Problème services.exe(bis)

[regis56]

Bonjour Dark Sauron !

 

- redémarre l'ordinateur en mode sans échec

 

- lance Pocket Killbox

--- choisis l'option Delete on Reboot

--- copie le chemin complet du fichier dans la boîte "Full Path of File to Delete" :

--- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard

C:\WINDOWS\system32\hgggeee.dll

C:\WINDOWS\System32\helper.dll

C:\WINDOWS\System32\awtsq.dll

C:\WINDOWS\System32\uvnafkov.dll

C:\WINDOWS\szr_dll.dll

C:\WINDOWS\System32\ctfmon32.exe

C:\WINDOWS\weRecv.exe

* les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.

Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.

--- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"

--- /!\ ATTENTION si un ou des fichiers ".dll" sont présents dans la liste les mettrent en début de liste , et coche "Unregister .dll Before Deleting".

--- clique sur la croix blanche sur fond rouge (Delete File) :

 

- "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder

 

Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.

 

Tu pourras trouver un tutorial complet et détaillé par Jesses : http://perso.wanadoo.fr/jesses/Docs/Logiciels/KillBox.htm

 

Ensuite poste un nouveau rapport hijackthis STP

 

A plus.

[Dark Sauron]

Re

 

Voilà le nouveau rapport hijackthis !

 

Logfile of HijackThis v1.99.1

Scan saved at 23:43:11, on 16/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Propriétaire\Bureau\Scanner.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr9.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr9.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr9.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\hgggeee.dll

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [CamMonitor] c:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: hgggeee - C:\WINDOWS\SYSTEM32\hgggeee.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe

 

A plus !

[regis56]

Bonjour Dark Sauron !

 

Bon ca marche pas !

 

As tu toujours vundofix (par Atribune) sur le pc ? (sinon retélécharge le ici VundoFix.exe )

 

Ensuite fais ceci STP

• Double-clique VundoFix.exe afin de le lancer
  
• Clique sur le bouton Scan for Vundo
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  
• Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse
  

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

 

Si ca ne marche toujours pas tente ceci sTP

• Double-clique VundoFix.exe afin de le lancer.
  
• Clique sur le bouton Scan for Vundo.
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
  
• Si l'outil rapporte qu'aucune infection n'a été trouvée ("No infected files were found"), fais un clic droit dans la fenêtre blanche et clique "Add more files?"
  
• Dans la nouvelle fenêtre qui apparait, Copie/colle le chemin du fichier suivant dans la première case (au haut):
  C:\WINDOWS\SYSTEM32\hgggeee.dll
  
• Copie/colle le chemin du fichier suivant dans la seconde case (au centre):
  C:\WINDOWS\SYSTEM32\eeegggh.*
  
• Clique sur le bouton "Add File(s)"
  
• Clique sur le bouton "Close Window"
  
• Clique à nouveau sur "Remove Vundo"
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
  
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
  
• Démarre ton PC à nouveau.
  
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
  

A plus.

[Dark Sauron]

 

 

Si ca ne marche toujours pas tente ceci sTP

• Double-clique VundoFix.exe afin de le lancer.
  
• Clique sur le bouton Scan for Vundo.
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
  
• Si l'outil rapporte qu'aucune infection n'a été trouvée ("No infected files were found"), fais un clic droit dans la fenêtre blanche et clique "Add more files?"
  
• Dans la nouvelle fenêtre qui apparait, Copie/colle le chemin du fichier suivant dans la première case (au haut):
  C:\WINDOWS\SYSTEM32\hgggeee.dll
  
• Copie/colle le chemin du fichier suivant dans la seconde case (au centre):
  C:\WINDOWS\SYSTEM32\eeegggh.*
  
• Clique sur le bouton "Add File(s)"
  
• Clique sur le bouton "Close Window"
  
• Clique à nouveau sur "Remove Vundo"
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
  

 

A partir de là, Vundofix me dit que les fichiers seront supprimé au prochain redémarrage, le pc redémarre, Vundofix se lance, je clique sur Remove Vundo et là le PC freeze. Apres redémarrage, le fichier hgggeee.dll est toujours là et le rapport Hijackthis ne change pas.

[regis56]

Bonsoir Dark Sauron !

 

Bon comme on avait pas pu faire ceci en mode normal au début on va retenter le coup :

 

Télécharge AVG Anti-Spyware

1. 
   (sauf si tu l'as déjà )
   
2. Lance AVG Anti-Spyware et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
    
   
3. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
    
   
4. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.
   

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

• Du mode Sans Échec, lance AVG Anti-Spyware et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
   
  
• AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. AVG Anti-Spyware affichera "All actions have been applied" du côté droit.
   
  
• Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
   
  
• Redémarre ton ordi en mode Normal.
  

.

 

Je te fais passer un autre outil :

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Prière de poster les rapports suivant dans ta prochaine réponse :

 

1) AVG Anti-Spyware

2) BlackLight

3) Nouveau rapport HijackThis!

 

Bon courage, et @+

Modifié le 18 décembre 2006 par regis56

[Dark Sauron]

Mais je ne peux toujours pas démarrer en mode normal^^'.

 

Edit : Non ça yest j'ai découvert pourquoi services.exe buggait : c'était à cause du rootkit pe386 que j'ai réussi à supprimer grâce à Icesword.

 

Je fais donc ce que tu m'a dit avec AVG et on continue d'essayer d'enlever hgggeee.dll !

Modifié le 18 décembre 2006 par Dark Sauron

[regis56]

RE

 

Bravo Dark Sauron !

 

Comment tu as fait pour pe386 ???

[Dark Sauron]

Re !

 

J'ai recherché comme un dingue sur internet un problème qui ressemblait au mien, avant de trouver une discussion sur un forum où quelqu'un avait presque le même problème que le mien, j'ai donc utilisé le logiciel qu'on lui a conseillé (Icesword) et j'ai découvert pe386. De là ce même logiciel permettait de le supprimer.

 

Sinon voilà le rapport AVG, suivi de celui de Blacklight, et d'un nouveau rapport Hijackthis :

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 10:20:30 19/12/2006

 

+ Résultat de l'analyse:

 

 

 

C:\System Volume Information\_restore{BCBB538F-4B22-4C6E-BAFD-9A806D251BB2}\RP122\A0023023.dll -> Backdoor.Agent.aif : Aucune action entreprise.

:mozilla.20:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\79zp3j4m.default\cookies.txt -> TrackingCookie.Atdmt : Aucune action entreprise.

:mozilla.12:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\79zp3j4m.default\cookies.txt -> TrackingCookie.Bluestreak : Aucune action entreprise.

:mozilla.10:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\79zp3j4m.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.

:mozilla.8:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\79zp3j4m.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.

:mozilla.9:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\79zp3j4m.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.

:mozilla.6:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\79zp3j4m.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.

:mozilla.7:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\79zp3j4m.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.

 

 

Fin du rapport

 

 

12/19/06 10:25:40 [info]: BlackLight Engine 1.0.47 initialized

12/19/06 10:25:40 [info]: OS: 5.1 build 2600 (Service Pack 2)

12/19/06 10:25:42 [Note]: 7019 4

12/19/06 10:25:42 [Note]: 7005 0

12/19/06 10:25:51 [Note]: 7006 0

12/19/06 10:25:51 [Note]: 7011 1740

12/19/06 10:25:51 [Note]: 7026 0

12/19/06 10:25:51 [Note]: 7026 0

12/19/06 10:26:05 [Note]: FSRAW library version 1.7.1020

12/19/06 10:46:43 [Note]: 7007 0

 

 

Logfile of HijackThis v1.99.1

Scan saved at 10:48:28, on 19/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\WINDOWS\System32\hphmon05.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\ALCXMNTR.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\Propriétaire\Bureau\Scanner.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr9.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\hgggeee.dll

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [CamMonitor] c:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{118E2270-8D58-413F-B146-79504B0EC152}: NameServer = 86.64.145.143 84.103.237.143

O17 - HKLM\System\CS1\Services\Tcpip\..\{118E2270-8D58-413F-B146-79504B0EC152}: NameServer = 86.64.145.143 84.103.237.143

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: hgggeee - C:\WINDOWS\SYSTEM32\hgggeee.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

A plus !

[regis56]

Bonsoir Dark sauron !

 

Bon si tu as fais tout seul pour pe386 il va falloir vérifier quelque petites choses

 

As tu toujours Icesword ? si oui garde le il pourrait reservir !

 

Télécharge gmer : http://www.gmer.net/gmer.zip

Déconnecte toi d'internet si possible et ferme tous les programmes.

Décompresse le fichier zip et double-clic sur gmer.exe

IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.

Clic sur l'onglet "rootkit"

A droite, coche "Files" et "Services"

Clic sur Scan

Lorsque le scan est terminé, clic sur "copy"

 

Ouvre le bloc-note et clic sur le Menu Edition / Coller

Le rapport doit alors apparaître.

Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

 

Ensuite

 

Faire une recherche dans la base de registre

 

-Vérifier d'avoir accès à tous les fichiers :

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer l'option : Afficher les fichiers et dossiers cachés

Désactiver l'option : Masquer les extensions des fichiers dont le type est connu

Désactiver l'option : Masquer les fichiers protégés du système d'exploitation

Puis cliquer sur "Appliquer à tous les dossiers"

 

Démarrer/Exécuter / taper NotePad et cliquer sur OK pour lancer le bloc-notes / copier-coller le texte suivant :

 

regedit /a /e %systemdrive%\regkey.txt "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services"
notepad %systemdrive%\regkey.txt
del /q %systemdrive%\regkey.txt

 

Fichier/Enregistrer sous... / Enregistrer dans : Bureau; Nom de fichier : RegKey.bat; Type : Tous les fichiers / Enregistrer

Double-cliquer sur RegKey.bat (sur le bureau), une fenêtre bloc-notes s'ouvre / poster le contenu

Quand on ferme le bloc-notes, la fenêtre CMD se ferme et le fichier texte est effacé.

 

Ouvre HijakThis, puis "Open the Misc Tools Section"

Clic sur Open ADS Spy

Décoche "Quick Scan"

Décoche "Ignore safe system info data streams"

Lance le scan à partir du bouton scan et colle le rapport ici.

 

Si il en reste on le saura !

 

Pour l'instant on va laisser vundo de coté on y reviendra plus tard !

 

A plus.

[Dark Sauron]

Et voilà...

 

le rapport gmer :

 

---- Files - GMER 1.0.12 ----

 

ADS C:\Documents and Settings\All Users\Documents\Mes images\Échantillons d'images\Thumbs.db:encryptable

ADS C:\Documents and Settings\Propriétaire\Mes documents\Documents de Camille\Images\Thumbs.db:encryptable

ADS C:\Documents and Settings\Propriétaire\Mes documents\Documents de Camille\Thumbs.db:encryptable

ADS C:\Documents and Settings\Propriétaire\Mes documents\Mes images\anniversaire camille\Thumbs.db:encryptable

ADS C:\Documents and Settings\Propriétaire\Mes documents\Mes images\bruxelles\Thumbs.db:encryptable

ADS C:\Documents and Settings\Propriétaire\Mes documents\Mes images\Châlons sur Marne\Thumbs.db:encryptable

ADS C:\Documents and Settings\Propriétaire\Mes documents\Mes images\Fête d'école Annabelle\Thumbs.db:encryptable

ADS C:\Documents and Settings\Propriétaire\Mes documents\Mes images\nancy vacances de pâques 2006\Thumbs.db:encryptable

ADS C:\Documents and Settings\Propriétaire\Mes documents\Mes images\neige\Thumbs.db:encryptable

ADS C:\Documents and Settings\Propriétaire\Mes documents\Mes images\nouvel an 2006\Thumbs.db:encryptable

ADS C:\Documents and Settings\Propriétaire\Mes documents\Mes images\Paradisio\Thumbs.db:encryptable

ADS C:\Documents and Settings\Propriétaire\Mes documents\Mes images\photo 1\Thumbs.db:encryptable

ADS C:\Documents and Settings\Propriétaire\Mes documents\Mes images\photo 1\vacances\Thumbs.db:encryptable

ADS C:\Documents and Settings\Propriétaire\Mes documents\Mes images\Thumbs.db:encryptable

ADS C:\Documents and Settings\Propriétaire\Mes documents\Mes images\Vacances d'été 2006\Thumbs.db:encryptable

ADS C:\Documents and Settings\Propriétaire\Mes documents\Mes images\Vieilles photos\Thumbs.db:encryptable

 

---- EOF - GMER 1.0.12 ----

 

Le rapport Regkey.bat est trop long, je ne peux pas le poster.

 

Le rapport hijackthis :

 

C:\Documents and Settings\All Users\Documents\Mes images\Échantillons d'images\Thumbs.db : encryptable (0 bytes)

C:\Documents and Settings\Propriétaire\Mes documents\Documents de Camille\Images\Thumbs.db : encryptable (0 bytes)

C:\Documents and Settings\Propriétaire\Mes documents\Documents de Camille\Thumbs.db : encryptable (0 bytes)

C:\Documents and Settings\Propriétaire\Mes documents\Mes images\anniversaire camille\Thumbs.db : encryptable (0 bytes)

C:\Documents and Settings\Propriétaire\Mes documents\Mes images\bruxelles\Thumbs.db : encryptable (0 bytes)

C:\Documents and Settings\Propriétaire\Mes documents\Mes images\Châlons sur Marne\Thumbs.db : encryptable (0 bytes)

C:\Documents and Settings\Propriétaire\Mes documents\Mes images\Fête d'école Annabelle\Thumbs.db : encryptable (0 bytes)

C:\Documents and Settings\Propriétaire\Mes documents\Mes images\nancy vacances de pâques 2006\Thumbs.db : encryptable (0 bytes)

C:\Documents and Settings\Propriétaire\Mes documents\Mes images\neige\Thumbs.db : encryptable (0 bytes)

C:\Documents and Settings\Propriétaire\Mes documents\Mes images\nouvel an 2006\Thumbs.db : encryptable (0 bytes)

C:\Documents and Settings\Propriétaire\Mes documents\Mes images\Paradisio\Thumbs.db : encryptable (0 bytes)

C:\Documents and Settings\Propriétaire\Mes documents\Mes images\photo 1\Thumbs.db : encryptable (0 bytes)

C:\Documents and Settings\Propriétaire\Mes documents\Mes images\photo 1\vacances\Thumbs.db : encryptable (0 bytes)

C:\Documents and Settings\Propriétaire\Mes documents\Mes images\Thumbs.db : encryptable (0 bytes)

C:\Documents and Settings\Propriétaire\Mes documents\Mes images\Vacances d'été 2006\Thumbs.db : encryptable (0 bytes)

C:\Documents and Settings\Propriétaire\Mes documents\Mes images\Vieilles photos\Thumbs.db : encryptable (0 bytes)

Modifié le 19 décembre 2006 par Dark Sauron