Problème Winlogon et Trojan

[WILL 74]

Bonjour à tous et toutes,

 

Voila en quelleque ligne mes logiciel et PB :

 

J'ai F-secure comme antivirus (fourni par mon FAI) il m'affiche trés régulierement (toutes les 2 minutes) un message :

 

fichier contaminé : C:\windows\system32\winlogon.exe

objet: trojan.win32.patched.g

action: rejeter

 

ainsi qu'un message me demandant quoi faire pour :

trojan.win32.patched.g

 

avec comme possibilité :

Nettoyer (-> il me dit qu'il ne peut pas!)

supprime

ne rien faire

 

J'ai télécharger Avast! pour voir mais toujour même probleme. Idem avec Adawre.

 

J'ai vu sur des post similaire que l'on conseillet de mettre Hijackthis et de lancer un scan puis de le mettre donc le voici :

 

Logfile of HijackThis v1.99.1

Scan saved at 10:04:21, on 16/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

E:\avast\aswUpdSv.exe

E:\avast\ashServ.exe

E:\PACKSE~1\backweb\361343\Program\SERVIC~1.EXE

E:\pack securite\Anti-Virus\fsgk32st.exe

E:\pack securite\Anti-Virus\FSGK32.EXE

E:\pack securite\backweb\361343\program\fsbwsys.exe

E:\pack securite\Common\FSMA32.EXE

C:\WINDOWS\System32\GEARSec.exe

E:\pack securite\Common\FSMB32.EXE

E:\pack securite\Anti-Virus\fssm32.exe

E:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe

E:\pack securite\Common\FCH32.EXE

E:\pack securite\Common\FAMEH32.EXE

E:\Ghost\Agent\VProSvc.exe

E:\pack securite\Anti-Virus\fsrw.exe

E:\pack securite\FSPC\fspc.exe

E:\pack securite\FWES\Program\fsdfwd.exe

E:\avast\ashMaiSv.exe

E:\avast\ashWebSv.exe

E:\pack securite\Anti-Virus\fsav32.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

E:\pack securite\Common\FSM32.EXE

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

E:\PACKSE~1\ANTI-S~1\fsaw.exe

C:\Program Files\MSI\Live Update 3\LMonitor.exe

C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe

C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe

E:\pack securite\FSGUI\fsguidll.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE

E:\avast\ashDisp.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

E:\pack securite\backweb\361343\Program\fspex.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\svchost.exe

G:\logitiel\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: (no name) - {84938242-5C5B-4A55-B6B9-A1507543B418} - (no file)

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [F-Secure Manager] "E:\pack securite\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "E:\pack securite\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [F-Secure Startup Wizard] "E:\pack securite\FSGUI\FSSW.EXE" /reboot

O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe

O4 - HKLM\..\Run: [PMCS] "C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe" -host -clearDebug

O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Program Files\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles

O4 - HKLM\..\Run: [PMCRemote] C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe

O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"

O4 - HKLM\..\Run: [avast!] E:\avast\ashDisp.exe

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Pack Securite.lnk = E:\pack securite\backweb\361343\Program\fspex.exe

O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - E:\pack securite\Anti-Spyware\blockpopups.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Filtre Web - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - E:\pack securite\FSPC\fspcmsie.dll

O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - E:\pack securite\FSPC\fspcmsie.dll

O9 - Extra 'Tools' menuitem: Filtre Web - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - E:\pack securite\FSPC\fspcmsie.dll

O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - E:\pack securite\Anti-Spyware\ieshield.dll

O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - E:\pack securite\Anti-Spyware\ieshield.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing

O17 - HKLM\System\CCS\Services\Tcpip\..\{A35C455C-18F6-4FC7-95E7-379C340CF9E3}: NameServer = 192.168.1.1

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: hirtellous - {fa19bd7e-50bc-4203-80ac-c4edc81ca9a3} - (no file)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\avast\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - E:\avast\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - E:\avast\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - E:\avast\ashWebSv.exe" /service (file missing)

O23 - Service: Pack Securite (BackWeb Plug-in - 361343) - BackWeb Technologies Inc. - E:\PACKSE~1\backweb\361343\Program\SERVIC~1.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - E:\pack securite\Anti-Virus\fsgk32st.exe

O23 - Service: fsbwsys - F-Secure Corp. - E:\pack securite\backweb\361343\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - E:\pack securite\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - E:\pack securite\FSPC\fshttps\fshttps.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - E:\pack securite\Common\FSMA32.EXE

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe

O23 - Service: LanTool - N37dev - E:\logiciel reseau\LanTool\LanTool.exe

O23 - Service: Norton Ghost - Symantec Corporation - E:\Ghost\Agent\VProSvc.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

 

Si quelqu'un peu m'aider merci d'avance car ces message récurant sont trés agasant surtout qu'il me font planté mon firewall..... Au passage existe til une méthode efficace pour ce protéger de ces saleté!!!

 

Merci Will

[bruce lee]

Bonjour WILL 74 et bienvenue sur zebulon

 

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou ici: http://siri.geekstogo.com/SmitfraudFix.exe (de S!Ri) sur ton bureau

 

 

2/Double cliquer sur smitfraudfix.exe

 

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

sauvegarde ce rapport et poste le

 

 

Désinstalle avast via ajouts/suppression de programmes.

 

telecharge sur le bureau:

 

ftp://ftp.symantec.com/public/english_us_...emoval_Tool.exe

 

tu le lances, puis tu suis les instructions à l'écran.Il est censé virer toutes les versions du programme.

 

@+

[WILL 74]

Salut bruce lee

 

J'ai déja lance smitfraudfix mais j'ai toujours le soucis.

 

Je vais essaye ta solution avec emoval tools.

 

Je te tiens au courant...

 

A+

[WILL 74]

Re-

 

J'ai fait comme indiquer avec en plus en mode sans echec un coup de regcleaner plus une recherche avec avast avant de le désinstaller j'ai lancer norton remove tools et j'ai toujours mon souci de trjan et de winlogon....

 

D'autre suggestion peut être... moi j'ai beau me creusé je vois pas....

 

Au fait ce winlogon il sert à quoi???

 

MErci will

 

Logfile of HijackThis v1.99.1

Scan saved at 14:10:28, on 16/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

E:\PACKSE~1\backweb\361343\Program\SERVIC~1.EXE

E:\pack securite\Anti-Virus\fsgk32st.exe

E:\pack securite\Anti-Virus\FSGK32.EXE

E:\pack securite\backweb\361343\program\fsbwsys.exe

E:\pack securite\Common\FSMA32.EXE

C:\WINDOWS\System32\GEARSec.exe

E:\pack securite\Common\FSMB32.EXE

E:\pack securite\Anti-Virus\fssm32.exe

E:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe

E:\pack securite\Common\FCH32.EXE

E:\pack securite\Common\FAMEH32.EXE

E:\pack securite\Anti-Virus\fsrw.exe

E:\pack securite\FSPC\fspc.exe

E:\pack securite\FWES\Program\fsdfwd.exe

E:\pack securite\Anti-Virus\fsav32.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

E:\pack securite\Common\FSM32.EXE

E:\PACKSE~1\ANTI-S~1\fsaw.exe

C:\Program Files\MSI\Live Update 3\LMonitor.exe

C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe

C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe

E:\pack securite\FSGUI\fsguidll.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

C:\WINDOWS\System32\svchost.exe

E:\pack securite\backweb\361343\Program\fspex.exe

C:\Program Files\Pinnacle\Shared Files\Programs\PclePvr\VideoControl.exe

E:\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: (no name) - {84938242-5C5B-4A55-B6B9-A1507543B418} - (no file)

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [F-Secure Manager] "E:\pack securite\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "E:\pack securite\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [F-Secure Startup Wizard] "E:\pack securite\FSGUI\FSSW.EXE" /reboot

O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe

O4 - HKLM\..\Run: [PMCS] "C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe" -host -clearDebug

O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Program Files\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles

O4 - HKLM\..\Run: [PMCRemote] C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe

O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Pack Securite.lnk = E:\pack securite\backweb\361343\Program\fspex.exe

O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - E:\pack securite\Anti-Spyware\blockpopups.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Filtre Web - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - E:\pack securite\FSPC\fspcmsie.dll

O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - E:\pack securite\FSPC\fspcmsie.dll

O9 - Extra 'Tools' menuitem: Filtre Web - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - E:\pack securite\FSPC\fspcmsie.dll

O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - E:\pack securite\Anti-Spyware\ieshield.dll

O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - E:\pack securite\Anti-Spyware\ieshield.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing

O17 - HKLM\System\CCS\Services\Tcpip\..\{A35C455C-18F6-4FC7-95E7-379C340CF9E3}: NameServer = 192.168.1.1

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: hirtellous - {fa19bd7e-50bc-4203-80ac-c4edc81ca9a3} - (no file)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Pack Securite (BackWeb Plug-in - 361343) - BackWeb Technologies Inc. - E:\PACKSE~1\backweb\361343\Program\SERVIC~1.EXE

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - E:\pack securite\Anti-Virus\fsgk32st.exe

O23 - Service: fsbwsys - F-Secure Corp. - E:\pack securite\backweb\361343\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - E:\pack securite\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - E:\pack securite\FSPC\fshttps\fshttps.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - E:\pack securite\Common\FSMA32.EXE

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe

O23 - Service: LanTool - N37dev - E:\logiciel reseau\LanTool\LanTool.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

 

Rapport .txt de smitfraudfix :

 

SmitFraudFix v2.127

 

Rapport fait à 14:14:42,68, 16/02/2007

Executé à partir de C:\Documents and Settings\WILL\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\WILL

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\WILL\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\WILL\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{fa19bd7e-50bc-4203-80ac-c4edc81ca9a3}"="hirtellous"

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Modifié le 16 février 2007 par WILL 74

[bruce lee]

re,

 

Si durant la procédure ci-dessous, il y a des étapes que tu n'as pas reussi a faire, merci de continuer la procédure jusqu'au bout et de les signaler dans ta prochaine reponse.

 

Je te conseille d'enregistrer la page web compléte sous Internet Explorer comme ceci :

 

* Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht) / Enregistre la sur le bureau,comme cela tu retrouvera la mise en forme ou imprime cette réponse. Une partie de la désinfection se déroulera en mode sans échec.

 

 

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

 

 

 

2/Démarre en mode sans échec http://www.sosordi.net/Faq/Faq.2.html

 

 

3/fais:

demarer executer services.msc repere Symantec Core LC

 

Double clic dessus :dans le champs Statut du service met le sur arrêté

dans le champs Type de démarrage met le sur désactivé puis

Appliquer puis ok .

 

 

maintenant on va supprimer le service:

 

demarrer/executer/ cmd

 

execute cette commande qui est en citation sans le mot citation:

 

sc delete Symantec Corporation

 

 

4/lance hijackthis en cliquant sur scanner seulement et coche ces lignes:

 

O3 - Toolbar: (no name) - {84938242-5C5B-4A55-B6B9-A1507543B418} - (no file)

O21 - SSODL: hirtellous - {fa19bd7e-50bc-4203-80ac-c4edc81ca9a3} - (no file)

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fixer objet

 

 

5/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier infecté est détecté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

 

6/Redémarre en mode normal

 

7/Poste le rapport d'AVG Anti spyware 7.5 ainsi qu'un nouveau log Hijackthis.

 

Bon courage, et si tu as la moindre question n'hésite surtout pas

 

@+

[WILL 74]

Salut Bruce Lee

 

J'ai fait comme tu me l'a indiquer et j'ai toujour mes bug. J'ai entre temps instazller Spyware dotor mis tjrs même Pb Voici lers rapport :

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 18:46:01 17/02/2007

 

+ Résultat de l'analyse:

 

 

 

E:\pack securite\FWES\program\fsdfwd.exe -> Adware.Gator : Aucune action entreprise.

HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} -> Adware.Generic : Aucune action entreprise.

HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} -> Adware.Generic : Aucune action entreprise.

HKU\S-1-5-21-1644491937-507921405-682003330-1007\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} -> Adware.Generic : Aucune action entreprise.

E:\System Volume Information\_restore{89BFA9F7-8CB2-4CC0-BCB1-FF52722817D8}\RP44\A0009185.exe -> Downloader.Small : Aucune action entreprise.

C:\Documents and Settings\WILL\Cookies\will@adbrite[2].txt -> TrackingCookie.Adbrite : Aucune action entreprise.

E:\Visual_Basic_exemple\Projet\Raccourci\Form1.frm -> Trojan.ExitWindows.e : Aucune action entreprise.

 

 

Fin du rapport

 

 

Logfile of HijackThis v1.99.1

Scan saved at 19:08:09, on 17/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

E:\avg sw\AVG Anti-Spyware 7.5\guard.exe

E:\PACKSE~1\backweb\361343\Program\SERVIC~1.EXE

E:\pack securite\Anti-Virus\fsgk32st.exe

E:\pack securite\Anti-Virus\FSGK32.EXE

E:\pack securite\backweb\361343\program\fsbwsys.exe

E:\pack securite\Common\FSMA32.EXE

C:\WINDOWS\System32\GEARSec.exe

E:\pack securite\Common\FSMB32.EXE

E:\pack securite\Anti-Virus\fssm32.exe

E:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe

E:\Spyware Doctor\sdhelp.exe

E:\pack securite\Common\FCH32.EXE

E:\pack securite\Common\FAMEH32.EXE

E:\pack securite\Anti-Virus\fsrw.exe

E:\pack securite\FSPC\fspc.exe

E:\pack securite\FSPC\fshttps\fshttps.exe

E:\pack securite\FWES\Program\fsdfwd.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\Ati2evxx.exe

E:\pack securite\Anti-Virus\fsav32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\WINDOWS\System32\svchost.exe

E:\PACKSE~1\ANTI-S~1\fsaw.exe

C:\Program Files\MSI\Live Update 3\LMonitor.exe

C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe

C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE

E:\a-squared Anti-Malware\a2guard.exe

E:\AVG\avgcc.exe

E:\pack securite\FSGUI\fsguidll.exe

E:\avg sw\AVG Anti-Spyware 7.5\avgas.exe

E:\SPYWAR~1\swdoctor.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

E:\pack securite\backweb\361343\Program\fspex.exe

C:\Program Files\Pinnacle\Shared Files\Programs\PclePvr\VideoControl.exe

E:\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - E:\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - E:\SPYWAR~1\tools\iesdpb.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [F-Secure Manager] "E:\pack securite\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "E:\pack securite\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [F-Secure Startup Wizard] "E:\pack securite\FSGUI\FSSW.EXE" /reboot

O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe

O4 - HKLM\..\Run: [PMCS] "C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe" -host -clearDebug

O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Program Files\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles

O4 - HKLM\..\Run: [PMCRemote] C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe

O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"

O4 - HKLM\..\Run: [a-squared] "E:\a-squared Anti-Malware\a2guard.exe"

O4 - HKLM\..\Run: [AVG7_CC] E:\AVG\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "E:\avg sw\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [spyware Doctor] E:\SPYWAR~1\swdoctor.exe /Q

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Pack Securite.lnk = E:\pack securite\backweb\361343\Program\fspex.exe

O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - E:\pack securite\Anti-Spyware\blockpopups.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Filtre Web - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - E:\pack securite\FSPC\fspcmsie.dll

O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - E:\pack securite\FSPC\fspcmsie.dll

O9 - Extra 'Tools' menuitem: Filtre Web - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - E:\pack securite\FSPC\fspcmsie.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - E:\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - E:\pack securite\Anti-Spyware\ieshield.dll

O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - E:\pack securite\Anti-Spyware\ieshield.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A35C455C-18F6-4FC7-95E7-379C340CF9E3}: NameServer = 192.168.1.1

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - E:\avg sw\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Pack Securite (BackWeb Plug-in - 361343) - BackWeb Technologies Inc. - E:\PACKSE~1\backweb\361343\Program\SERVIC~1.EXE

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - E:\pack securite\Anti-Virus\fsgk32st.exe

O23 - Service: fsbwsys - F-Secure Corp. - E:\pack securite\backweb\361343\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - E:\pack securite\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - E:\pack securite\FSPC\fshttps\fshttps.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - E:\pack securite\Common\FSMA32.EXE

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - E:\Spyware Doctor\sdhelp.exe

 

Bon Week A+

[bruce lee]

re,

 

Tu as mal utilisé AVG AS il te faut recommencer toute la manip le concernant.

 

ensuite:

 

Fais un scan en ligne avec http://webscanner.kaspersky.fr/kavwebscan.html

 

dans la nouvelle fenetre qui s'affiche clique sur J'accepte

 

On va te demander de télécharger un ou deux contôle active x, accepte . Laisse le faire les mises à jour puis quand il aura finit clique sur Suivant

 

Dans le menu Choisissez la cible de l'analyse , sélectionne Poste de travail .

Le scan va commencer.Poste le rapport qui sera généré stp.

 

Si il y a un problème, assure toi que les contrôles active x soient bien configurés dans les options internet comme

 

décrit sur ce lien=> http://www.inoculer.com/activex.php3

 

NOTE: le scan est a faire avec Internet Explorer

 

@ plus tard

[WILL 74]

SAlut

 

Pour Kaspersky j'ai déja lancé une analyse complète Vendredi Mais elle n'as rien donné.. JE vais quand même recommencer.

 

Pour la suppression du service Symantec sous dos Il n'a pas fonctionner il m'a afficher un message me disant qu'il ne pouvait pas le supprimé..

 

Je vais essayer de voir ce que j'ai mal fait pour AVG AS et te reposte les 3 rapport : Kaspersky,AVGAS et HijackThis.

 

Merci du temps que tu me consacre.

 

A+

[WILL 74]

re-

 

Voici les rapports :

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 12:55:01 18/02/2007

 

+ Résultat de l'analyse:

 

 

 

E:\pack securite\FWES\program\fsdfwd.exe -> Adware.Gator : Nettoyé et sauvegardé (mise en quarantaine).

HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).

HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).

HKU\S-1-5-21-1644491937-507921405-682003330-1007\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).

E:\System Volume Information\_restore{89BFA9F7-8CB2-4CC0-BCB1-FF52722817D8}\RP44\A0009185.exe -> Downloader.Small : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\WILL\Cookies\will@adbrite[2].txt -> TrackingCookie.Adbrite : Nettoyé.

E:\Visual_Basic_exemple\Projet\Raccourci\Form1.frm -> Trojan.ExitWindows.e : Nettoyé et sauvegardé (mise en quarantaine).

 

 

Fin du rapport

 

 

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Sunday, February 18, 2007 4:05:15 PM

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 18/02/2007

Enregistrements dans la base antivirus Kaspersky : 254079

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: standard

Analyser les archives: vrai

Analyser les bases de messagerie: vrai

 

Cible de l'analyse - Poste de travail:

A:\

C:\

D:\

E:\

F:\

G:\

H:\

I:\

 

Statistiques de l'analyse:

Total d'objets analysés: 88252

Nombre de virus trouvés: 0

Nombre d'objets infectés: 0 / 0

Nombre d'objets suspects: 0

Durée de l'analyse: 01:40:07

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log.lck L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\3ccc374b1efc31619cb6cc56a4118d9a_0eadc120-b06c-4aa1-8a1c-8e7905a60b70 L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\6603372924802a0e53710bfc57b9dc2a_0eadc120-b06c-4aa1-8a1c-8e7905a60b70 L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\824a8a63359e963c83e7e97cb2ddd8db_0eadc120-b06c-4aa1-8a1c-8e7905a60b70 L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\c7c77a1546f7f33cd7d148559db20df4_0eadc120-b06c-4aa1-8a1c-8e7905a60b70 L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré

C:\Documents and Settings\HELENE\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\HELENE\Local Settings\Application Data\ApplicationHistory\PMC.Service.Main.exe.d04bbf2f.ini.inuse L'objet est verrouillé ignoré

C:\Documents and Settings\HELENE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\HELENE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\HELENE\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\HELENE\Local Settings\Historique\History.IE5\MSHist012007021820070219\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\HELENE\Local Settings\Temp\Perflib_Perfdata_204.dat L'objet est verrouillé ignoré

C:\Documents and Settings\HELENE\Local Settings\Temp\Perflib_Perfdata_374.dat L'objet est verrouillé ignoré

C:\Documents and Settings\HELENE\Local Settings\Temp\tmp76.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\HELENE\Local Settings\Temp\tmp79.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\HELENE\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\HELENE\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\HELENE\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\itouch_crash_info.txt L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{89BFA9F7-8CB2-4CC0-BCB1-FF52722817D8}\RP46\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\rnapxs\rnapxs.dat L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\ACEEvent.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\winlogon.exe L'objet est verrouillé ignoré

C:\WINDOWS\Temp\Perflib_Perfdata_248.dat L'objet est verrouillé ignoré

C:\WINDOWS\Temp\Perflib_Perfdata_6b4.dat L'objet est verrouillé ignoré

D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

E:\pack securite\backweb\361343\Users\Default\Data\chandir.dat L'objet est verrouillé ignoré

E:\pack securite\backweb\361343\Users\Default\Data\chandir.idx L'objet est verrouillé ignoré

E:\pack securite\backweb\361343\Users\Default\Data\chn.dat L'objet est verrouillé ignoré

E:\pack securite\backweb\361343\Users\Default\Data\chn.idx L'objet est verrouillé ignoré

E:\pack securite\backweb\361343\Users\Default\Data\D0000000.FCS L'objet est verrouillé ignoré

E:\pack securite\backweb\361343\Users\Default\Data\fsbwupst.log L'objet est verrouillé ignoré

E:\pack securite\backweb\361343\Users\Default\Data\inuse.txt L'objet est verrouillé ignoré

E:\pack securite\backweb\361343\Users\Default\Data\L0000008.FCS L'objet est verrouillé ignoré

E:\pack securite\backweb\361343\Users\Default\Data\main.log L'objet est verrouillé ignoré

E:\pack securite\backweb\361343\Users\Default\Data\prs.dat L'objet est verrouillé ignoré

E:\pack securite\backweb\361343\Users\Default\Data\prs.idx L'objet est verrouillé ignoré

E:\pack securite\backweb\361343\Users\Default\Data\prs_die.dat L'objet est verrouillé ignoré

E:\pack securite\backweb\361343\Users\Default\Data\prs_die.idx L'objet est verrouillé ignoré

E:\pack securite\backweb\361343\Users\Default\Data\prs_dnd.dat L'objet est verrouillé ignoré

E:\pack securite\backweb\361343\Users\Default\Data\prs_dnd.idx L'objet est verrouillé ignoré

E:\pack securite\backweb\361343\Users\Default\Data\prs_ext.dat L'objet est verrouillé ignoré

E:\pack securite\backweb\361343\Users\Default\Data\prs_ext.idx L'objet est verrouillé ignoré

E:\pack securite\backweb\361343\Users\Default\Data\prs_rcv.dat L'objet est verrouillé ignoré

E:\pack securite\backweb\361343\Users\Default\Data\prs_rcv.idx L'objet est verrouillé ignoré

E:\pack securite\backweb\361343\Users\Default\Data\storydb.dat L'objet est verrouillé ignoré

E:\pack securite\backweb\361343\Users\Default\Data\storydb.idx L'objet est verrouillé ignoré

E:\pack securite\Common\admin.pub L'objet est verrouillé ignoré

E:\pack securite\Common\policy.bpf L'objet est verrouillé ignoré

E:\pack securite\Common\policy.ipf L'objet est verrouillé ignoré

E:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Data\master.mdf L'objet est verrouillé ignoré

E:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Data\mastlog.ldf L'objet est verrouillé ignoré

E:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Data\model.mdf L'objet est verrouillé ignoré

E:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Data\modellog.ldf L'objet est verrouillé ignoré

E:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Data\PinnacleSys_PMC.mdf L'objet est verrouillé ignoré

E:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Data\PinnacleSys_PMC_log.LDF L'objet est verrouillé ignoré

E:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Data\tempdb.mdf L'objet est verrouillé ignoré

E:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Data\templog.ldf L'objet est verrouillé ignoré

E:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\LOG\ERRORLOG L'objet est verrouillé ignoré

E:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

E:\System Volume Information\_restore{89BFA9F7-8CB2-4CC0-BCB1-FF52722817D8}\RP46\change.log L'objet est verrouillé ignoré

F:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

G:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

 

Analyse terminée.

 

Logfile of HijackThis v1.99.1

Scan saved at 16:05:45, on 18/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

E:\avg sw\AVG Anti-Spyware 7.5\guard.exe

E:\PACKSE~1\backweb\361343\Program\SERVIC~1.EXE

E:\pack securite\Anti-Virus\fsgk32st.exe

E:\pack securite\Anti-Virus\FSGK32.EXE

E:\pack securite\backweb\361343\program\fsbwsys.exe

E:\pack securite\Common\FSMA32.EXE

C:\WINDOWS\System32\GEARSec.exe

E:\pack securite\Common\FSMB32.EXE

E:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe

E:\pack securite\Anti-Virus\fssm32.exe

E:\pack securite\Common\FCH32.EXE

E:\Spyware Doctor\sdhelp.exe

E:\pack securite\Common\FAMEH32.EXE

E:\pack securite\Anti-Virus\fsrw.exe

E:\pack securite\FSPC\fspc.exe

E:\pack securite\FSPC\fshttps\fshttps.exe

C:\WINDOWS\System32\alg.exe

E:\pack securite\Anti-Virus\fsav32.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

E:\pack securite\Common\FSM32.EXE

C:\Program Files\MSI\Live Update 3\LMonitor.exe

C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE

E:\a-squared Anti-Malware\a2guard.exe

E:\AVG\avgcc.exe

E:\avg sw\AVG Anti-Spyware 7.5\avgas.exe

E:\SPYWAR~1\swdoctor.exe

E:\pack securite\backweb\361343\Program\fspex.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

E:\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - E:\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - E:\SPYWAR~1\tools\iesdpb.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [F-Secure Manager] "E:\pack securite\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "E:\pack securite\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [F-Secure Startup Wizard] "E:\pack securite\FSGUI\FSSW.EXE" /reboot

O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe

O4 - HKLM\..\Run: [PMCS] "C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe" -host -clearDebug

O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Program Files\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles

O4 - HKLM\..\Run: [PMCRemote] C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe

O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"

O4 - HKLM\..\Run: [a-squared] "E:\a-squared Anti-Malware\a2guard.exe"

O4 - HKLM\..\Run: [AVG7_CC] E:\AVG\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "E:\avg sw\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [spyware Doctor] E:\SPYWAR~1\swdoctor.exe /Q

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Pack Securite.lnk = E:\pack securite\backweb\361343\Program\fspex.exe

O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - E:\pack securite\Anti-Spyware\blockpopups.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Filtre Web - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - E:\pack securite\FSPC\fspcmsie.dll

O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - E:\pack securite\FSPC\fspcmsie.dll

O9 - Extra 'Tools' menuitem: Filtre Web - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - E:\pack securite\FSPC\fspcmsie.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - E:\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - E:\pack securite\Anti-Spyware\ieshield.dll

O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - E:\pack securite\Anti-Spyware\ieshield.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A35C455C-18F6-4FC7-95E7-379C340CF9E3}: NameServer = 192.168.1.1

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - E:\avg sw\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Pack Securite (BackWeb Plug-in - 361343) - BackWeb Technologies Inc. - E:\PACKSE~1\backweb\361343\Program\SERVIC~1.EXE

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - E:\pack securite\Anti-Virus\fsgk32st.exe

O23 - Service: fsbwsys - F-Secure Corp. - E:\pack securite\backweb\361343\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - Unknown owner - E:\pack securite\FWES\Program\fsdfwd.exe (file missing)

O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - E:\pack securite\FSPC\fshttps\fshttps.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - E:\pack securite\Common\FSMA32.EXE

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - E:\Spyware Doctor\sdhelp.exe

 

 

 

A savoir que j'ai toujours le probleme mais je n'est pas encore redemarrer.

 

A+ et encore merci

[bruce lee]

Re,

 

Tout est clean.

 

Redemarre le PC et voit si tu as encore des alertes.

 

@+