Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Dark Sauron

Problème services.exe(bis)

Messages recommandés

Salut à tous !

 

Je viens de ce topic : http://forum.zebulon.fr/index.php?showtopic=111019. Là je bugge à mort pour poster (je dois cliquer 50 fois sur un lien pour qu'il s'affiche...). Je poste mon rapport Antivir et mon rapport Hijack.

 

Merci à tous ceux qui m'aideront !

 

Antivir :

 

AntiVir PersonalEdition Classic

Report file date: mercredi 13 décembre 2006 22:22

 

Scanning for 495093 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: Propriétaire

Computer name: MSHOME

 

Version information:

AVSCAN.EXE : 7.0.0.47 196648 21/08/2006 11:06:49

AVSCAN.DLL : 7.0.0.45 41000 07/09/2006 11:51:50

LUKE.DLL : 7.0.0.47 110632 07/09/2006 11:32:29

LUKERES.DLL : 7.0.0.47 9256 07/09/2006 11:51:50

ANTIVIR0.VDF : 6.35.0.1 7371264 31/05/2006 11:35:11

ANTIVIR1.VDF : 6.36.0.9 1424384 06/09/2006 08:12:24

ANTIVIR2.VDF : 6.36.0.10 2048 06/09/2006 08:12:26

ANTIVIR3.VDF : 6.36.0.11 2048 06/09/2006 08:12:28

AVEWIN32.DLL : 7.2.0.14 1827328 04/09/2006 15:23:26

AVPREF.DLL : 7.0.0.2 17960 24/07/2006 13:35:36

AVREP.DLL : 6.36.0.3 544808 06/09/2006 09:04:18

AVRPBASE.DLL : 7.0.0.0 1544232 30/03/2006 09:42:44

AVPACK32.DLL : 7.2.0.0 360488 21/07/2006 07:00:28

AVREG.DLL : 6.31.0.90 25128 28/07/2005 11:06:11

NETNT.DLL : 6.32.0.0 6696 27/09/2005 08:56:45

NETNW.DLL : 7.0.0.0 9768 24/07/2006 13:35:38

RCIMAGE.DLL : 7.0.0.74 1642536 01/08/2006 12:22:50

RCTEXT.DLL : 7.0.0.107 77864 07/09/2006 11:51:49

 

Configuration settings for the scan:

Jobname.......................: Manual Selection

Configuration file............: C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Boot sectors..................: A,C,D,E,F,G

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 1

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Skipped archive types.........: 1000,1001,1002,1003,1004,1005,

Macro heuristic...............: 1

File heuristic................: 2

Primary action................: 4096

Secondary action..............: 0

 

Start of the scan: mercredi 13 décembre 2006 22:22

 

 

The scan of running processes will be started

5 Processes were scanned

 

Start scanning boot sectors:

 

Boot sector 'A:\'

[NOTE] In the drive 'A:\' no data medium is inserted!

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'D:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( 24 files ).

 

 

Starting the file scan:

 

The path A:\ could not be found!

Le périphérique n'est pas prêt.

 

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0YEXP2XA\dldr2[1]

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as '77f2d397.qua' ( QUARANTINE )

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0YEXP2XA\dldr5[1]

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as '7af2d398.qua' ( QUARANTINE )

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\TF7EOS29\dldr3[1]

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as '78f2d398.qua' ( QUARANTINE )

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\TF7EOS29\dldr4[1]

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as '79f2d399.qua' ( QUARANTINE )

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\TF7EOS29\v030065[1].exe

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as '75b0a25d.qua' ( QUARANTINE )

C:\Documents and Settings\NetworkService\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\Propriétaire\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\Propriétaire\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\hp\bin\KillWind.exe

[DETECTION] Contains signature of the SPR/KillApp.A program

[iNFO] A backup was created as '9cecdbae.qua' ( QUARANTINE )

C:\hp\bin\Terminator.exe

[DETECTION] Contains signature of the SPR/KillApp.A program

[iNFO] A backup was created as 'aeede1bd.qua' ( QUARANTINE )

C:\VundoFix Backups\awtsq.dll.bad

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as 'b6f3e9bd.qua' ( QUARANTINE )

C:\WINDOWS\system32\awttrom.dll

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as 'b7f4ef45.qua' ( QUARANTINE )

C:\WINDOWS\system32\ddccy.dll

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as 'bee3de3d.qua' ( QUARANTINE )

C:\WINDOWS\system32\geeba.dll

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as 'a6e2e04b.qua' ( QUARANTINE )

C:\WINDOWS\system32\geede.dll

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as 'aae4e04b.qua' ( QUARANTINE )

C:\WINDOWS\system32\hgggeee.dll

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as 'aae7e24f.qua' ( QUARANTINE )

C:\WINDOWS\system32\jkhfg.dll

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as 'ace6e35e.qua' ( QUARANTINE )

C:\WINDOWS\system32\mljgdab.dll

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as 'a9e7e567.qua' ( QUARANTINE )

C:\WINDOWS\system32\mljjjji.dll

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as 'afeae567.qua' ( QUARANTINE )

C:\WINDOWS\system32\mljjkig.dll

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as 'b0eae567.qua' ( QUARANTINE )

C:\WINDOWS\system32\mllmk.dll

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as 'b0ede768.qua' ( QUARANTINE )

C:\WINDOWS\system32\pmnlmno.dll

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as 'b2ece983.qua' ( QUARANTINE )

C:\WINDOWS\system32\pmnmjgd.dll

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as 'afede983.qua' ( QUARANTINE )

C:\WINDOWS\system32\rqroppn.dll

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as 'b5efed8d.qua' ( QUARANTINE )

C:\WINDOWS\system32\svcheb.exe

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as 'aae8de9c.qua' ( QUARANTINE )

C:\WINDOWS\system32\tmp_ym4.exe

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as 'bedfeb96.qua' ( QUARANTINE )

C:\WINDOWS\system32\uvnafkov.dll

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as 'abe1e9a2.qua' ( QUARANTINE )

C:\WINDOWS\system32\vrylfjle.dll

[DETECTION] Is the Trojan horse TR/Vundo.Gen

[iNFO] A backup was created as 'abecf4a1.qua' ( QUARANTINE )

C:\WINDOWS\system32\vtutr.dll

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as 'b7f4f0a4.qua' ( QUARANTINE )

C:\WINDOWS\system32\CatRoot2\edb.log

[WARNING] The file could not be opened!

C:\WINDOWS\system32\CatRoot2\tmp.edb

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IN0A0DCE\mc[1].jpg

[DETECTION] Contains suspicious code HEUR/Crypted

[iNFO] A backup was created as 'a2b1d6ad.qua' ( QUARANTINE )

C:\WINDOWS\Temp\dl2213671.exe

[DETECTION] Contains suspicious code HEUR/Crypted

[iNFO] A backup was created as '76b2ae0a.qua' ( QUARANTINE )

C:\WINDOWS\Temp\dldr2.exe

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as '77f2e00a.qua' ( QUARANTINE )

C:\WINDOWS\Temp\_avast4_\unp39271447.tmp

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as '7eb3ec0d.qua' ( QUARANTINE )

The path E:\ could not be found!

Le périphérique n'est pas prêt.

 

The path F:\ could not be found!

Le périphérique n'est pas prêt.

 

The path G:\ could not be found!

Le chemin d'accès spécifié est introuvable.

 

 

 

End of the scan: mercredi 13 décembre 2006 23:32

Used time: 1:10:27 min

 

The scan has been done completely.

 

3846 Scanning directories

296544 Files were scanned

30 viruses and/or unwanted programs were found

0 files were deleted

0 files were repaired

30 files were moved to quarantine

0 files were renamed

18259 Archives were scanned

21 Warnings

0 Notes

 

 

Hijack :

Logfile of HijackThis v1.99.1

Scan saved at 06:14:35, on 14/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\WINDOWS\System32\hphmon05.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\WINDOWS\weRecv.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Propriétaire\Bureau\Scanner.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr9.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr9.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr9.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Helper Class - {00D13CE9-1879-41bd-B8A3-EA3CB1BD01BC} - C:\WINDOWS\System32\helper.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {1707EF36-DBCB-4B00-9A28-C2491DEF70F8} - C:\WINDOWS\System32\awtsq.dll (file missing)

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll

O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\System32\uvnafkov.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\hgggeee.dll

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll

O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Program Files\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [CamMonitor] c:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [user Input Services] C:\WINDOWS\System32\ctfmon32.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm

O8 - Extra context menu item: &Télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{118E2270-8D58-413F-B146-79504B0EC152}: NameServer = 86.64.145.140 84.103.237.140

O17 - HKLM\System\CS1\Services\Tcpip\..\{118E2270-8D58-413F-B146-79504B0EC152}: NameServer = 86.64.145.140 84.103.237.140

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: hgggeee - C:\WINDOWS\SYSTEM32\hgggeee.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: szr_dll - C:\WINDOWS\szr_dll.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: Netmeeting For Windows (Netmeeting For Microsoft Windows) - Unknown owner - C:\WINDOWS\weRecv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe

Modifié par Dark Sauron

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour Dark Sauron !

 

Le lien que tu met ne conduis nul part désolé ! :P

 

Le rapport montre pas mal d'infections on va essayer de faire ceci dans un premier temps STP :

 

Télécharge AVG Anti-Spyware

  1. Lance AVG Anti-Spyware et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
     
  2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
     
  3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

  • Du mode Sans Échec, lance AVG Anti-Spyware et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
     
  • AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. AVG Anti-Spyware affichera "All actions have been applied" du côté droit.
     
  • Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

.

 

-Faire démarrer/panneau de configuration/ajout-supression de programmes

Regarder dans la liste si présent

FlashGet (désinstaller)

 

 

Redémarre ton ordi en mode Normal.

 

 

Je te fais passer un autre outil :

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Prière de poster les rapports suivant dans ta prochaine réponse :

 

1) AVG Anti-Spyware

2) BlackLight

3) Nouveau rapport HijackThis! que tu vas renommer comme ceci STP => Sauron.exe

 

Bon courage, et @+

Modifié par regis56

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour regis56 !

 

J'ai remis le lien de ma première réponse, il devrait mrcher maintenant.

Le problème, c'est que je ne peux pas démarrer windows en Mode Normal, sinon une fenètre disant que services.exe a rencontré un problème et doit s'arrêter s'ouvre et l'ordi plante. Je vais tenter de faire ce que tu me dit mais je ne pourrait donc pas mettre à jour AVG (je vais transferer le setup par clé USB de mon PC portable au PC infecté...).

Partager ce message


Lien à poster
Partager sur d’autres sites

Re

 

Sinon ce que tu peut essayer dans un premier temps c'est de démarrer en mode sans echec et de passer un coup d'avast ! et de tout les anti trucs que tu possède.

 

Ensuite essai de démarrer en mode normal pour voir.

 

Si tu n'y arrive pas on fera une désinfection manuelle en mode sans echec.

 

A plus.

Partager ce message


Lien à poster
Partager sur d’autres sites

Re

 

Voici ce que tu vas devoir faire STP

 

Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC.

Il faut exécuter toutes les étapes, dans l'ordre exact indiqué ci-dessous.

Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.

 

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" et en ayant désactivé les protections résidentes si il y en a ! (ex:Spybot S&D, Ad-Watch, Microsoft AntiSpyware )

 

-Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924

 

 

-Faire démarrer/panneau de configuration/ajout-supression de programmes

Regarder dans la liste si présent

FlashGet (désinstaller)

 

-Maintenant Je vais te demander d'arrêter un service qui est lancé automatiquement en mode normal

et qui est lié à l'infection !

 

Démarrer > Exécuter et taper Services.msc puis OK

Choisir le mode "Etendu" (onglets inférieurs)

Grâce à la barre de défilement (à droite) rechercher le service suivant:

 

Netmeeting For Windows

 

Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).

Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter,

puis dérouler le Type de Démarrage pour le modifier en Désactivé

Cliquer sur Appliquer puis OK

 

Lancer Hijackthis, choisir Open the Misc.Tools section

la fenêtre "Configuration" va s'ouvrir

cliquer sur Delete a NT service...

la fenêtre "Delete a Windows NT service" va s'ouvrir

Entrer dans la zone de dialogue :

 

Netmeeting For Microsoft Windows

 

Note : assurez-vous de ne mettre d'espace, ni avant, ni après !

cliquer OK

 

Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer.

Cliquer NO

 

-Maintenant on va modifier la base de registres pour éliminer les lignes liées a l'infection !

Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes:

 

O2 - BHO: Helper Class - {00D13CE9-1879-41bd-B8A3-EA3CB1BD01BC} - C:\WINDOWS\System32\helper.dll

O2 - BHO: (no name) - {1707EF36-DBCB-4B00-9A28-C2491DEF70F8} - C:\WINDOWS\System32\awtsq.dll

O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\System32\uvnafkov.dll

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\hgggeee.dll

O4 - HKLM\..\Run: [user Input Services] C:\WINDOWS\System32\ctfmon32.exe

O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm

O8 - Extra context menu item: &Télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm

O20 - Winlogon Notify: hgggeee - C:\WINDOWS\SYSTEM32\hgggeee.dll

O20 - Winlogon Notify: szr_dll - C:\WINDOWS\szr_dll.dll

O23 - Service: Netmeeting For Windows (Netmeeting For Microsoft Windows) - Unknown owner - C:\WINDOWS\weRecv.exe

 

 

Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked

 

Maintenant il va falloir désenregistrer des DLL

Démarrer, Exécuter, et taper (ou copier/coller): regsvr32 /u C:\WINDOWS\System32\helper.dll

et valider par Ok

 

Recommence l'opération avec ces fichiers en remplacant le chemin en rouge :

C:\WINDOWS\System32\awtsq.dll

C:\WINDOWS\System32\uvnafkov.dll

C:\WINDOWS\system32\hgggeee.dll

C:\WINDOWS\szr_dll.dll

 

-Vérifier d'avoir accès à tous les fichiers :

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer l'option : Afficher les fichiers et dossiers cachés

Désactiver l'option : Masquer les extensions des fichiers dont le type est connu

Désactiver l'option : Masquer les fichiers protégés du système d'exploitation

Puis cliquer sur "Appliquer à tous les dossiers"

 

Maintenant on va supprimer manuellement les fichiers infectieux !

 

Avant de supprimer quelque chose toujours noter la date et l'heure de création et communiquer les informations lors de la prochaine réponse.

 

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge C:\WINDOWS\System32\

Le dossier va s'ouvrir

Supprime les fichiers indiqués en gras:

helper.dll(clique droit /supprimer)

awtsq.dll

uvnafkov.dll

hgggeee.dll

ctfmon32.exe

hgggeee.dll

 

Répète l'opération pour ceux là

 

C:\PROGRA~1\

FlashGet

 

C:\WINDOWS\

szr_dll.dll

weRecv.exe

 

Nettoyage rapide du disque dur : Menu Démarrer>Exécuter, tape CleanMgr et valide.

 

Complète le nettoyage cleanmgr par un nettoyage succint manuel

=> suppression de tous les fichiers contenus dans les dossiers :

-C:\TEMP

-C:\WINDOWS\TEMP

-C:\Documents And Settings\Session utilisateur\Local Settings\Temp

-C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la poubelle !

 

 

-Redémarrer en mode normal :

 

-Poster une réponse dans le même sujet

(Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!)

-Mettre un nouveau rapport HijackThis

-Indiquer si le Pc présente encore des dysfonctionnements

 

Après avoir posté ta réponse :

 

Peux-tu faire s'il te plait un scan en ligne?=>

http://www.kaspersky.com/virusscanner

tuto d'aide ici

http://www.malekal.com/scan_Av_en_ligne.html

 

A plus et bon courage ! :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Re.

 

Quelques petits problèmes dans la réalisation de cette procédure...

 

 

Démarrer > Exécuter et taper Services.msc puis OK

Choisir le mode "Etendu" (onglets inférieurs)

Grâce à la barre de défilement (à droite) rechercher le service suivant:

 

Netmeeting For Windows

 

Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).

Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter,

puis dérouler le Type de Démarrage pour le modifier en Désactivé

Cliquer sur Appliquer puis OK

 

Netmeeting for Windows est déjà arrêté quand j'arrive à ce moment, enfin je ne pense pas que ça influe sur le reste.

 

 

 

Maintenant il va falloir désenregistrer des DLL

Démarrer, Exécuter, et taper (ou copier/coller): regsvr32 /u C:\WINDOWS\System32\helper.dll

et valider par Ok

 

Recommence l'opération avec ces fichiers en remplacant le chemin en rouge :

C:\WINDOWS\System32\awtsq.dll

C:\WINDOWS\System32\uvnafkov.dll

C:\WINDOWS\system32\hgggeee.dll

C:\WINDOWS\szr_dll.dll

 

-Vérifier d'avoir accès à tous les fichiers :

Maintenant on va supprimer manuellement les fichiers infectieux !

 

 

Toutes ces dll sont introuvables quand je fait cette manip.

 

 

 

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge C:\WINDOWS\System32\

Le dossier va s'ouvrir

Supprime les fichiers indiqués en gras:

helper.dll(clique droit /supprimer)

awtsq.dll

uvnafkov.dll

hgggeee.dll

ctfmon32.exe

hgggeee.dll

 

Répète l'opération pour ceux là

 

C:\PROGRA~1\

FlashGet

 

C:\WINDOWS\

szr_dll.dll

weRecv.exe

 

Dans le dossier c:\WINDOWS\System32, je ne trouve que hgggeee.dll et il refuse d'être supprimé (soit disant utilisé par un autre programme...). Dans C:\WINDOWS, je ne trouve que szr_dll.dll et il se supprime correctement.

 

Au final, après redémarrage en mode normal, la fenêtre services.exe s'ouvre toujours et après s'ouvre une autre fenêtre qui dit qu'à cause de la fermeture de services.exe, le PC va redémarre dans 60 secondes avec un compte à rebours (elle donne comme code -1073741819).

Partager ce message


Lien à poster
Partager sur d’autres sites

Re

 

Bon il faut que tu t'assure d'avoir bien fait ceci

 

Lancer Hijackthis, choisir Open the Misc.Tools section

la fenêtre "Configuration" va s'ouvrir

cliquer sur Delete a NT service...

la fenêtre "Delete a Windows NT service" va s'ouvrir

Entrer dans la zone de dialogue :

 

Netmeeting For Microsoft Windows

 

Note : assurez-vous de ne mettre d'espace, ni avant, ni après !

cliquer OK

 

Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer.

Cliquer NO

 

Ensuite j'aimerai que tu me poste un nouveau rapport hijackthis pour voir ou on en est !

 

Ensuite essai ceci

Télécharge la dernière version de Killbox -> http://www.downloads.subratam.org/KillBox.zip

Place le programme dans le répertoire qui te plaît (pas d'installation Windows)

 

Dis moi quand tu l'aura.

 

A plus.

Partager ce message


Lien à poster
Partager sur d’autres sites

Re

 

Bon il faut que tu t'assure d'avoir bien fait ceci

Lancer Hijackthis, choisir Open the Misc.Tools section

la fenêtre "Configuration" va s'ouvrir

cliquer sur Delete a NT service...

la fenêtre "Delete a Windows NT service" va s'ouvrir

Entrer dans la zone de dialogue :

 

Netmeeting For Microsoft Windows

 

Note : assurez-vous de ne mettre d'espace, ni avant, ni après !

cliquer OK

 

Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer.

Cliquer NO

 

C'est bien ce que j'ai fait.

 

Voilà le nouveau rapport Hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 22:13:29, on 15/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Propriétaire\Bureau\Scanner.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr9.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr9.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr9.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\hgggeee.dll

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [CamMonitor] c:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{118E2270-8D58-413F-B146-79504B0EC152}: NameServer = 86.64.145.145 84.103.237.145

O17 - HKLM\System\CS1\Services\Tcpip\..\{118E2270-8D58-413F-B146-79504B0EC152}: NameServer = 86.64.145.145 84.103.237.145

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: hgggeee - C:\WINDOWS\SYSTEM32\hgggeee.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe

 

 

 

Et le Killbox est en attente d'utilisation^^.

 

A plus.

Modifié par Dark Sauron

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×