/bF8.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

F2 - REG:system.ini: UserInit=C:\PROGRA~1\IBM\CLIENT~1\cwbbs.exe,C:\PROGRA~1\IBM\CLIENT~1\cwbntred.exe,C:\PROGRA~1\IBM\CLIENT~1\cwbprovd.exe,C:\WINDOWS\system32\userinit.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - C:\WINDOWS\System32\ooqfxunq.dll (file missing)

O2 - BHO: (no name) - {FE88C3A7-D7A5-4A18-9172-A7A937F8F50F} - C:\WINDOWS\System32\khfcy.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe

O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE

O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [Client Access Taskbar] "C:\Program Files\IBM\Client Access\cwbuitsk.exe"

O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\CwbSvStr.Exe"

O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"

O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN

O4 - HKLM\..\Run: [Client Access API Daemon] "C:\Program Files\IBM\Client Access\cwbappcd.exe"

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) - http://www.canalplay.com/cabs/msway44.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{66BA0353-1721-4B1B-A7CB-EF346A49DFAB}: NameServer = 194.133.14.66,194.133.125.66

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: khfcy - C:\WINDOWS\System32\khfcy.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: Commande à distance de Client Access (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe

O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe

O23 - Service: Microsoft Security Login Service - Unknown owner - C:\WINDOWS\System32\dllcache\mssecure32.exe (file missing)

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: Windows Atapi Driver - Unknown owner - C:\WINDOWS\atapi32.exe (file missing)

O23 - Service: Windows USB Bus Driver - Unknown owner - C:\WINDOWS\ecRecvr.exe (file missing)

 

 

 

 

Antivir

 

AntiVir PersonalEdition Classic

Report file date: mercredi 11 octobre 2006 20:55

 

Scanning for 495093 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (plain) [5.1.2600]

Username: berthuit

Computer name: XXXX

 

Version information:

AVSCAN.EXE : 7.0.0.47 200744 21/08/2006 10:06:56

AVSCAN.DLL : 7.0.0.45 41000 07/09/2006 10:56:33

LUKE.DLL : 7.0.0.47 118824 07/09/2006 10:32:33

LUKERES.DLL : 7.0.0.47 9256 07/09/2006 10:56:33

ANTIVIR0.VDF : 6.35.0.1 7371264 31/05/2006 10:35:27

ANTIVIR1.VDF : 6.36.0.9 1424384 06/09/2006 07:12:24

ANTIVIR2.VDF : 6.36.0.10 2048 06/09/2006 07:12:26

ANTIVIR3.VDF : 6.36.0.11 2048 06/09/2006 07:12:28

AVEWIN32.DLL : 7.2.0.14 1827328 04/09/2006 14:23:26

AVPREF.DLL : 7.0.0.2 23592 24/07/2006 12:36:04

AVREP.DLL : 6.36.0.3 794664 06/09/2006 08:04:08

AVRPBASE.DLL : 7.0.0.0 2162728 30/03/2006 08:43:31

AVPACK32.DLL : 7.2.0.0 368680 21/07/2006 06:00:28

AVREG.DLL : 6.31.0.90 27688 28/07/2005 10:06:36

NETNT.DLL : 6.32.0.0 6696 27/09/2005 07:56:49

NETNW.DLL : 7.0.0.0 9768 24/07/2006 12:35:55

RCIMAGE.DLL : 7.0.0.74 1642536 01/08/2006 11:22:57

RCTEXT.DLL : 7.0.0.107 77864 07/09/2006 10:56:32

 

Configuration settings for the scan:

Jobname.......................: Local Drives

Configuration file............: C:\Program Files\AntiVir PersonalEdition Classic\alldrives.avp

Boot sectors..................: C,D,E,A,J

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 2

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Macro heuristic...............: 1

File heuristic................: 0

Primary action................: 1

Secondary action..............: 0

 

Start of the scan: mercredi 11 octobre 2006 20:55

 

 

The scan of running processes will be started

5 Processes were scanned

 

Start scanning boot sectors:

 

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'D:\'

[NOTE] No virus was found!

Boot sector 'E:\'

[NOTE] No virus was found!

Boot sector 'A:\'

[NOTE] In the drive 'A:\' no data medium is inserted!

 

Starting to scan the registry.

The registry was scanned ( 22 files ).

 

 

Starting the file scan:

 

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp

[WARNING] The file could not be opened!

C:\Documents and Settings\berthuit\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\berthuit\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\berthuit\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\berthuit\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\UDEF4HU7\wack[1].exe

[0] Archive type: RAR SFX (self extracting)

--> rmsyrup.exe

[DETECTION] Is the Trojan horse TR/Vundo.Gen

[iNFO] The file was deleted!

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\UDEF4HU7\wack[2].exe

[0] Archive type: RAR SFX (self extracting)

--> rmsyrup.exe

[DETECTION] Is the Trojan horse TR/Vundo.Gen

[iNFO] The file was deleted!

C:\WINDOWS\system32\khfcy.dll

[DETECTION] Is the Trojan horse TR/Vundo.Gen

[WARNING] The file could not be deleted!

C:\WINDOWS\system32\config\default

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\DEFAULT.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\sam

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\security

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SOFTWARE.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SYSTEM.LOG

[WARNING] The file could not be opened!

The path A:\ could not be found!

Le périphérique n'est pas prêt.

 

The path J:\ could not be found!

Le périphérique n'est pas prêt.

 

 

 

End of the scan: mercredi 11 octobre 2006 21:27

Used time: 32:53 min

 

The scan has been done completely.

 

 

2700 Scanning directories

119077 Files were scanned

3 viruses and/or unwanted programs were found

2 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

938 Archives were scanned

17 Warnings

3 Notes

 

Merci de ton attention.

Modifié par HayPo
Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut :P

 

ok plusieurs infections en perspective! commence comme ceci stp =>

 

Télécharge combofix.exe de sUBs

  • Assure toi que tous les programmes sont fermés avant de lancer le fix!
  • Fait un double clique sur combofix.exe.
  • Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  • Tape sur la touche Y (Yes) pour démarrer le scan.
  • Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  • Si le rapport est trop long, poste le en deux fois.

Avec ceci reposte un nouveau rapport hijackthis stp.

 

Deux remarques: il y a trois antivirus actifs sur ton pc : il va falloir en désinstaller deux ,sinon gros risques de plantages en perspective!!

Ton windows est vierge de toute mise à jour et donc particulièrement vulnérable aux attaques!!!On verra ca quand le pc sera propre (pas avant!!)

Télécharge et installe vite un parefeu car tu n'en a pas : c'est la principale protection d'un pc!!(sinon le pc sera réinfecté en moins de 2) =>

 

Voila quelques liens pour des pare-feux gratuits

 

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://www.zonelabs.com/store/content/cata...&lid=nav_za

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Kerio (2 versions également)

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

 

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen (lien site) : http://benoit.aun.free.fr/securite-facile-php/jetico.php

Tuto de Odsen (lien zeb) : http://forum.zebulon.fr/index.php?showtopic=93489

 

Outpost firewall free

Lien de téléchargement éditeur : http://www.agnitum.com/products/outpostfree/download.php

Tuto de Odsen (lien site) : http://securite-facile.ovh.org/jetico.php

 

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Déconnecte toi, débranche physiquement ta connexion, et lance l'installation de ton pare-feu. Puis reconnecte toi et suis les instructions supplémentaires s'il y en a. Aide toi des tutos.

 

Je te conseille Zone Alarme en version gratuite pour commencer(marche bien avec Antivir), tu pourras en changer par la suite pour un pare-feu plus élaboré quand tu auras le temps de t'y plonger. Le ralentissement occasionné par un pare-feu est minime lorsque celui-ci est bien configuré, et il est garant de ta tranquilité -> tu seras en permanence à te battre avec les infections sinon, ou à formater.

 

@+

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites
HayPo Member

HayPo

Posté(e)
  • Auteur
Posté(e)

Salut :P

 

Merci de me guider, je m'attaque tout de suite à tes instructions.

Mais en aparté, mon non démarrage en mode sans echec est dû à ces 3 virus actifs ?

 

Je poste des que j'ai effectué le combofix et un hijackthis.

Lien vers le commentaire
Partager sur d’autres sites
HayPo Member

HayPo

Posté(e)
  • Auteur
Posté(e) (modifié)

Voici les Deux logs

 

ComboFix

 

ComboFix 06.10.12 - Running from: "C:\Documents and Settings\berthuit\Bureau"

 

((((((((((((((((((((((((((((((( Files Created from 2006-09-12 to 2006-10-12 ))))))))))))))))))))))))))))))))))

 

 

2006-10-11 20:48 57,384 --a------ C:\WINDOWS\system32\avsda.dll

2006-10-11 20:48 32,768 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys

2006-10-11 20:48 14,848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys

2006-10-11 10:40 676,700 ---hs---- C:\WINDOWS\system32\ycfhk.ini2

2006-10-04 06:29 8,704 --a------ C:\WINDOWS\system32\kbdjpn.dll

2006-10-04 06:29 8,192 --a------ C:\WINDOWS\system32\kbdkor.dll

2006-10-04 06:29 6,144 --a------ C:\WINDOWS\system32\kbd106.dll

2006-10-04 06:29 6,144 --a------ C:\WINDOWS\system32\kbd101c.dll

2006-10-04 06:29 6,144 --a------ C:\WINDOWS\system32\kbd101b.dll

2006-10-04 06:29 5,632 --a------ C:\WINDOWS\system32\kbd103.dll

2006-10-04 06:23 502,368 --a------ C:\WINDOWS\system32\drivers\amon.sys

2006-10-04 06:23 274,432 --a------ C:\WINDOWS\system32\imon.dll

2006-10-04 06:05 795,453 ---hs---- C:\WINDOWS\system32\ycfhk.bak2

2006-10-03 19:20 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys

2006-10-03 13:07 802,014 ---hs---- C:\WINDOWS\system32\ycfhk.bak1

2006-10-03 13:07 143,380 --a------ C:\WINDOWS\system32\eovkgthj.exe

2006-10-03 13:06 577,588 --------- C:\WINDOWS\system32\khfcy.dll

2006-10-03 09:23 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

 

 

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

2006-10-12 13:17 -------- d-------- C:\Documents and Settings\berthuit\Application Data\uTorrent

2006-10-12 12:45 17944 --a------ C:\Documents and Settings\berthuit\Application Data\GDIPFONTCACHEV1.DAT

2006-10-12 12:05 -------- d-------- C:\Program Files\Mozilla Firefox

2006-10-11 22:25 -------- d-------- C:\Program Files\HijackThis

2006-10-11 20:48 -------- d-------- C:\Program Files\AntiVir PersonalEdition Classic

2006-10-09 21:35 -------- d-------- C:\Program Files\Wanadoo

2006-10-09 01:50 -------- d-------- C:\Program Files\ESET

2006-10-03 19:00 -------- d---s---- C:\Documents and Settings\berthuit\Application Data\Microsoft

2006-10-02 20:45 -------- d-------- C:\Program Files\FlashFXP

2006-10-02 19:59 -------- d-------- C:\Program Files\Soft4Ever

2006-10-02 19:55 -------- d-------- C:\Program Files\Free

2006-10-02 19:55 -------- d-------- C:\Program Files\Adobe

2006-09-30 19:25 -------- d-------- C:\Program Files\MSXML 4.0

2006-09-02 04:39 -------- d-------- C:\Program Files\PartyGaming

2006-08-30 10:14 -------- d-------- C:\Program Files\Fichiers communs\Sony Shared

 

 

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

 

*Note* empty entries are not shown

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]

"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

"nod32kui"="\"C:\\Program Files\\Eset\\nod32kui.exe\" /WAITSERVICE"

"MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto"

"SynTPLpr"="C:\\Program Files\\Synaptics\\SynTP\\SynTPLpr.exe"

"SynTPEnh"="C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe"

"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe"

"srmclean"="C:\\Cpqs\\Scom\\srmclean.exe"

"QT4HPOT"="C:\\PROGRA~1\\HPQ\\ONE-TO~1\\OneTouch.EXE"

"PreloadApp"="c:\\hp\\drivers\\printers\\photosmart\\hphprld.exe c:\\hp\\drivers\\printers\\photosmart\\setup.exe -d"

"KernelFaultCheck"="%systemroot%\\system32\\dumprep 0 -k"

"Display Settings"="C:\\Program Files\\HPQ\\Notebook Utilities\\hptasks.exe /s"

"Cpqset"="C:\\Program Files\\HPQ\\Default Settings\\cpqset.exe"

"Client Access Taskbar"="\"C:\\Program Files\\IBM\\Client Access\\cwbuitsk.exe\""

"Client Access Service"="\"C:\\Program Files\\IBM\\Client Access\\CwbSvStr.Exe\""

"Client Access Help Update"="\"C:\\Program Files\\IBM\\Client Access\\cwbinhlp.exe\""

"Client Access Check Version"="\"C:\\Program Files\\IBM\\Client Access\\cwbckver.exe\" LOGIN"

"Client Access API Daemon"="\"C:\\Program Files\\IBM\\Client Access\\cwbappcd.exe\""

"CARPService"="carpserv.exe"

"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"

"ATIModeChange"="Ati2mdxx.exe"

"avgnt"="\"C:\\Program Files\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]

"Installed"="1"

"NoChange"="1"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]

"Installed"="1"

 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]

"DeskHtmlVersion"=dword:00000110

"DeskHtmlMinorVersion"=dword:00000005

"Settings"=dword:00000001

"GeneralFlags"=dword:00000001

 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

"Flags"=dword:00000002

"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\

00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00

"CurrentState"=hex:04,00,00,40

"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\

ff,ff,04,00,00,00

"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\

00,00,01,00,00,00

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

 

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]

"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoDriveTypeAutoRun"=hex:95,00,00,00

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoDriveTypeAutoRun"=dword:00000091

 

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]

"NoDriveTypeAutoRun"=dword:00000091

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]

"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"

"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"

"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"

"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^EPSON Status Monitor 3 Environment Check(3).lnk]

"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\EPSON Status Monitor 3 Environment Check(3).lnk"

"backup"="C:\\WINDOWS\\pss\\EPSON Status Monitor 3 Environment Check(3).lnkCommon Startup"

"location"="Common Startup"

"command"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\E_SRCV03.EXE "

"item"="EPSON Status Monitor 3 Environment Check(3)"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]

"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\Microsoft Office.lnk"

"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"

"location"="Common Startup"

"command"="C:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l"

"item"="Microsoft Office"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk]

"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk"

"backup"="C:\\WINDOWS\\pss\\Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnkCommon Startup"

"location"="Common Startup"

"command"="C:\\PROGRA~1\\SAGEMW~1.11G\\WLANUTL.exe "

"item"="Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="MsnMsgr"

"hkey"="HKCU"

"command"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOKIT]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="Shell"

"hkey"="HKCU"

"command"="C:\\PROGRA~1\\Wanadoo\\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM="

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="GestMaj"

"hkey"="HKLM"

"command"="C:\\PROGRA~1\\Wanadoo\\GestMaj.exe TaskBarIcon.exe"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="Watch"

"hkey"="HKLM"

"command"="C:\\PROGRA~1\\Wanadoo\\Watch.exe"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"AVGEMS"=dword:00000002

"avast! Web Scanner"=dword:00000003

"avast! Mail Scanner"=dword:00000003

"avast! Antivirus"=dword:00000002

"aswUpdSv"=dword:00000002

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfcy

 

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders

securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll

 

 

Completion time: 06-10-12 13:20:40.45

ComboFix.txt

 

 

HijackThis

 

Logfile of HijackThis v1.99.1

Scan saved at 13:21:52, on 12/10/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\PROGRA~1\IBM\CLIENT~1\cwbbs.exe

C:\PROGRA~1\IBM\CLIENT~1\cwbntred.exe

C:\WINDOWS\System32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\IBM\Client Access\CWBPROVD.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\IBM\Client Access\cwbuitsk.exe

C:\Program Files\IBM\Client Access\CWBSVD.EXE

C:\WINDOWS\System32\carpserv.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\system32\HPConfig.exe

C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\HijackThis\HayPo.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/2Q00CPT/040C/bF8.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

F2 - REG:system.ini: UserInit=C:\PROGRA~1\IBM\CLIENT~1\cwbbs.exe,C:\PROGRA~1\IBM\CLIENT~1\cwbntred.exe,C:\PROGRA~1\IBM\CLIENT~1\cwbprovd.exe,C:\WINDOWS\system32\userinit.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - C:\WINDOWS\System32\ooqfxunq.dll (file missing)

O2 - BHO: (no name) - {F8ADA84D-4786-49A1-B5AA-FE0225BDDCDB} - C:\WINDOWS\System32\khfcy.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe

O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE

O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [Client Access Taskbar] "C:\Program Files\IBM\Client Access\cwbuitsk.exe"

O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\CwbSvStr.Exe"

O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"

O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN

O4 - HKLM\..\Run: [Client Access API Daemon] "C:\Program Files\IBM\Client Access\cwbappcd.exe"

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) - http://www.canalplay.com/cabs/msway44.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{66BA0353-1721-4B1B-A7CB-EF346A49DFAB}: NameServer = 194.133.14.66,194.133.125.66

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: khfcy - C:\WINDOWS\System32\khfcy.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: Commande à distance de Client Access (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe

O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe

O23 - Service: Microsoft Security Login Service - Unknown owner - C:\WINDOWS\System32\dllcache\mssecure32.exe (file missing)

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: Windows Atapi Driver - Unknown owner - C:\WINDOWS\atapi32.exe (file missing)

O23 - Service: Windows USB Bus Driver - Unknown owner - C:\WINDOWS\ecRecvr.exe (file missing)

 

 

Bonne chance s'il en faut :P

 

Tu me diras si le post était trop long que je coupe mes prochains rapports.

Modifié par HayPo
Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut

 

Combofix n'a pas fonctionné manifestement!On va utiliser un autre programme =>

 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

  • Double-clique VundoFix.exe afin de le lancer
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

 

Mais en aparté, mon non démarrage en mode sans echec est dû à ces 3 virus actifs ?

Non, je ne pense pas! ca donne quoi exactement quand tu lances le mode sans échec?

 

@+ :P

Lien vers le commentaire
Partager sur d’autres sites
HayPo Member

HayPo

Posté(e)
  • Auteur
Posté(e)

Re.

 

Alors voici le log de vundofix et le hijackthis.

 

Je dois dire que le vundofix a été éfficace, c'est cool.

 

VundoFix

 

VundoFix V6.2.1

 

Checking Java version...

 

Java version is 1.5.0.6

 

Scan started at 21:28:34 12/10/2006

 

Listing files found while scanning....

 

C:\WINDOWS\system32\eovkgthj.exe

C:\WINDOWS\System32\khfcy.dll

C:\WINDOWS\System32\ycfhk.ini

C:\WINDOWS\System32\ycfhk.bak1

C:\WINDOWS\System32\ycfhk.bak2

C:\WINDOWS\System32\ycfhk.ini2

C:\WINDOWS\System32\ycfhk.tmp

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\eovkgthj.exe

C:\WINDOWS\system32\eovkgthj.exe Has been deleted!

 

Attempting to delete C:\WINDOWS\System32\khfcy.dll

C:\WINDOWS\System32\khfcy.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\System32\ycfhk.ini

C:\WINDOWS\System32\ycfhk.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\System32\ycfhk.bak1

C:\WINDOWS\System32\ycfhk.bak1 Has been deleted!

 

Attempting to delete C:\WINDOWS\System32\ycfhk.bak2

C:\WINDOWS\System32\ycfhk.bak2 Has been deleted!

 

Attempting to delete C:\WINDOWS\System32\ycfhk.ini2

C:\WINDOWS\System32\ycfhk.ini2 Has been deleted!

 

Attempting to delete C:\WINDOWS\System32\ycfhk.tmp

C:\WINDOWS\System32\ycfhk.tmp Has been deleted!

 

Performing Repairs to the registry.

Done!

 

VundoFix V6.2.1

 

Checking Java version...

 

Java version is 1.5.0.6

 

Scan started at 22:05:24 12/10/2006

 

Listing files found while scanning....

 

No infected files were found.

 

 

HijackThis

 

Logfile of HijackThis v1.99.1

Scan saved at 22:28:35, on 12/10/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\system32\HPConfig.exe

C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\IBM\CLIENT~1\cwbbs.exe

C:\PROGRA~1\IBM\CLIENT~1\cwbntred.exe

C:\WINDOWS\System32\WgaTray.exe

C:\Program Files\IBM\Client Access\CWBPROVD.EXE

C:\WINDOWS\Explorer.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\IBM\Client Access\cwbuitsk.exe

C:\Program Files\IBM\Client Access\CWBSVD.EXE

C:\WINDOWS\System32\carpserv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\HijackThis\HayPo.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/2Q00CPT/040C/bF8.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

F2 - REG:system.ini: UserInit=C:\PROGRA~1\IBM\CLIENT~1\cwbbs.exe,C:\PROGRA~1\IBM\CLIENT~1\cwbntred.exe,C:\PROGRA~1\IBM\CLIENT~1\cwbprovd.exe,C:\WINDOWS\system32\userinit.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - C:\WINDOWS\System32\ooqfxunq.dll (file missing)

O2 - BHO: (no name) - {BA6DBAF5-560B-4D80-A952-D2DFAD2F3883} - C:\WINDOWS\System32\khfcy.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe

O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE

O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [Client Access Taskbar] "C:\Program Files\IBM\Client Access\cwbuitsk.exe"

O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\CwbSvStr.Exe"

O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"

O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN

O4 - HKLM\..\Run: [Client Access API Daemon] "C:\Program Files\IBM\Client Access\cwbappcd.exe"

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) - http://www.canalplay.com/cabs/msway44.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{66BA0353-1721-4B1B-A7CB-EF346A49DFAB}: NameServer = 194.133.14.66,194.133.125.66

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: Commande à distance de Client Access (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe

O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe

O23 - Service: Microsoft Security Login Service - Unknown owner - C:\WINDOWS\System32\dllcache\mssecure32.exe (file missing)

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: Windows Atapi Driver - Unknown owner - C:\WINDOWS\atapi32.exe (file missing)

O23 - Service: Windows USB Bus Driver - Unknown owner - C:\WINDOWS\ecRecvr.exe (file missing)

 

Alors pour le mode sans echec, je l'ai lancé, déjà il mettait beaucoup plus de temps que pour lancer le normal, ensuite, la page de sans echec était noire sans aucune icone et avec juste écrit aux quatres coins mode sans échec... Dans le gestionnaire de tâches le explorer.exe n'était pas lancé, je l'ai donc lancé, mais il se coupait, donc je n'avais pas acces aux menus etc... Mais j'ai pu lancer avec l'éxecuter du gestionnaire l'antivirus.

Voilà...

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut

 

Très bien ,Vundo a fait son nettoyage!A présent stp poste moi ce rapport =>

 

Télécharge DiagHelp.zip sur ton bureau

  • Ne double-clic pas dessus !! Fais un clic droit sur le fichier et "extraire tout"
  • Un nouveau dossier chercher va être créé DiagHelp
  • Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  • Une fenêtre va s'ouvrir, choisis l'option 1
  • L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  • Copie/colle le contenu du bloc-note qui s'ouvre dans ton prochain post.

N'oublie pas de faire ton choix entre les différents antivirus et de n'en garder qu'un!!

 

Installe d'urgence le parefeu ,c'est une priorité!

 

Fais un scan en ligne avec Kaspersky WebScanner

Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".

Le scan va commencer.Poste le rapport qui sera généré stp.

Poste le résultat pour voir si rien ne subsiste sur ton pc

Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

Après ca on s'attaque au reste!

 

@+

Lien vers le commentaire
Partager sur d’autres sites
HayPo Member

HayPo

Posté(e)
  • Auteur
Posté(e)

Je dois forcement installer un parefeu ?

J'ai une free box, il me faut un parefeu en plus ?

Je l'installe quand même on verra ça apres :P

Oui, je vais supprimer Nod32, il est très mauvais je trouve, vu qu'il ne détectait pas mes virus.

Je fais le dial et je poste.

Pour l'av en ligne je n'y arrive jamais à cause du controle activeX, je fais donc regarde le tuto.

Merci et à toute :P

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...