analyse hijackthis pr pc malade

[help-pc]

Bonsoir,

 

Je suis nouvelle sur le forum et je ne m'y connais pas bien en info alors si qques pros voulaient bien m'aider à soigner mon petit pc malade, c'serait sympa !

 

Voici ma série de soucis en vrac :

impossible de me connecter sur certains sites (demandant pseudo et mot de passe) ; lenteur d'affichage des pages ; pb concernant certains favoris sans raison (et adresse web disparue dans les propriétés) ; après validation (ex lors de lancement recherche itinéraires ratp), changement de l'adresse (ex : www3. ou www33. au lieu de www. ) et erreurs de résultats ; parfois msg lors d'essai connexion adsl "périphérique usb non reconnu" et obligation de relancer mon pc pour me connecter ; msg d'erreur de mon imprimante qd je suis connectée ; nombreux msgs anglophones sur mon webmail ; et le nouveau truc du jour c'est l'apparition d'un message "Avertissement de sécurité" me proposant d'installer Adobe Player 9, sans raison. Bouh !!

 

J'ai utilisé CCCleaner, Spybot, Adaware, mon antivirus AVG, puis après l'avoir désactivé lancé un scan en ligne (bitdefender). Rien ou si peu (qques trucs via les antispywares mais rien de changé après suppression).

Donc j'ai installé et lancé Hijackthis et voilà ce qu'il raconte plus bas.

 

Logfile of HijackThis v1.99.1

Scan saved at 17:30:18, on 09/11/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Apps\ActivBoard\nhksrv.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

C:\WINDOWS\System32\VetMsgNT.exe

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\htpatch.exe

C:\Apps\ActivBoard\MMKeybd.exe

C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Apps\ActivBoard\TrayMon.exe

C:\Apps\ActivBoard\OSD.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\QuickTime\qttask.exe

C:\Documents and Settings\flo\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcourrier.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe

O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe

O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A

O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"

O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE~3\Office10\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll

O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .png: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll

O12 - Plugin for ¸æL: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\WINDOWS\System32\VetMsgNT.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

Merci d'avance pour vos réponses. J'ai un besoin quotidien de mon micro pr mon job et notamment d'internet et s'il tombe en rade, j'suis mal !! Pis j'aimerai éviter de tout reformater, si possible.

[Invité Laurent_62]

Bonjour help-pc et bienvenue parmis nous.

 

- Si tu le permet je vais tenter de t'aider à nettoyer ton système tout en sachant que je ne fais pas partie de l'équipe sécurité de Zebulon. Les membres pourront bien évidement intervenir à tout moment s'il le juge utile.

 

- Je te propose une procédure regroupant quelques opérations afin de nettoyer ton système. Cette procédure peut paraitre fastidieuse au premier abord mais cela n'est absolument pas le cas, il suffit de suivre les indications et tout se passera bien.

 

- J'ai volontairement agrémenté cette procédure de plusieurs scans ce pour plusieurs raisons que ce soit le fait que le système n'est pas à jour (SP1) et l'importance qu'il revet pour du fait de son utilisation dans un cadre professionnel.

 

- N'hésites pas à poser des questions même si une question peut paraitre "idiote". Il vaut mieux paraitre idiot 5 minutes en posant une question que de le rester toute sa vie sans jamais avoir la réponse !

 

- Une partie de cette procédure s'effectuera en mode sans échec. Je te recommande d'imprimer ce qui suit ou en faire un copier coller dans un fichier texte que tu enregistreras de façon à le retrouver facilement y compris en mode sans échec (Le bureau par exemple)

- J'attire également ton attention sur l'importance de communiquer les résultats obtenus même si les symptômes ont disparus.

* l'absence de symptômes ne confirme en rien une absence d'infection.

 

Bon assez de blabla et attaquons ce nettoyage !

 

 

 

 

=> Déplace Hijackthis

- Hijackthis est actuellement lancé a partir d'un dossier temporaire

Il est très important de le déplacer dans un dossier qui lui sera dédié (C:\hijackthis) par exemple sinon le dossier backup sera supprimé lors du nettoyage rendant impossible tout retour en arrière en cas d'erreur de manipulation.

 

 

=> Télécharge ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1

-- Met le sur ton bureau

Note: Pour augmenter l'efficacité nous l'utiliserons ultérieurement en mode sans echec

 

 

=> Télécharge jv16-powertools (Jouni Vuorio) http://telechargement.zebulon.fr/201-jv16-powertools.html

note : Cette version est la dernière qui a été distribuée gratuitement. Une version plus récente existe mais est payante après une période d'essai de 30 jours.

- Voici un tutoriel si besoin http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

=> Télécharge AVG AntiSpyware .

http://www.ewido.net/en/download/

-- Installe le

* Lance AVG AntiSpyware

-- menu Mises à jour

---- Clique sur le bouton Commencer la mise à jour

-- menu analyse onglet paramètres

---- dans la catégorie Rapports coche les cases

[X] Générer un rapport après chaque analyse

[X] Uniquement en cas de menace

---- Dans la catégorie Comment réagir ? sélectionne Quarantaine

* Quitte AVG anti-spyware

 

Note :

AVG anti-spyware est en version d'essai de 30 jours. Il sera toujours possible de l'utiliser après cette période mais il ne disposera plus de la protection résidente ni des mises a jour automatiques. Il faudra donc lancer manuellement la mise à jour et le scan.

- Si besoin un tutoriel http://www.malekal.com/tutorial_AVG_AntiSpyware.html

 

 

=> Redémarre ton PC en mode sans échec

-- Ce mode permet d'augmenter les chances de succès des manipulations qui vont suivre.

 

- Au démarrage de l'ordinateur "tapote" la touche F8 de ton clavier jusqu'à ce que les options de démarrage apparaissent.

* A l'aide des touches de ton clavier descend jusque Mode sans échec puis valide par la touche [entrée]

-- Si le choix est proposé choisis le même nom d'utilisateur qu'en mode normal.

 

Note :

-- Windows démarrera avec le strict minimum nécessaire. Tu ne pourras pas te connecter ou utiliser certaines fonctions ou programmes.

-- L'affichage sera inhabituel avec par exemple des icônes plus grandes.

 

 

=> Lance Hijackthis

-- Clique sur Do a system scan only

---- Coche les cases correspondant à cette ligne

 

O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe

 

---- Clique sur Fix cheked

-- Quitte Hijackthis

 

 

=> Désinstalle

-- Démarrer >> panneaux de configuration >> ajout / suppression de programme

 

ActivSurf

 

 

 

=> Lance ATF-Cleaner :

* Sous l'onglet Main, choisis : Select All

* Clique sur le bouton Empty Selected

 

 

* Sous l'onglet Firefox (si présent) : Clique sur select all

-- Au message "are you sure you want to delete your firefox saved password" clique sur NON

-- Clique sur Empty selected

 

* Sous l'onglet Opéra (si présent) : Clique sur select all

-- Au message "are you sure you want to delete your firefox saved password" clique sur NON

-- Clique sur Empty selected

* Quitte ATF-Cleaner

 

 

=> Lance jv16-powertools

* Clique à gauche sur Preferences ensuite sur Language choisis French(français) clique sur Ok et Ok

* Clique sur Outil registre en haut sur Outils - Nettoyeur de registre

* Clique sur Continuer et Démarrer

* Le scan fini clique en haut sur Sélectionner >>> Sélection spéciale et Eléments qui peuvent être supprimés sans riques

* Clique en bas sur Supprimer puis Fermer

* quitte Jv16

 

 

=> Lance AVG AntiSpyware

* Menu analyse

-- Onglet Analyser

* clique sur analyse complète du système pour lancer le scan

* Le scan fini clique sur Appliquer toutes les actions

-- Clique sur Enregistrer le rapport >>> Enregistrer le rapport sous enregistre ce rapport sur ton bureau

* Fais un copier coller du contenu de ce rapport dans ta prochaine réponse

 

 

=> Redémarre en mode normal

 

 

=> Fais un scan en ligne avec Internet explorer

* Rend toi sur ce site http://www.pandasoftware.fr/Activescan/Activescan.html

-- Clique sur l'image Analyser votre PC

-- Complète ou rempli les champs demandés (province et E-mail)

-- Clique sur l'image analyser gratuitement maintenant pour continuer

note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.

-- L'installation et la mise à jour de la base antivirale se feront automatiquement.

* choisis Poste de travail pour lancer le scan

* Une fois le scan terminé sauvegarde le rapport Clique sur consulter le rapport (en haut) puis sur le bouton sauvegarder le rapport

-- Pour le retrouver facilement met le sur le bureau

* Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.

 

Note :

- En cas de problème vérifies ces quelques points http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809

- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. je te conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)

- Si besoin tu trouveras un tutoriel http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

 

=> Résultat

- Post les différents rapports obtenus

-- Panda online

-- AVG Anti-spyware

-- Un nouveau log Hijackthis (fait en mode normal)

-- Toutes questions, remarques, complément d'information et si une amélioration est constatée.

 

Bon courage.

Modifié le 9 novembre 2006 par Laurent_62

[help-pc]

Waouh, super ta réponse Laurent ! Claire, bien expliquée avec le "pourquoi du comment", j'adore !!

 

Je le fais demain et je te dis ce que ça donne.

[help-pc]

Laurent,

 

J'ai fait tout ce que tu m'as dit. Voilà ce que ça donne, point par point avec mes remarques et questions :

 

Dossier temp Hjth :

Je me suis contentée de l'effacer du dossier temporaire car je l'avais d'emblée enregistré dans un dossier perso. Dans le dossier perso, son icône est celle d'un écran info vide et dans le dossier Temp, c'était l'icône d'un détonateur avec dynamite , c normal doc ??

Bizzarement, quand je lance Hjth, il continue de me dire qu'il est tjs dans un dossier temporaire...

 

 

Activsurf :

Je l'ai supprimé via Hjth mais j'ai pas pu supprimer le programme car absent du panneau de config. C'est embêtant ?

Pb lors du 1er lancement du panneau de config, avec ce msg : "l'exceptn logicielle inconnue (0x0eedfade) s'est produite dans l'application à l'emplacement 0x77e538b2". Ensuite 2° msg : "L'instruction "0x0287bd0d" emploie l'adresse mémoire "0x028c2b10". La mémoire ne peut pas être read". J'ai relancé le panneau de config et c'était bon.

 

 

ATF-Cleaner :

Les onglets Firefox et Opéra étaient inacessibles (en grisé). Sinon ok.

 

Jv16 :

Impossible de supprimer les entrées de registre sélectionnées au départ, rien ne se passait. Puis après plusieurs essais, ça a fonctionné : 277 entrées supprimées.

 

 

AVG antispyware :

Lancement Ok. Résultats décevants : n'a rien détecté, RAS ! Je ne t'envoie donc pas le rapport, vide.

 

 

Suis repassée en mode normal.

 

Pandasoftware :

page impossible à afficher (erreur 500) par l'adresse -pourtant bonne- que tu m'as indiquée. J'y suis allée à partir de la page d'accueil de Panda. J'ai lancé le scan une première fois et une deuxième fois en désactivant mon antivirus, d'où ces deux rapports :

 

1er RAPPORT :

 

Incident Statut

Analyse

 

Spyware:Cookie/Advertising No Désinfecté

C:\Documents and Settings\flo\Cookies\flo@advertising1].txt

 

Spyware:Cookie/Bluestreak No Désinfecté

C:\Documents and Settings\flo\Cookies\flo@bluestreak1].txt

 

Spyware:Cookie/Doubleclick No Désinfecté

C:\Documents and Settings\flo\Cookies\flo@doubleclick1].txt

 

Spyware:Cookie/Tradedoubler No Désinfecté

C:\Documents and Settings\flo\Cookies\flo@tradedoubler2].txt

 

Dialer:Dialer.GLY No Désinfecté

C:\WINDOWS\Downloaded ProgramFiles\Account.dll

 

Outil indésirable:Application/Pskill.A No Désinfecté

C:\WINDOWS\RESTORE.INS[C:/OEMCUST/TOOLS/WIN32/PSKILL.EXE]

 

Outil indésirable:Application/Pskill.A No Désinfecté

C:\WINDOWS\system\RESTORE.INS[C:/OEMCUST/TOOLS/WIN32/PSKILL.EXE]

 

 

2° RAPPORT (j'ai enlevé ceux qui étaient strictement identiques au 1er) :

 

Incident Statut Analyse

Spyware:Cookie/Adtech No Désinfecté

C:\Documents andSettings\flo\Cookies\flo@adtech1].txt

 

Spyware:Cookie/Adviva No Désinfecté

C:\Documents and Settings\flo\Cookies\flo@adviva1].txt

 

Spyware:Cookie/Bluestreak No Désinfecté

C:\Documents andSettings\flo\Cookies\flo@bluestreak2].txt

 

Spyware:Cookie/FastClick No Désinfecté

C:\Documents and Settings\flo\Cookies\flo@fastclick2].txt

 

Spyware:Cookie/Tradedoubler No Désinfecté

C:\Documents and Settings\flo\Cookies\flo@tradedoubler1].txt

 

Spyware:Cookie/Weborama No Désinfecté

C:\Documents and Settings\flo\Cookies\flo@weborama2].txt

 

Spyware:Cookie/Xiti No Désinfecté

C:\Documents and Settings\flo\Cookies\flo@xiti1].txt

 

 

Pour finir, le log Hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 14:26:20, on 11/11/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Apps\ActivBoard\nhksrv.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

C:\WINDOWS\System32\VetMsgNT.exe

C:\WINDOWS\Explorer.EXE

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\htpatch.exe

C:\Apps\ActivBoard\MMKeybd.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Apps\ActivBoard\TrayMon.exe

C:\Apps\ActivBoard\OSD.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Microsoft Office\Office 2003\OFFICE11\WINWORD.EXE

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\flo\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcourrier.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe

O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A

O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"

O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE~3\Office10\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll

O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .png: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll

O12 - Plugin for ¸æL: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\WINDOWS\System32\VetMsgNT.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Malheureusement, pas d'améliorations pour le moment...

J'attends ton avis et la marche à suivre pour ce qui a été trouvé par Panda (ce qu'il a trouvé justifierait mes pbs ?)

 

Merci d'avance.

A bientôt

Florence

[Invité Laurent_62]

Bonsoir,

 

Pour les pubs et vu que tu me dis ne pas avoir les onglets Opera et / ou Firefox dans atfcleaner je suppose que tu utilise Internet Explorer.

Je te suggere donc d'installer Firefox qui apportera beaucoup d'amélioration du coté sécurité et un confort d'utilisation (vitesse d'affichage etc) nettement plus performant qu'IE

 

Tu trouveras sur ce lien toutes les indications necessaires pour l'installer et le configurer

http://www.libellules.ch/phpBB2/viewtopic.php?t=21020

 

Note: Il faut toujours garder Internet explorer car certaines fonctions ne permettent pas à Firefox de réaliser des scans en ligne par exemple.

 

 

 

Concernant l'exploitation des différents rapports je vais te demander de faire scanner un fichier pour avoir plus d'informations à son sujet et éviter une suppression basée sur un éventuel "faux positif"

 

=> Rend toi sur ce site http://virusscan.jotti.org/

* Clique en haut à droite sur "Parcourir"

-- Choisis le fichier : (tu peux aussi faire un copier coller du chemin complet dans la fenêtre parcourir)

 

C:\WINDOWS\Downloaded ProgramFiles\Account.dll

 

* Clique sur sur submit

* Après le scan le résultat s'affichera en bas, Fais en un copier / coller dans ta prochaine réponse

 

Note :

Le scan peut, suivant la charge du serveur, prendre un peu de temps; Sois patient.

 

a+

[help-pc]

Bizarre, bizarre mais pas de account.dll ni dans le dossier en question ni ailleurs (j'ai fait une recherche).

Qu'est-ce que je fais Docteur Micro/Laurent ??

[Invité Laurent_62]

Bonsoir,

 

As tu essayé en affichant les fichiers cachés

 

=> Autorise l'affichage des fichiers et dossiers cachés

 

* Clique sur Démarrer >>> Panneau de configuration

* Dans le menu en haut clique sur Outils choisis Option des dossiers

* Sélectionne l'onglet Affichage

-- [X] Coche Afficher les Fichiers et dossiers cachés

-- [ ] Décoche Masquer les fichiers protégés du système d'exploitation

-- [ ] Décoche Masquer les extensions dont le type est connu

* clique succesivement sur

-- En haut Appliquer à tous les dossiers

-- En bas Appliquer et Ok pour valider les changements

* Ferme la fenêtre

[help-pc]

Oui, je l'avais fait et toujours pas de "account.dll"

[help-pc]

Qu'est-ce que je fais doc Laurent ??

[Invité Laurent_62]

Bonjour,

 

Si le fichier est absent c'est encore mieux car plus nécessaire de le contrôler.

-- En fait à la relecture je viends de m'apercevoir que c'est logique car il apparait sur le Premier scan Panda mais plus sur le second. Ce qui est étonnant car au premier il est anoté "No Désinfecté"

 

Je te propose de faire un dernier log Hijackthis histoire de s'assurer que plus rien de mauvais n'y soit décelable.

 

éventuellement complété d'un rapport Blacklight.

 

=> Télécharge F-Secure Blacklight : (F-Secure) https://europe.f-secure.com/blacklight/try.shtml

* Clique en bas sur I accept

-- Dans la nouvelle fenêtre sur le lien Download Blacklight Beta graphical user interface version

-- Met le sur ton bureau

* Lance-le en double-cliquant sur le fichier blbeta.exe

-- Accepte la licence (après l'avoir lue), puis clique sur Scan

note : Ce scan peut prendre un certain temps il faut donc être patient

-- Une fois le scan terminé clique sur Next

important : N'utilise pas la fonction cleaning pour le moment.

 

-- Un rapport sera généré dans le même dossier que blbeta.exe (bureau) et se présente sous le nom fsbl-bxxxx.log (les xxxx sont des chiffres).

-- Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.

 

note : si besoin un tutoriel est consultable ici http://www.malekal.com/tutorial_f-secure_BlackLight.html

 

a+