Reboot windows dès connexion suite trojan-gen

[mailme]

Bonjour à tous,

 

Je me permets de vous soumettre mon cas car je suis bloqué, voici ce qui se passe :

 

Environnement :

- Tout d'abord, il s'agit du PC de mon beau-père

- Windows 2000 SP2 5.00.2195

- Avast anti-virus à jour

- IE 6.0.2800.1106

 

Historique :

Avast signalait la présence d'un virus "Win32 Trojan-gen" mais il ne semblait pas pouvoir le supprimer ou le mettre en quarantaine. J'ai fini par réussir à m'en débarrasser grâce à HijackThis et à votre forum (un grand merci au passage).

Simultanément à ce problème de virus le PC s'est mis à rebooter sauvagement dès qu'une connexion internet était établie.

 

Mon problème :

Malgré le grand nettoyage que j'ai effectué (élimination des virus, des spyware et autres cochoneries), Windows reboot toujours brutalement dès qu'une connexion internet est établie. Tant que la communication avec l'extérieur est impossible (câble réseau débranché, configuration inadaptée, carte ethernet enlevée etc...) tout va bien mais dès que le moindre petit paquet peut passer dans les tuyaux au bout d'une demi seconde c'est reboot direct (j'ai l'impression de voir un ecran bleu mais c'est si rapide que je n'en suis même pas sûr).

Autre précision si la connexion internet est bien configurée, au reboot la machine s'arrête et reboot à nouveau, je suis obligé de débrancher le câble ethernet pour pouvoir accéder à windows à nouveau.

 

Ce que j'ai déjà tenté :

- J'ai essayé avec différents types de connections (ADSL le neuf, Ethernet sur le réseau de ma boîte).

- J'ai essayé avec différentes cartes ethernet sur différents ports PCI

- J'ai essayé en stoppant tout programme susceptible de géner (j'ai tout arrété sauf windows et IE)

 

La seule fois ou j'ai réussit à établir une connexion c'était en mode sans echec. Mais dans ce cas, il m'est impossible de joindre windows update ou aucun site intrenet (ce qui est peut-être normal en mode sans echec).

 

Je ne sais vraiment plus quoi tenter maintenant. Alors je me suis dit que j'allais demander de l'aide et j'ai pensé à vous

 

Tout d'abord, est-ce que vous pourriez regarder le rapport HijackThis et me dire s'il subsiste des choses anormales (je pense avoir fait le ménage mais on ne sait jamais).

 

Merci d'avance.

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 16:08:12, on 12/03/2007

Platform: Windows 2000 SP2 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\savedump.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\pctspk.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\Mixer.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Documents and Settings\bonfill\Bureau\AV\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wz-conseil.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [eBayToolbar] C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe

O4 - HKCU\..\Run: [spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1170694926193

O17 - HKLM\System\CCS\Services\Tcpip\..\{5004BD58-7AC4-4B2E-9285-0D13E600FDF5}: NameServer = 212.27.32.176,212.27.32.177

O17 - HKLM\System\CS1\Services\Tcpip\..\{5004BD58-7AC4-4B2E-9285-0D13E600FDF5}: NameServer = 212.27.32.176,212.27.32.177

O17 - HKLM\System\CS2\Services\Tcpip\..\{5004BD58-7AC4-4B2E-9285-0D13E600FDF5}: NameServer = 212.27.32.176,212.27.32.177

O21 - SSODL: gCEyLJwb - {08B1E9F6-A21B-435C-C1E9-D7CC4DEEF7CD} - C:\WINNT\System32\vmr.dll (file missing)

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: W2K PCtel speaker phone (Pctspk) - PCtel, Inc. - C:\WINNT\System32\pctspk.exe

Modifié le 12 mars 2007 par mailme

[Thanos]

salut

 

Poste moi un rapport comme ceci stp >

 

Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.

 

Il serait intéressant de voir quel est le message d'erreur lors du plantage!!

 

Fais un clic droit sur l'icone du Poste de travail=>Propriétés=>Avancé=>Démarrage et récupération=>Paramètres=>dans

"Défaillances du système"=>décocher "Redémarrer automatiquement". Puis tu valides.

 

Si le problème se pose de nouveau tu auras le temps de relever le message

Modifié le 12 mars 2007 par charles ingals

[mailme]

salut

 

Poste moi un rapport comme ceci stp >

 

Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.

 

Il serait intéressant de voir quel est le message d'erreur lors du plantage!!

 

Fais un clic droit sur l'icone du Poste de travail=>Propriétés=>Avancé=>Démarrage et récupération=>Paramètres=>dans

"Défaillances du système"=>décocher "Redémarrer automatiquement". Puis tu valides.

 

Si le problème se pose de nouveau tu auras le temps de relever le message

 

 

Salut et merci pour ton aide,

 

J'ai fait comme tu m'as dit.

 

Tu trouvera ci-dessous le rapport Diaghelp.

 

J'ai aussi pu noter le message d'erreur lors de l'arret de la machine, le voici :

" STOP: 0x0000001E (0xC0000005, 0x00000000, 0x00000000, 0x00000000) KMODE_EXEPTION_NOT_HANDLED

Début du vidage de la mémoire physique.

Vidage de la mémoire physique terminé. Contactez votre administrateur, etc..."

 

Sinon je viens de remarquer des fichiers très suspects à mon avis à la racine du disque C:, il s'agit de trois fichiers només grep.exe, diff.exe et reboot.exe. Mais ces fichiers sont peut-être liés à DiagHelp.

 

Merci d'avance pour ton aide précieuse.

 

 

//// Fichier rapport DiagHelp

 

C:\WINNT\System32/drivers\aswRdr.sys -->15/01/2007 18:26:08

 

C:\WINNT\System32/drivers\aswTdi.sys -->15/01/2007 18:25:24

 

C:\WINNT\System32/drivers\aswmon.sys -->21/12/2006 00:56:13

 

C:\WINNT\System32/drivers\aswmon2.sys -->21/12/2006 00:56:00

 

C:\WINNT\System32/drivers\aavmker4.sys -->21/12/2006 00:51:58

 

C:\WINNT\System32/drivers\PCASp50.sys -->19/11/2005 02:13:18

 

C:\WINNT\System32/drivers\pfc.sys -->06/10/2004 07:23:58

 

 

 

C:\WINNT\SchedLgU.Txt -->13/03/2007 10:15:15

 

C:\WINNT\cmmixer.ini -->13/03/2007 10:15:09

 

C:\WINNT\ShellIconCache -->12/03/2007 19:30:26

 

C:\WINNT\setupapi.log -->12/03/2007 16:22:59

 

C:\WINNT\ntbtlog.txt -->07/03/2007 12:17:45

 

C:\WINNT\ModemLog_HSP56 MicroModem.txt -->07/03/2007 10:40:52

 

C:\WINNT\ModemLog_Olitec PCI 56K Modem.txt -->07/03/2007 10:37:02

 

C:\WINNT\pcdhyso.dll -->28/02/2007 18:28:24

 

C:\WINNT\Papier-peint.bmp d'ACD -->27/02/2007 18:42:29

 

C:\WINNT\System.ini -->16/02/2007 10:38:48

 

C:\WINNT\ODBC.INI -->09/12/2006 19:38:47

 

C:\WINNT\win.ini -->29/11/2006 20:58:23

 

C:\WINNT\wcpx_.dat -->20/11/2006 19:33:13

 

C:\WINNT\KB823980.log -->18/11/2006 19:02:38

 

C:\WINNT\~TempMui.inf -->19/10/2006 19:30:25

 

 

 

C:\WINNT\GPInstall.exe |26/03/2003 08:45:25

 

C:\WINNT\IsUn040c.exe |09/04/2003 15:30:58

 

C:\WINNT\IsUninst.exe |25/03/2003 17:18:05

 

C:\WINNT\mixer.exe |25/03/2003 17:07:38

 

C:\WINNT\mUninstallFR.exe |24/11/2004 19:04:38

 

C:\WINNT\twunk_16.exe |08/05/2001 01:00:00

 

C:\WINNT\twunk_32.exe |08/05/2001 01:00:00

 

C:\WINNT\unin040c.exe |24/11/2004 14:18:17

 

C:\WINNT\uninst.exe |23/10/2003 19:32:11

 

C:\WINNT\unvise32qt.exe |30/08/2003 12:13:03

 

C:\WINNT\twain.dll |08/05/2001 01:00:00

 

C:\WINNT\twain_32.dll |08/05/2001 01:00:00

 

C:\WINNT\system32\append.exe |08/05/2001 01:00:00

 

C:\WINNT\system32\aswBoot.exe |13/07/2006 11:12:34

 

C:\WINNT\system32\CNDNDlg.exe |05/08/2005 19:36:14

 

C:\WINNT\system32\CreateReg.exe |19/10/2006 19:29:16

 

C:\WINNT\system32\dd.exe |24/02/2007 17:50:56

 

C:\WINNT\system32\debug.exe |08/05/2001 01:00:00

 

C:\WINNT\system32\dfrgfat.exe |08/05/2001 01:00:00

 

C:\WINNT\system32\dfrgntfs.exe |08/05/2001 01:00:00

 

C:\WINNT\system32\dmadmin.exe |08/05/2001 01:00:00

 

C:\WINNT\system32\dmremote.exe |08/05/2001 01:00:00

 

C:\WINNT\system32\dosx.exe |08/05/2001 01:00:00

 

C:\WINNT\system32\dumphive.exe |07/03/2007 12:41:22

 

C:\WINNT\system32\dvdplay.exe |15/12/1999 00:30:38

 

C:\WINNT\system32\edlin.exe |08/05/2001 01:00:00

 

C:\WINNT\system32\exe2bin.exe |08/05/2001 01:00:00

 

C:\WINNT\system32\fastopen.exe |08/05/2001 01:00:00

 

C:\WINNT\system32\ma.exe.exe |16/02/2007 10:34:20

 

C:\WINNT\system32\mem.exe |08/05/2001 01:00:00

 

C:\WINNT\system32\mscdexnt.exe |08/05/2001 01:00:00

 

C:\WINNT\system32\msmmi.exe |16/02/2007 10:34:38

 

C:\WINNT\system32\msswchx.exe |08/05/2001 01:00:00

 

C:\WINNT\system32\NeroCheck.exe |09/07/2001 11:50:42

 

C:\WINNT\system32\nlsfunc.exe |08/05/2001 01:00:00

 

C:\WINNT\system32\nw16.exe |08/05/2001 01:00:00

 

C:\WINNT\system32\pctptt.exe |27/09/2000 02:15:20

 

C:\WINNT\system32\pctspk.exe |27/09/2000 07:58:48

 

C:\WINNT\system32\pp.exe.exe |16/02/2007 10:34:22

 

C:\WINNT\system32\Process.exe |07/03/2007 12:41:22

 

C:\WINNT\system32\ptuninst.exe |27/09/2000 02:23:22

 

C:\WINNT\system32\redir.exe |08/05/2001 01:00:00

 

C:\WINNT\system32\setver.exe |08/05/2001 01:00:00

 

C:\WINNT\system32\share.exe |08/05/2001 01:00:00

 

C:\WINNT\system32\sm.exe |24/02/2007 17:50:55

 

C:\WINNT\system32\SrchSTS.exe |07/03/2007 12:41:22

 

C:\WINNT\system32\swreg.exe |07/03/2007 12:41:22

 

C:\WINNT\system32\swsc.exe |07/03/2007 12:41:22

 

C:\WINNT\system32\swxcacls.exe |07/03/2007 12:41:22

 

C:\WINNT\system32\uvnx.exe |18/02/2007 09:41:13

 

C:\WINNT\system32\vwipxspx.exe |08/05/2001 01:00:00

 

C:\WINNT\system32\a3d.dll |25/03/2003 17:07:38

 

C:\WINNT\system32\agusbsti.dll |09/04/2003 15:31:31

 

C:\WINNT\system32\alldr.dll |08/05/2001 01:00:00

 

C:\WINNT\system32\amstream.dll |21/08/2006 13:36:53

 

C:\WINNT\system32\arxexprt.dll |19/10/2006 19:29:15

 

C:\WINNT\system32\ati2draa.dll |25/03/2003 14:33:25

 

C:\WINNT\system32\atmfd.dll |08/05/2001 01:00:00

 

C:\WINNT\system32\atmlib.dll |08/05/2001 01:00:00

 

C:\WINNT\system32\Audio3D.dll |25/03/2003 17:07:38

 

C:\WINNT\system32\BCGCB474.dll |19/10/2006 19:29:15

 

C:\WINNT\system32\BCGCBResFRA.dll |19/10/2006 19:29:16

 

C:\WINNT\system32\CmdLineExt.dll |19/10/2006 19:45:57

 

C:\WINNT\system32\CmdLineExt03.dll |19/10/2006 19:50:06

 

C:\WINNT\system32\cmnprop.dll |25/03/2003 17:07:38

 

C:\WINNT\system32\cmprop.dll |25/03/2003 17:07:38

 

C:\WINNT\system32\cncs232.dll |20/02/2002 19:20:50

 

C:\WINNT\system32\CNDCK170.dll |05/08/2005 19:36:14

 

C:\WINNT\system32\CNDUK170.dll |05/08/2005 19:36:14

 

C:\WINNT\system32\ConversApi.dll |19/10/2006 19:29:16

 

C:\WINNT\system32\CP30FW.DLL |19/10/2006 19:29:16

 

C:\WINNT\system32\czs_ui.dll |13/05/2002 14:05:32

 

C:\WINNT\system32\DC210.dll |20/03/2002 22:01:20

 

C:\WINNT\system32\DC240.dll |20/03/2002 22:01:20

 

C:\WINNT\system32\DC265.dll |20/03/2002 22:01:06

 

C:\WINNT\system32\DC280.dll |20/03/2002 22:01:20

 

C:\WINNT\system32\deimg.dll |13/05/2002 14:05:32

 

C:\WINNT\system32\deImg010.dll |13/05/2002 14:05:34

 

C:\WINNT\system32\deImg110.dll |13/05/2002 14:05:34

 

C:\WINNT\system32\deimg301.dll |13/05/2002 14:05:34

 

C:\WINNT\system32\deimg401.dll |13/05/2002 14:05:34

 

C:\WINNT\system32\deImg404.dll |13/05/2002 14:05:34

 

C:\WINNT\system32\deimg602.dll |13/05/2002 14:05:34

 

C:\WINNT\system32\Deimg603.dll |13/05/2002 14:05:34

 

C:\WINNT\system32\dfrgres.dll |08/05/2001 01:00:00

 

C:\WINNT\system32\dfrgsnap.dll |08/05/2001 01:00:00

 

C:\WINNT\system32\dfrgui.dll |08/05/2001 01:00:00

 

C:\WINNT\system32\dgrpsetu.dll |25/03/2003 14:31:51

 

C:\WINNT\system32\dgsetup.dll |25/03/2003 14:31:51

 

C:\WINNT\system32\dmconfig.dll |08/05/2001 01:00:00

 

C:\WINNT\system32\dmintf.dll |08/05/2001 01:00:00

 

C:\WINNT\system32\dmserver.dll |08/05/2001 01:00:00

 

C:\WINNT\system32\dmutil.dll |08/05/2001 01:00:00

 

C:\WINNT\system32\efsadu.dll |08/05/2001 01:00:00

 

C:\WINNT\system32\ekfpixaudio.dll |20/03/2002 22:01:20

 

C:\WINNT\system32\ekfpixexif.dll |20/03/2002 22:01:08

 

C:\WINNT\system32\ekfpixguid.dll |20/03/2002 22:01:20

 

C:\WINNT\system32\ekfpixio130.dll |20/03/2002 22:01:20

 

C:\WINNT\system32\ekfpixjpeg.dll |20/03/2002 22:01:20

 

C:\WINNT\system32\ekfpixpsets.dll |20/03/2002 22:01:20

 

C:\WINNT\system32\EqnClass.Dll |25/03/2003 14:31:50

 

C:\WINNT\system32\F210.dll |20/03/2002 22:01:20

 

C:\WINNT\system32\HHActiveX.dll |20/03/2002 21:01:58

 

C:\WINNT\system32\hpzcoi04.dll |15/11/2001 18:01:00

 

C:\WINNT\system32\hpzcon04.dll |15/11/2001 18:01:00

 

C:\WINNT\system32\hpzlnt04.dll |15/11/2001 18:01:01

 

C:\WINNT\system32\hticons.dll |25/03/2003 15:04:52

 

C:\WINNT\system32\hypertrm.dll |25/03/2003 15:04:38

 

C:\WINNT\system32\ia.dll |08/10/2003 14:04:34

 

C:\WINNT\system32\iacenc.dll |23/04/2003 10:55:09

 

C:\WINNT\system32\iccvid.dll |08/05/2001 01:00:00

 

C:\WINNT\system32\imagr5.dll |21/09/2000 17:02:28

 

C:\WINNT\system32\imagx5.dll |27/09/2000 16:15:06

 

C:\WINNT\system32\ImagXpr5.dll |21/09/2000 12:53:00

 

C:\WINNT\system32\imgcmn.dll |25/03/2003 15:04:43

 

C:\WINNT\system32\imgshl.dll |25/03/2003 15:04:43

 

C:\WINNT\system32\Inetwh32.dll |25/03/2003 17:18:29

 

C:\WINNT\system32\ir32_32.dll |08/05/2001 01:00:00

 

C:\WINNT\system32\ir41_qc.dll |08/05/2001 01:00:00

 

C:\WINNT\system32\IR41_QCX.dll |19/06/2001 11:06:50

 

C:\WINNT\system32\ir50_32.dll |08/05/2001 01:00:00

 

C:\WINNT\system32\ir50_qc.dll |08/05/2001 01:00:00

 

C:\WINNT\system32\ir50_qcx.dll |08/05/2001 01:00:00

 

C:\WINNT\system32\irisco32.dll |09/04/2003 15:34:01

 

C:\WINNT\system32\iyvu9_32.dll |23/04/2003 10:55:09

 

C:\WINNT\system32\JGA1500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGAA500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGAD500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGAP500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGAR500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGAU500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGDR500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGDW500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGEA500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGED500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGEM500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGFI500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGFR500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGFS500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGGI500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGI1500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGI3500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGI5500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGID500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGIP500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGIQ500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGIT500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGM1500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGMC500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGME500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGMI500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGMP500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGN1500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGOS500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGPD500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGPL500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGPP500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGS1500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGS3500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGSN500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\JGST500.DLL |13/05/2002 15:13:58

 

C:\WINNT\system32\jpeg1x32.dll |25/03/2003 15:04:43

 

C:\WINNT\system32\jpeg2x32.dll |25/03/2003 15:04:43

 

C:\WINNT\system32\mciqtz32.dll |21/08/2006 13:36:53

 

C:\WINNT\system32\msdmo.dll |21/08/2006 13:36:55

 

C:\WINNT\system32\msencode.dll |30/08/2002 17:24:06

 

C:\WINNT\system32\msswch.dll |08/05/2001 01:00:00

 

C:\WINNT\system32\Nmea.dll |19/10/2006 19:29:16

 

C:\WINNT\system32\Ogc.dll |19/10/2006 19:29:16

 

C:\WINNT\system32\OgcDrvAvmap.dll |19/10/2006 19:30:40

 

C:\WINNT\system32\OgcDrvGarmin.dll |19/10/2006 19:30:40

 

C:\WINNT\system32\OgcDrvLowrance.dll |19/10/2006 19:30:40

 

C:\WINNT\system32\OgcDrvMagellan.dll |19/10/2006 19:30:40

 

C:\WINNT\system32\OgcDrvMlr.dll |19/10/2006 19:30:40

 

C:\WINNT\system32\OgcDrvPyx.dll |19/10/2006 19:30:40

 

C:\WINNT\system32\OgcDrvSena.dll |19/10/2006 19:30:40

 

C:\WINNT\system32\OgcDrvSilva.dll |19/10/2006 19:30:40

 

C:\WINNT\system32\OgcDrvSuu.dll |19/10/2006 19:30:41

 

C:\WINNT\system32\oieng400.dll |25/03/2003 15:04:38

 

C:\WINNT\system32\oiprt400.dll |25/03/2003 15:04:43

 

C:\WINNT\system32\oislb400.dll |25/03/2003 15:04:43

 

C:\WINNT\system32\oissq400.dll |25/03/2003 15:04:43

 

C:\WINNT\system32\oitwa400.dll |25/03/2003 15:04:43

 

C:\WINNT\system32\oiui400.dll |25/03/2003 15:04:43

 

C:\WINNT\system32\PCDLIB32.DLL |09/12/1998 02:53:58

 

C:\WINNT\system32\picn20.dll |21/09/2000 07:47:10

 

C:\WINNT\system32\PixologyIRISS011.dll |07/11/2003 10:03:34

 

C:\WINNT\system32\Polyclip.dll |19/10/2006 19:29:16

 

C:\WINNT\system32\pscAdimg.dll |13/05/2002 14:05:34

 

C:\WINNT\system32\pscCllct.dll |13/05/2002 14:05:34

 

C:\WINNT\system32\pscCStUI.dll |13/05/2002 14:05:34

 

C:\WINNT\system32\pscDcd.dll |13/05/2002 14:05:34

 

C:\WINNT\system32\pscDevUI.dll |13/05/2002 14:05:34

 

C:\WINNT\system32\pscDvlp.dll |13/05/2002 14:05:34

 

C:\WINNT\system32\Pscl2STI.dll |13/05/2002 14:05:34

 

C:\WINNT\system32\PSCLK170.dll |05/08/2005 19:36:14

 

C:\WINNT\system32\pscll.dll |13/05/2002 14:05:34

 

C:\WINNT\system32\pscParse.dll |13/05/2002 14:05:34

 

C:\WINNT\system32\pscSetup.dll |13/05/2002 14:05:34

 

C:\WINNT\system32\psdkdll.dll |13/05/2002 14:05:36

 

C:\WINNT\system32\psdkReg.dll |13/05/2002 14:05:36

 

C:\WINNT\system32\psisdecd.dll |21/08/2006 13:36:59

 

C:\WINNT\system32\psParse.dll |13/05/2002 14:05:36

 

C:\WINNT\system32\ptsetup.dll |27/09/2000 02:11:54

 

C:\WINNT\system32\Pvmjpg21.dll |21/08/2006 13:35:59

 

C:\WINNT\system32\qcut.dll |08/05/2001 01:00:00

 

C:\WINNT\system32\qedwipes.dll |21/08/2006 13:36:56

 

C:\WINNT\system32\RCalcul.dll |19/10/2006 19:29:16

 

C:\WINNT\system32\Roboex32.dll |25/03/2003 17:18:28

 

C:\WINNT\system32\rpcc.dll |16/02/2007 10:29:41

 

C:\WINNT\system32\sliprt.dll |31/01/2006 09:34:35

 

C:\WINNT\system32\spxcoins.dll |25/03/2003 14:31:50

 

C:\WINNT\system32\tifflt.dll |25/03/2003 15:04:44

 

C:\WINNT\system32\TransportIrCOMM.dll |20/03/2002 22:00:20

 

C:\WINNT\system32\TransportIrDA.dll |20/03/2002 22:00:20

 

C:\WINNT\system32\TransportSerial.dll |20/03/2002 22:00:20

 

C:\WINNT\system32\TransportUSB.dll |20/03/2002 22:00:20

 

C:\WINNT\system32\tsbyuv.dll |15/12/1999 00:30:06

 

C:\WINNT\system32\tsd32.dll |08/05/2001 01:00:00

 

C:\WINNT\system32\TwnLib20.dll |26/06/2000 10:45:30

 

C:\WINNT\system32\UNACEV2.DLL |21/03/2002 15:39:02

 

C:\WINNT\system32\win87em.dll |08/05/2001 01:00:00

 

C:\WINNT\system32\x9.dll |19/10/2006 19:30:40

 

C:\WINNT\system32\xiffr3_0.dll |25/03/2003 15:04:44

 

C:\WINNT\system32\zAskop.dll |18/02/2007 09:34:51

 

 

 

Le volume dans le lecteur C n'a pas de nom.

 

Le numÈro de sÈrie du volume est 08B1-E9F5

 

 

 

RÈpertoire de C:\WINNT\system32

 

 

 

08/05/2001 01:00 5†392 csrss.exe

 

1 fichier(s) 5†392 octets

 

0 RÈp(s) 4†629†565†440 octets libres

 

 

 

Contenu de Downloaded Program Files

 

Le volume dans le lecteur C n'a pas de nom.

 

Le numÈro de sÈrie du volume est 08B1-E9F5

 

 

 

RÈpertoire de C:\WINNT\Downloaded Program Files

 

 

 

07/03/2007 12:38 <DIR> .

 

07/03/2007 12:38 <DIR> ..

 

17/11/2003 01:00 2†432 catalog.dat

 

10/09/2004 09:35 620 default.inf

 

07/06/2005 11:25 65 desktop.ini

 

02/04/2003 14:40 268 DHTMLAccess.inf

 

14/10/1997 18:52 697 DirectAnimation Java Classes.osd

 

13/11/2003 12:13 253 EGDHTML.inf

 

28/03/2002 15:05 1†268 erma.inf

 

25/08/2003 17:12 1†096 iuctl.inf

 

20/01/2000 15:25 1†162 Microsoft XML Parser for Java.osd

 

12/01/2000 16:07 6†854 navapi.vxd

 

12/01/2000 15:53 208†896 navapi32.dll

 

17/11/2003 01:00 120†008 naveng32.dll

 

17/11/2003 01:00 586†952 navex32a.dll

 

09/10/2003 09:32 144 QTPlugin.inf

 

17/11/2003 01:00 73†344 scrauth.dat

 

19/11/2003 17:37 0 SET13.tmp

 

02/12/2005 11:55 5†101 swflash.inf

 

17/11/2003 01:00 7†933 symaveng.cat

 

17/11/2003 01:00 901 symaveng.inf

 

17/11/2003 01:00 1†725 tcdefs.dat

 

17/11/2003 01:00 8†087 tcscan7.dat

 

17/11/2003 01:00 44†131 tcscan8.dat

 

17/11/2003 01:00 104†298 tcscan9.dat

 

08/03/2004 16:28 1†390 teleir_cert.osd

 

17/11/2003 01:00 453 tinf.dat

 

17/11/2003 01:00 148 tinfidx.dat

 

17/11/2003 01:00 1†957 tinfl.dat

 

17/11/2003 01:00 31†302 tscan1.dat

 

17/11/2003 01:00 1†179 tscan1hd.dat

 

17/11/2003 01:00 5†382 v.grd

 

17/11/2003 01:00 2†225 v.sig

 

17/11/2003 01:00 106†236 virscan.inf

 

17/11/2003 01:00 839†778 virscan1.dat

 

17/11/2003 01:00 583†667 virscan2.dat

 

17/11/2003 01:00 142†904 virscan3.dat

 

17/11/2003 01:00 316†348 virscan4.dat

 

17/11/2003 01:00 70†676 virscan5.dat

 

17/11/2003 01:00 371†529 virscan6.dat

 

17/11/2003 01:00 855†367 virscan7.dat

 

17/11/2003 01:00 938†682 virscan8.dat

 

17/11/2003 01:00 896†600 virscan9.dat

 

17/11/2003 01:00 32 virscant.dat

 

18/11/2003 15:51 2†072 vscanmsx.dat

 

30/06/2003 21:41 1†689 WMV9VCM.inf

 

26/05/2005 04:19 291 wuweb.inf

 

17/11/2003 01:00 224 zdone.dat

 

46 fichier(s) 6†346†366 octets

 

 

 

Total des fichiers listÈs†:

 

46 fichier(s) 6†346†366 octets

 

2 RÈp(s) 4†629†565†440 octets libres

 

 

 

Recherche de rootkit! (Merci S!Ri)

 

 

 

Recherche d'infections connues

 

 

 

 

 

 

 

 

 

Le volume dans le lecteur C n'a pas de nom.

 

Le numÈro de sÈrie du volume est 08B1-E9F5

 

 

 

RÈpertoire de C:\Program Files

 

 

 

05/02/2007 18:00 <DIR> .

 

05/02/2007 18:00 <DIR> ..

 

31/01/2006 09:34 <DIR> AccÈlÈrateur de dÈbit Alice

 

25/03/2003 15:04 <DIR> Accessoires

 

28/12/2004 19:17 <DIR> ACD Systems

 

03/11/2006 14:36 <DIR> Adobe

 

09/04/2003 15:31 <DIR> Agfa

 

24/03/2006 10:11 <DIR> AGFAnet

 

11/09/2004 10:58 <DIR> Ahead

 

20/04/2005 14:47 <DIR> Alwil Software

 

24/11/2004 19:26 <DIR> ARC-EN-logiCIEL

 

24/11/2004 19:21 <DIR> Arkanoid

 

19/10/2006 19:30 <DIR> Bayo

 

21/11/2006 16:30 <DIR> Canon

 

25/03/2003 15:06 <DIR> ComPlus Applications

 

26/03/2003 08:45 <DIR> denouvel

 

01/01/2006 16:17 <DIR> eBay

 

24/11/2004 19:14 <DIR> Ecole Primaire - ABCDaire

 

03/11/2006 14:34 <DIR> Fichiers communs

 

18/06/2005 09:38 <DIR> Fujifilm

 

23/12/2003 22:42 <DIR> Heroes2

 

07/06/2005 11:24 <DIR> Internet Explorer

 

19/03/2005 09:46 <DIR> Lavasoft

 

24/11/2004 19:03 <DIR> Lecture

 

24/11/2004 19:04 <DIR> MemoLine

 

08/03/2005 12:23 <DIR> Messenger

 

25/03/2003 15:09 <DIR> microsoft frontpage

 

23/04/2003 10:53 <DIR> Microsoft Games

 

25/03/2003 16:33 <DIR> Microsoft Office

 

25/03/2003 15:06 <DIR> NetMeeting

 

05/02/2007 18:00 <DIR> Neuf

 

21/08/2006 13:38 <DIR> OLYMPUS

 

07/06/2005 11:26 <DIR> Outlook Express

 

21/08/2006 13:34 <DIR> PIXELA

 

24/11/2004 19:05 <DIR> Puzzline

 

25/03/2003 17:18 <DIR> Qualcomm

 

27/03/2006 07:12 <DIR> QuickTime

 

28/03/2005 17:54 <DIR> Repair Registry Pro

 

22/04/2003 10:08 <DIR> SYBEX

 

05/10/2004 14:50 <DIR> VeriSign

 

11/09/2004 10:58 <DIR> Windows Media Player

 

25/03/2003 15:05 <DIR> Windows NT

 

07/06/2005 10:15 <DIR> WindowsUpdate

 

30/09/2004 20:52 <DIR> WinRAR

 

0 fichier(s) 0 octets

 

44 RÈp(s) 4†629†348†352 octets libres

 

Le volume dans le lecteur C n'a pas de nom.

 

Le numÈro de sÈrie du volume est 08B1-E9F5

 

 

 

RÈpertoire de C:\Program Files\fichiers communs

 

 

 

03/11/2006 14:34 <DIR> .

 

03/11/2006 14:34 <DIR> ..

 

28/12/2004 19:24 <DIR> ACD Systems

 

03/11/2006 14:33 <DIR> Adobe

 

03/11/2006 14:34 <DIR> Adobe Systems Shared

 

25/03/2003 16:34 <DIR> Designer

 

24/03/2006 10:11 <DIR> FotoWire

 

01/01/2006 16:16 <DIR> InstallShield

 

21/08/2006 13:39 <DIR> Microsoft Shared

 

21/08/2006 13:39 <DIR> MSSoap

 

25/03/2003 14:32 <DIR> ODBC

 

07/06/2005 11:26 <DIR> Services

 

20/04/2005 14:53 <DIR> Symantec Shared

 

07/06/2005 11:26 <DIR> System

 

0 fichier(s) 0 octets

 

14 RÈp(s) 4†629†409†792 octets libres

 

Le volume dans le lecteur C n'a pas de nom.

 

Le numÈro de sÈrie du volume est 08B1-E9F5

 

 

 

RÈpertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

 

 

25/03/2003 16:34 <DIR> .

 

25/03/2003 16:34 <DIR> ..

 

08/09/2006 09:51 <DIR> 1033

 

08/09/2006 09:51 <DIR> 1036

 

15/02/2001 05:45 1†318†912 MSONSEXT.DLL

 

13/02/2001 08:23 58†784 MSOSV.DLL

 

03/06/1999 19:09 122†937 MSOWS409.DLL

 

14/02/2001 14:36 127†033 MSOWS40c.DLL

 

06/08/2000 09:04 401†462 MSVCP60.DLL

 

22/01/2001 03:25 69†632 PKMAXCTL.DLL

 

22/01/2001 03:25 872†448 PKMCDO.DLL

 

22/01/2001 03:25 159†744 PKMCORE.DLL

 

07/02/2001 09:59 106†496 PKMFORMS.DLL

 

12/02/2001 04:03 684†032 PKMRES.DLL

 

22/01/2001 03:25 28†672 PKMSSTLB.DLL

 

22/01/2001 03:25 40†960 PKMTEMPL.DLL

 

22/01/2001 03:25 24†576 PKMTRACE.DLL

 

22/01/2001 03:25 86†016 PKMWS.DLL

 

22/01/2001 03:25 237†568 PROMDEMO.DLL

 

22/01/2001 03:25 184†320 SECMGR.DLL

 

22/01/2001 03:25 323†584 VAIDDMGR.DLL

 

22/01/2001 03:25 32†768 VAIMEM.DLL

 

18 fichier(s) 4†879†944 octets

 

4 RÈp(s) 4†629†344†256 octets libres

 

Le volume dans le lecteur C n'a pas de nom.

 

Le numÈro de sÈrie du volume est 08B1-E9F5

 

 

 

RÈpertoire de C:\

 

 

 

11/11/2001 00:00 68†096 diff.exe

 

27/08/2006 14:10 103†424 grep.exe

 

24/05/2001 12:59 162†304 UNWISE.EXE

 

3 fichier(s) 333†824 octets

 

0 RÈp(s) 4†629†405†696 octets libres

 

c:\Documents and Settings\bonfill\Bureau\AVAST.exe

 

c:\Documents and Settings\bonfill\Bureau\ToolbarSetup.exe

 

c:\Documents and Settings\bonfill\Bureau\AV\._CWShredder.exe

 

c:\Documents and Settings\bonfill\Bureau\AV\._HijackThis.exe

 

c:\Documents and Settings\bonfill\Bureau\AV\CWShredder.exe

 

c:\Documents and Settings\bonfill\Bureau\AV\HijackThis.exe

 

c:\Documents and Settings\bonfill\Bureau\AV\AboutBuster\AboutBuster.exe

 

c:\Documents and Settings\bonfill\Bureau\AV\DiagHelp\diff.exe

 

c:\Documents and Settings\bonfill\Bureau\AV\DiagHelp\dumphive.exe

 

c:\Documents and Settings\bonfill\Bureau\AV\DiagHelp\FilesInfoCmd.exe

 

c:\Documents and Settings\bonfill\Bureau\AV\DiagHelp\Fport.exe

 

c:\Documents and Settings\bonfill\Bureau\AV\DiagHelp\grep.exe

 

c:\Documents and Settings\bonfill\Bureau\AV\DiagHelp\LFiles.exe

 

c:\Documents and Settings\bonfill\Bureau\AV\DiagHelp\LISTDLLS.exe

 

c:\Documents and Settings\bonfill\Bureau\AV\DiagHelp\pslist.exe

 

c:\Documents and Settings\bonfill\Bureau\AV\DiagHelp\streams.exe

 

c:\Documents and Settings\bonfill\Bureau\AV\DiagHelp\swreg.exe

 

c:\Documents and Settings\bonfill\Bureau\Jean-Marie\GEOGRAPHIE\GÈoKid.exe

 

c:\Documents and Settings\bonfill\Local Settings\Temp\CDView\CDView.exe

 

c:\Documents and Settings\bonfill\Local Settings\Temp\pr_tutor\Glorious_Tutorial.exe

 

c:\Documents and Settings\bonfill\Local Settings\Temp\pr_tutor\Tutorial.exe

 

c:\Documents and Settings\bonfill\Local Settings\Temp\_ISTMP1.DIR\_ISTMP0.DIR\ICOMP.EXE

 

c:\Documents and Settings\bonfill\Local Settings\Temp\_ISTMP1.DIR\_ISTMP0.DIR\WINTDIST.EXE

 

c:\Documents and Settings\bonfill\Mes documents\164 antispyware.exe

 

c:\Documents and Settings\bonfill\Mes documents\acdsee.exe

 

c:\Documents and Settings\bonfill\Mes documents\acdsee-fr.exe

 

c:\Documents and Settings\bonfill\Mes documents\FreeScan.exe

 

c:\Documents and Settings\bonfill\Mes documents\install messenger.exe

 

c:\Documents and Settings\bonfill\Mes documents\pllangs.exe

 

c:\Documents and Settings\bonfill\Mes documents\RepairRegistryPro.exe

 

c:\Documents and Settings\bonfill\Mes documents\rp505fra.exe

 

c:\Documents and Settings\bonfill\Mes documents\setupfre-avast.exe

 

c:\Documents and Settings\bonfill\Mes documents\Windows2000-KB823980-x86-FRA.exe

 

c:\Documents and Settings\bonfill\Mes documents\aGraver-JM\Eudora5.2.exe

 

c:\Documents and Settings\bonfill\Mes documents\aGraver-JM\Backup-JM\mesdocuments-backup\Mes documents\antivirus.exe

 

c:\Documents and Settings\bonfill\Mes documents\aGraver-JM\Backup-JM\mesdocuments-backup\Mes documents\GÈoKid.exe

 

c:\Documents and Settings\bonfill\Mes documents\aGraver-JM\Backup-JM\mesdocuments-backup\Mes documents\q290108.exe

 

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5T67C167\crpps[1].exe

 

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\4PQR85ER\ksd[1].exe

 

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\4PQR85ER\test1[1].exe

 

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\4PQR85ER\test1[2].exe

 

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\I96BQDET\233[1].exe

 

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\I96BQDET\233[2].exe

 

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\I96BQDET\baby[1].exe

 

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\I96BQDET\crldr[1].exe

 

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\I96BQDET\load[1].exe

 

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\I96BQDET\mb3[1].exe

 

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\IBUZWJYH\br1_v122_26[1].exe

 

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\IBUZWJYH\bubu[1].exe

[Thanos]

salut

 

Sinon je viens de remarquer des fichiers très suspects à mon avis à la racine du disque C:, il s'agit de trois fichiers només grep.exe, diff.exe et reboot.exe. Mais ces fichiers sont peut-être liés à DiagHelp.

Exactement pas de soucis donc.

 

Stp, est ce que le pc a rebooté ? est ce que tu as pû noter le message d'erreur?

A première vue il ne s'agit peut être pas d'une infection, mais plutôt d'un fichier système endommagé(à prendre au conditionnel pour le moment). Essaie de faire rebooter le pc (en utilisant internet ) et note le message, c'est important!!

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

@+ tard(je pars bosser)

[mailme]

salut

Exactement pas de soucis donc.

 

Stp, est ce que le pc a rebooté ? est ce que tu as pû noter le message d'erreur?

A première vue il ne s'agit peut être pas d'une infection, mais plutôt d'un fichier système endommagé(à prendre au conditionnel pour le moment). Essaie de faire rebooter le pc (en utilisant internet ) et note le message, c'est important!!

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

@+ tard(je pars bosser)

 

 

 

Salut,

 

Oui, effectivement ça a rebooté et j'ai réussi à obtenir le message d'erreur suivant :

 

"*** STOP: 0x0000001E (0xC0000005, 0x00000000, 0x00000000, 0x00000000) KMODE_EXEPTION_NOT_HANDLED

Début du vidage de la mémoire physique.

Vidage de la mémoire physique terminé. Contactez votre administrateur, etc..."

 

 

Sinon, j'ai passé le F-Secure Black light qui n'a pas l'air de trouver quoi que ce soit d'anormal, voici le rapport (cf message suivant) :

Modifié le 13 mars 2007 par mailme

[mailme]

Ok, voici le rapport Black light :

 

03/13/07 14:15:22 [info]: BlackLight Engine 1.0.55 initialized

03/13/07 14:15:22 [info]: OS: 5.0 build 2195 (Service Pack 2)

03/13/07 14:15:22 [Note]: 7019 4

03/13/07 14:15:22 [Note]: 7005 0

03/13/07 14:15:27 [Note]: 7006 0

03/13/07 14:15:27 [Note]: 7011 224

03/13/07 14:15:28 [Note]: 7026 0

03/13/07 14:15:29 [Note]: 7026 0

03/13/07 14:15:42 [Note]: FSRAW library version 1.7.1021

03/13/07 14:17:36 [Note]: 2000 1012

03/13/07 14:17:52 [Note]: 7007 0

Modifié le 13 mars 2007 par mailme

[Thanos]

salut

 

ok pour le message d'erreur...provoqué par un malware visiblement!

 

* Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

 

O21 - SSODL: gCEyLJwb - {08B1E9F6-A21B-435C-C1E9-D7CC4DEEF7CD} - C:\WINNT\System32\vmr.dll (file missing)

-Ferme tous les programmes et clique sur "Fix Checked"

 

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien la note au bas, avant de débuter.

Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.

• Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
  
• Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
  
• Coche Run this program as a task
  
• Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
  
• Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
  
• Lorsque le scan termine, clique sur le bouton Remove L2M
  
• Un message Done Scanning apparaîtra, clique OK.
  
• Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
  
• Ton PC va maintenant s'éteindre.
  
• Démarre ton PC normalement.
  
• Colle le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
  

*Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.

Modifié le 13 mars 2007 par charles ingals

[mailme]

salut

 

ok pour le message d'erreur...provoqué par un malware visiblement!

 

* Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

 

O21 - SSODL: gCEyLJwb - {08B1E9F6-A21B-435C-C1E9-D7CC4DEEF7CD} - C:\WINNT\System32\vmr.dll (file missing)

-Ferme tous les programmes et clique sur "Fix Checked"

 

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien la note au bas, avant de débuter.

Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.

• Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
  
• Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
  
• Coche Run this program as a task
  
• Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
  
• Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
  
• Lorsque le scan termine, clique sur le bouton Remove L2M
  
• Un message Done Scanning apparaîtra, clique OK.
  
• Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
  
• Ton PC va maintenant s'éteindre.
  
• Démarre ton PC normalement.
  
• Colle le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
  

*Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.

 

 

 

Bonjour,

 

Après la manipulation que tu m'as indiqué, voici le rapport Look2Me-Destroyer.txt :

 

 

--------------------------------------------------------------------------

Look2Me-Destroyer V1.0.12

 

Scanning for infected files.....

 

Scan started at 14/03/2007 10:04:16

 

Attempting to delete infected files...

 

Making registry repairs.

 

Restoring Windows certificates.

 

Replaced hosts file with default windows hosts file

 

Restoring SeDebugPrivilege for Administrateurs - Succeeded

 

--------------------------------------------------------------------------

 

 

Et le nouveau rapport HijackThis :

 

--------------------------------------------------------------------------

 

Logfile of HijackThis v1.99.1

 

Scan saved at 10:10:19, on 14/03/2007

 

Platform: Windows 2000 SP2 (WinNT 5.00.2195)

 

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

 

 

Running processes:

 

C:\WINNT\System32\smss.exe

 

C:\WINNT\system32\winlogon.exe

 

C:\WINNT\system32\services.exe

 

C:\WINNT\system32\lsass.exe

 

C:\WINNT\system32\svchost.exe

 

C:\WINNT\system32\spoolsv.exe

 

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

 

C:\Program Files\Alwil Software\Avast4\ashServ.exe

 

C:\WINNT\System32\svchost.exe

 

C:\WINNT\System32\pctspk.exe

 

C:\WINNT\system32\regsvc.exe

 

C:\WINNT\system32\MSTask.exe

 

C:\WINNT\system32\stisvc.exe

 

C:\WINNT\System32\WBEM\WinMgmt.exe

 

C:\WINNT\System32\svchost.exe

 

C:\WINNT\Explorer.EXE

 

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

 

C:\WINNT\Mixer.exe

 

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

 

C:\Program Files\QuickTime\qttask.exe

 

C:\Program Files\Messenger\msmsgs.exe

 

C:\Documents and Settings\bonfill\Bureau\AV\HijackThis.exe

 

 

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

 

O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll

 

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

 

O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll

 

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

 

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

 

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe

 

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

 

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

 

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

 

O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart

 

O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html

 

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

 

O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

 

O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

 

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

 

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

 

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1170694926193

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{5004BD58-7AC4-4B2E-9285-0D13E600FDF5}: NameServer = 212.27.32.176,212.27.32.177

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{6EF55BFE-A5E6-4019-838D-C33105C74C47}: NameServer = 212.27.32.176,212.27.32.177

 

O17 - HKLM\System\CS1\Services\Tcpip\..\{5004BD58-7AC4-4B2E-9285-0D13E600FDF5}: NameServer = 212.27.32.176,212.27.32.177

 

O17 - HKLM\System\CS2\Services\Tcpip\..\{5004BD58-7AC4-4B2E-9285-0D13E600FDF5}: NameServer = 212.27.32.176,212.27.32.177

 

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

 

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

 

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

 

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

 

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

 

O23 - Service: W2K PCtel speaker phone (Pctspk) - PCtel, Inc. - C:\WINNT\System32\pctspk.exe

 

--------------------------------------------------------------------------

 

Merci.

[mailme]

PS : Le problème de reboot est toujours d'actualité. Toujours avec le même message d'erreur.

 

Il y a autre chose a faire ?

 

Merci.

[Thanos]

salut

 

 

Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire

 

Tu as deux possiblités pour consulter les instructions qui suivent:

 

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

 

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

 

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier".

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier Reboot windows dès connexion suite trojan-gen (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier va se créer sur le bureau en plus du fichier : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

--------------------------------------------------------------------------------------------------------------------------

 

La procédure:

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

-Télécharge AVG anti-spyware et sauvegarde le sur ton bureau.

• Une fois AVG Anti-Spyware téléchargé,repère son icône sur le bureau et double clique dessus pour lancer l'installation.
  
• Une fois l'installation terminée, AVG Anti-Spyware va se lancer: il faut mettre le programme à jour.
  
• Sur l'écran principal sélectionne le menu "Mise à jour", puis clique sur le bouton "Commencer la mise à jour" sous "Mise à jour manuelle".
  
• La mise à jour va commencer(il est possible que tu reçoives une alerte de ton parefeu: accepte la connexion au serveur).
  
• Une fois la mise à jour faite, sélectionne le menu "Analyse" puis clique sur l'onglet "Paramètres".
  
• Sous "Comment réagir", choisis "Quarantaine"
  
• Sous "Rapports" clique sur "Générer un rapport après chaque analyse".
  décoche la case "Uniquement en cas de menace".
  
• Ferme AVG Anti-Spyware et ne lance pas de scan maintenant!
  

-Télécharge OTMoveIt (par OldTimer). Sauvegarde-le sur ton Bureau.

 

Étape 1:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec"

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 2:

• Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") :
  
  C:\WINNT\pcdhyso.dll
  C:\WINNT\GPInstall.exe
  C:\WINNT\system32\ma.exe.exe
  C:\WINNT\system32\pp.exe.exe
  C:\WINNT\system32\uvnx.exe
  C:\WINNT\system32\rpcc.dll
  
  
• Double-clique sur OTMoveIt.exe afin de lancer le programme.
  
• Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée
  
• Fais un Clique-droit sur le cadre de gauche puis choisis Coller.
  
• Clique à présent sur le bouton "MoveIt!".
  

Un rapport va être créé, il se trouve dans C:\_OTMoveIt\MovedFiles\

Le nom du rapport est la date de sa création.

 

Étape 3:

• Double-clique ATF Cleaner afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
   
  Si tu utilises le navigateur Firefox :
   
   
  
• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
   
  Si tu utilises le navigateur Opera :
   
   
  
• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
   
  Clique Exit, du menu prinicipal, afin de fermer le programme.
  

* Si l'onglet "Firefox" est grisé dans ATF,nettoie le cache et les cookies dans Firefox comme ceci :

• Ouvre Firefox et clique sur Outils=> Options
  
• Clique sur l'onglet Vie Privée
  
• clique sur le bouton Vider le cache dans l'onglet "Historique"
  
• clique sur le bouton Supprimer les cookies dans l'onglet "Cookies"
  
• clique sur le bouton Vider le cache dans l'onglet "Cache"
  
• clique sur le bouton Ok pour fermer la fenêtre des options et valider tes choix.
  

Étape 4:

 

Lance AVG Anti-Spyware en double-cliquant sur son icône.

 

IMPORTANT:ne lance aucun autre programme pendant qu' AVG Anti-Spyware scanne le pc.

• Sélectionne le menu "Analyse" puis sous l'onglet "Analyser", choisis "Analyse complête du système".
  
• AVG Anti-Spyware va scanner ton (tes) disque dur(s).Le scan prendra un certain temps, donc sois patient.
  
• Une fois le scan terminé,en bas de page, assure toi de voir "Quarantaine" 'à droite de "Configurer tous les", sinon fais ce choix manuellement. (c'est important!)
  
• Clique sur le bouton "Appliquer toutes les actions".
  
• Maintenant clique sur "Enregistrer le rapport" puis "Enregistrer le rapport sous" et choisis le Bureau.
  

Étape 5:

 

-le rapport d'AVG AS.

-le rapport de OTMoveIt qui se trouve dans C:\_OTMoveIt\MovedFiles

-un nouveau rapport DiagHelp.