[Résolu] UC à 100%, lenteur et popups...

AleMD · le 13 avril 2007

Bonjour,

Tout d'abord, merci d'avance à ceux qui pourront m'aider. D'habitude je suis plus visiteur que "écrivain" sur les forums car en général je trouve réponse à mes questions. Là, j'avoue coinçer...

J'ai installer la Freebox chez mes beaux parents et lorsque j'ai connecté l'ordinateur à cette dernière pour faire les mises à jour Windows : Patatra j'ai directement choppé un virus (je pense) puisque le PC est très lent, l'UC affiche 100% en permanence et des fenêtres Internet Explorer s'ouvrent toutes seules sur des sites "bizaroïdes". En plus, j'ai fait quelques analyses, trouvés plusieurs noms de virus mais rien ne les fait déguerpir !

Bref, me voilà donc à poster un S.O.S avec le fameux rapport Hijackthis ci-dessous.

Merci encore pour votre future aide,

Alex

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 22:57:23, on 13/04/2007

Platform: Windows XP (WinNT 5.01.2600)

Boot mode: Safe mode

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Documents and Settings\Administrateur\Bureau\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {1089D08F-9053-4B9F-8668-E1B6E0B190F7} - C:\WINDOWS\System32\awtrp.dll

O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\System32\qhpmwgea.dll

O2 - BHO: (no name) - {9DED2B32-743B-47EB-874C-28AECF2A268D} - C:\WINDOWS\System32\gebcbcy.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Atari Launcher 2] C:\Program Files\Infogrames\Atari Anniversary Edition\Volume 2\Atari icon.exe

O4 - HKLM\..\Run: [AtariBanner] "C:\Program Files\Infogrames\Atari Anniversary Edition\Volume 2\Banner.exe" /0

O4 - HKLM\..\Run: kiecyfw.com

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\RunServices: k iecyfw.com

O4 - H K CU\..\Run: [NBJ] "C:\Program File s \Ahead\Nero Bac k ItUp\NBJ.exe"

O4 - H K CU\..\Run: [EP S ON S tylu s CX3600 S erie s ] C:\WINDOW S \S y s tem32\s pool\DRIVER S \W32X86\3\E_FATI9BE.EXE /P26 "EP S ON S tylu s CX3600 S erie s " /M "S tylu s CX3600" /EF "H K CU"

O4 - S tartup: w k calrem.LN K = C:\Program File s \Fichier s commun s \Micro s oft S hared\Wor k s S hared\W k CalRem.exe

O4 - Global S tartup: D é marrage rapide de HP Photo s mart Premier.ln k = C:\Program File s \HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global S tartup: HP Digital Imaging Monitor.ln k = C:\Program File s \HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global S tartup: Micro s oft Office.ln k = C:\Program File s \Micro s oft Office\Office10\O S A.EXE

O8 - Extra context menu item: E&xporter ver s Micro s oft Excel - re s ://C:\PROGRA~1\MICRO S ~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program File s \Fichier s commun s \Micro s oft S hared\Encarta S earch Bar\ENC S BAR.DLL

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnline S can Control) - s .ewido.net/ewidoOnline S can.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Cla s s ) - s oft.com/window s update/...b?1176396011421

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (Hou s eCall Control) - k amai.net/7/840/537/2005111...all/x s can53.cab

O20 - Winlogon Notify: awtrp - C:\WINDOW S \S y s tem32\awtrp.dll

O20 - Winlogon Notify: gebcbcy - C:\WINDOW S \S Y S TEM32\gebcbcy.dll

O22 - S haredTa s k S cheduler: Pr é -chargeur Brow s eui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOW S \S y s tem32\brow s eui.dll

O22 - S haredTa s k S cheduler: D é mon de cache de s cat é gorie s de compo s ant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOW S \S y s tem32\brow s eui.dll

O23 - S ervice: AVG Anti-S pyware Guard - Anti-Malware Development a.s . - C:\Program File s \Gri s oft\AVG Anti-S pyware 7.5\guard.exe

O23 - S ervice: S ervice d'admini s tration du Ge s tionnaire de di s que logique (dmadmin) - Un k nown owner - C:\WINDOW S \S y s tem32\dmadmin.exe

O23 - S ervice: s creen s hot s (epep) - Un k nown owner - C:\WINDOW S \s creen s hot.exe (file mi s s ing)

O23 - S ervice: Journal de s é v é nement s (Eventlog) - Un k nown owner - C:\WINDOW S \s y s tem32\s ervice s .exe

O23 - S ervice: S ervice COM de gravage de CD IMAPI (Imapi S ervice) - Un k nown owner - C:\WINDOW S \S y s tem32\imapi.exe

O23 - S ervice: Partage de Bureau à di s tance NetMeeting (mnm s rvc) - Un k nown owner - C:\WINDOW S \S y s tem32\mnm s rvc.exe

O23 - S ervice: S ervice Norton AntiViru s Auto-Protect (navap s vc) - S ymantec Corporation - C:\Program File s \Norton AntiViru s \navap s vc.exe

O23 - S ervice: DDE r é s eau (NetDDE) - Un k nown owner - C:\WINDOW S \s y s tem32\netdde.exe

O23 - S ervice: D S DM DDE r é s eau (NetDDEd s dm) - Un k nown owner - C:\WINDOW S \s y s tem32\netdde.exe

O23 - S ervice: Norton Internet S ecurity S ervice (NI S S ERV) - S ymantec Corporation - C:\Program File s \Norton Internet S ecurity\NI S S ERV.EXE

O23 - S ervice: Norton Internet S ecurity Account s Manager (NI S UM) - S ymantec Corporation - C:\Program File s \Norton Internet S ecurity\NI S UM.EXE

O23 - S ervice: Plug-and-Play (PlugPlay) - Un k nown owner - C:\WINDOW S \s y s tem32\s ervice s .exe

O23 - S ervice: Pml Driver HPZ12 - HP - C:\WINDOW S \S y s tem32\HPZipm12.exe

O23 - S ervice: Ge s tionnaire de s e s s ion d'aide s ur le Bureau à di s tance (RD S e s s Mgr) - Un k nown owner - C:\WINDOW S \s y s tem32\s e s s mgr.exe

O23 - S ervice: S criptBloc k ing S ervice (S B S ervice) - S ymantec Corporation - C:\PROGRA~1\FICHIE~1\S YMANT~1\S CRIPT~1\S B S erv.exe

O23 - S ervice: Pri s e en charge de s carte s à puce s (S CardDrv) - Un k nown owner - C:\WINDOW S \S y s tem32\S Card S vr.exe

O23 - S ervice: Carte à puce (S Card S vr) - Un k nown owner - C:\WINDOW S \S y s tem32\S Card S vr.exe

O23 - S ervice: Norton Internet S ecurity Proxy S ervice (S ymProxy S vc) - S ymantec Corporation - C:\Program File s \Norton Internet S ecurity\S ymProxy S vc.exe

O23 - S ervice: Journaux et alerte s de performance (S y s monLog) - Un k nown owner - C:\WINDOW S \s y s tem32\s mlog s vc.exe

O23 - S ervice: Clich é in s tantan é de volume (V S S ) - Un k nown owner - C:\WINDOW S \S y s tem32\v s s vc.exe

O23 - S ervice: Carte de performance WMI (WmiAp S rv) - Un k nown owner - C:\WINDOW S \S y s tem32\wbem\wmiap s rv.exe

--

End of file - 6442 byte s

Modifié le 14 avril 2007 par AleMD

bibi26 · le 13 avril 2007

Bonjour et bienvenue sur Zebulon,

En effet, l'ordinateur est infecté. Peux-tu faire un rapport HijackThis en mode normal ?

As-tu un pare-feu (firewall) ?

Modifié le 13 avril 2007 par bibi26

AleMD · le 13 avril 2007

Bonjour Bibi,

Merci de t'intéresser à mon cas.

J'ai le pare feu de la Freebox seulement et j'ai mis le pare feu logiciel sur la connexion Internet (après "l'attaque").

Windows XP est loin d'être mis à jour mais cela ne fonctionne pas quand je vais sur Windows Update.

Pareil avec Norton, il s'arrête au beau milieu du téléchargement des définitions de virus ?!

Voici le rapport en mode normal :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 23:19:05, on 13/04/2007

Platform: Windows XP (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Infogrames\Atari Anniversary Edition\Volume 2\Atari icon.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\PROGRA~1\NORTON~1\navapw32.exe

C:\Program Files\Norton Internet Security\IAMAPP.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Norton Internet Security\NISUM.EXE

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Norton Internet Security\SymProxySvc.exe

C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe

C:\Program Files\Norton Internet Security\NISSERV.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WksCal.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Documents and Settings\Administrateur\Bureau\HiJackThis_v2.exe

C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\System32\qhpmwgea.dll

O2 - BHO: (no name) - {9DED2B32-743B-47EB-874C-28AECF2A268D} - C:\WINDOWS\System32\gebcbcy.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {DB11C669-1A05-4496-AD26-21404064E09E} - C:\WINDOWS\System32\awtrp.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Atari Launcher 2] C:\Program Files\Infogrames\Atari Anniversary Edition\Volume 2\Atari icon.exe

O4 - HKLM\..\Run: [AtariBanner] "C:\Program Files\Infogrames\Atari Anniversary Edition\Volume 2\Banner.exe" /0

O4 - HKLM\..\Run: kiecyfw.com

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\RunServices: k iecyfw.com

O4 - H K CU\..\Run: [NBJ] "C:\Program File s \Ahead\Nero Bac k ItUp\NBJ.exe"

O4 - H K CU\..\Run: [EP S ON S tylu s CX3600 S erie s ] C:\WINDOW S \S y s tem32\s pool\DRIVER S \W32X86\3\E_FATI9BE.EXE /P26 "EP S ON S tylu s CX3600 S erie s " /M "S tylu s CX3600" /EF "H K CU"

O4 - S tartup: w k calrem.LN K = C:\Program File s \Fichier s commun s \Micro s oft S hared\Wor k s S hared\W k CalRem.exe

O4 - Global S tartup: D é marrage rapide de HP Photo s mart Premier.ln k = C:\Program File s \HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global S tartup: HP Digital Imaging Monitor.ln k = C:\Program File s \HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global S tartup: Micro s oft Office.ln k = C:\Program File s \Micro s oft Office\Office10\O S A.EXE

O8 - Extra context menu item: E&xporter ver s Micro s oft Excel - re s ://C:\PROGRA~1\MICRO S ~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program File s \Fichier s commun s \Micro s oft S hared\Encarta S earch Bar\ENC S BAR.DLL

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnline S can Control) - s .ewido.net/ewidoOnline S can.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Cla s s ) - s oft.com/window s update/...b?1176396011421

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (Hou s eCall Control) - k amai.net/7/840/537/2005111...all/x s can53.cab

O20 - Winlogon Notify: awtrp - C:\WINDOW S \S y s tem32\awtrp.dll

O20 - Winlogon Notify: gebcbcy - C:\WINDOW S \S Y S TEM32\gebcbcy.dll

O22 - S haredTa s k S cheduler: Pr é -chargeur Brow s eui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOW S \S y s tem32\brow s eui.dll

O22 - S haredTa s k S cheduler: D é mon de cache de s cat é gorie s de compo s ant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOW S \S y s tem32\brow s eui.dll

O23 - S ervice: AVG Anti-S pyware Guard - Anti-Malware Development a.s . - C:\Program File s \Gri s oft\AVG Anti-S pyware 7.5\guard.exe

O23 - S ervice: S ervice d'admini s tration du Ge s tionnaire de di s que logique (dmadmin) - Un k nown owner - C:\WINDOW S \S y s tem32\dmadmin.exe

O23 - S ervice: s creen s hot s (epep) - Un k nown owner - C:\WINDOW S \s creen s hot.exe (file mi s s ing)

O23 - S ervice: Journal de s é v é nement s (Eventlog) - Un k nown owner - C:\WINDOW S \s y s tem32\s ervice s .exe

O23 - S ervice: S ervice COM de gravage de CD IMAPI (Imapi S ervice) - Un k nown owner - C:\WINDOW S \S y s tem32\imapi.exe

O23 - S ervice: Partage de Bureau à di s tance NetMeeting (mnm s rvc) - Un k nown owner - C:\WINDOW S \S y s tem32\mnm s rvc.exe

O23 - S ervice: S ervice Norton AntiViru s Auto-Protect (navap s vc) - S ymantec Corporation - C:\Program File s \Norton AntiViru s \navap s vc.exe

O23 - S ervice: DDE r é s eau (NetDDE) - Un k nown owner - C:\WINDOW S \s y s tem32\netdde.exe

O23 - S ervice: D S DM DDE r é s eau (NetDDEd s dm) - Un k nown owner - C:\WINDOW S \s y s tem32\netdde.exe

O23 - S ervice: Norton Internet S ecurity S ervice (NI S S ERV) - S ymantec Corporation - C:\Program File s \Norton Internet S ecurity\NI S S ERV.EXE

O23 - S ervice: Norton Internet S ecurity Account s Manager (NI S UM) - S ymantec Corporation - C:\Program File s \Norton Internet S ecurity\NI S UM.EXE

O23 - S ervice: Plug-and-Play (PlugPlay) - Un k nown owner - C:\WINDOW S \s y s tem32\s ervice s .exe

O23 - S ervice: Pml Driver HPZ12 - HP - C:\WINDOW S \S y s tem32\HPZipm12.exe

O23 - S ervice: Ge s tionnaire de s e s s ion d'aide s ur le Bureau à di s tance (RD S e s s Mgr) - Un k nown owner - C:\WINDOW S \s y s tem32\s e s s mgr.exe

O23 - S ervice: S criptBloc k ing S ervice (S B S ervice) - S ymantec Corporation - C:\PROGRA~1\FICHIE~1\S YMANT~1\S CRIPT~1\S B S erv.exe

O23 - S ervice: Pri s e en charge de s carte s à puce s (S CardDrv) - Un k nown owner - C:\WINDOW S \S y s tem32\S Card S vr.exe

O23 - S ervice: Carte à puce (S Card S vr) - Un k nown owner - C:\WINDOW S \S y s tem32\S Card S vr.exe

O23 - S ervice: Norton Internet S ecurity Proxy S ervice (S ymProxy S vc) - S ymantec Corporation - C:\Program File s \Norton Internet S ecurity\S ymProxy S vc.exe

O23 - S ervice: Journaux et alerte s de performance (S y s monLog) - Un k nown owner - C:\WINDOW S \s y s tem32\s mlog s vc.exe

O23 - S ervice: Clich é in s tantan é de volume (V S S ) - Un k nown owner - C:\WINDOW S \S y s tem32\v s s vc.exe

O23 - S ervice: Carte de performance WMI (WmiAp S rv) - Un k nown owner - C:\WINDOW S \S y s tem32\wbem\wmiap s rv.exe

--

End of file - 7349 byte s

bibi26 · le 13 avril 2007

Bonjour,

En effet, Windows n'est pas à jour et se sera très important de le faire une fois la désinfection terminée. On va commencer par Vundo !

Télécharge VundoFix (par Atribune) sur ton Bureau.

Ouvre VundoFix. Clique sur le bouton Scan for Vundo.

Lorsque le scan est complété, clique sur le bouton Remove Vundo.

Une invite te demandera si tu veux supprimer les fichiers, clique sur YES.

Le Bureau va disparaître un moment lors de la suppression des fichiers.

Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK.

Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

AleMD · le 13 avril 2007

Tout s'est bien déroulé, voici les deux rapports ci-dessous :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 00:46:14, on 14/04/2007

Platform: Windows XP (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton Internet Security\NISUM.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Norton Internet Security\NISSERV.EXE

C:\Program Files\Norton Internet Security\SymProxySvc.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Infogrames\Atari Anniversary Edition\Volume 2\Atari icon.exe

C:\PROGRA~1\NORTON~1\navapw32.exe

C:\Program Files\Norton Internet Security\IAMAPP.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe

C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\Administrateur\Bureau\HiJackThis_v2.exe

C:\WINDOWS\System32\HPZipm12.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\System32\qhpmwgea.dll (file missing)

O2 - BHO: (no name) - {9DED2B32-743B-47EB-874C-28AECF2A268D} - C:\WINDOWS\System32\gebcbcy.dll (file missing)

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {DB11C669-1A05-4496-AD26-21404064E09E} - C:\WINDOWS\System32\awtrp.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Atari Launcher 2] C:\Program Files\Infogrames\Atari Anniversary Edition\Volume 2\Atari icon.exe

O4 - HKLM\..\Run: [AtariBanner] "C:\Program Files\Infogrames\Atari Anniversary Edition\Volume 2\Banner.exe" /0

O4 - HKLM\..\Run: kiecyfw.com

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\RunServices: k iecyfw.com

O4 - H K CU\..\Run: [NBJ] "C:\Program File s \Ahead\Nero Bac k ItUp\NBJ.exe"

O4 - H K CU\..\Run: [EP S ON S tylu s CX3600 S erie s ] C:\WINDOW S \S y s tem32\s pool\DRIVER S \W32X86\3\E_FATI9BE.EXE /P26 "EP S ON S tylu s CX3600 S erie s " /M "S tylu s CX3600" /EF "H K CU"

O4 - S tartup: w k calrem.LN K = C:\Program File s \Fichier s commun s \Micro s oft S hared\Wor k s S hared\W k CalRem.exe

O4 - Global S tartup: D é marrage rapide de HP Photo s mart Premier.ln k = C:\Program File s \HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global S tartup: HP Digital Imaging Monitor.ln k = C:\Program File s \HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global S tartup: Micro s oft Office.ln k = C:\Program File s \Micro s oft Office\Office10\O S A.EXE

O8 - Extra context menu item: E&xporter ver s Micro s oft Excel - re s ://C:\PROGRA~1\MICRO S ~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program File s \Fichier s commun s \Micro s oft S hared\Encarta S earch Bar\ENC S BAR.DLL

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnline S can Control) - s .ewido.net/ewidoOnline S can.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Cla s s ) - s oft.com/window s update/...b?1176396011421

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (Hou s eCall Control) - k amai.net/7/840/537/2005111...all/x s can53.cab

O22 - S haredTa s k S cheduler: Pr é -chargeur Brow s eui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOW S \S y s tem32\brow s eui.dll

O22 - S haredTa s k S cheduler: D é mon de cache de s cat é gorie s de compo s ant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOW S \S y s tem32\brow s eui.dll

O23 - S ervice: AVG Anti-S pyware Guard - Anti-Malware Development a.s . - C:\Program File s \Gri s oft\AVG Anti-S pyware 7.5\guard.exe

O23 - S ervice: S ervice d'admini s tration du Ge s tionnaire de di s que logique (dmadmin) - Un k nown owner - C:\WINDOW S \S y s tem32\dmadmin.exe

O23 - S ervice: s creen s hot s (epep) - Un k nown owner - C:\WINDOW S \s creen s hot.exe (file mi s s ing)

O23 - S ervice: Journal de s é v é nement s (Eventlog) - Un k nown owner - C:\WINDOW S \s y s tem32\s ervice s .exe

O23 - S ervice: S ervice COM de gravage de CD IMAPI (Imapi S ervice) - Un k nown owner - C:\WINDOW S \S y s tem32\imapi.exe

O23 - S ervice: Partage de Bureau à di s tance NetMeeting (mnm s rvc) - Un k nown owner - C:\WINDOW S \S y s tem32\mnm s rvc.exe

O23 - S ervice: S ervice Norton AntiViru s Auto-Protect (navap s vc) - S ymantec Corporation - C:\Program File s \Norton AntiViru s \navap s vc.exe

O23 - S ervice: DDE r é s eau (NetDDE) - Un k nown owner - C:\WINDOW S \s y s tem32\netdde.exe

O23 - S ervice: D S DM DDE r é s eau (NetDDEd s dm) - Un k nown owner - C:\WINDOW S \s y s tem32\netdde.exe

O23 - S ervice: Norton Internet S ecurity S ervice (NI S S ERV) - S ymantec Corporation - C:\Program File s \Norton Internet S ecurity\NI S S ERV.EXE

O23 - S ervice: Norton Internet S ecurity Account s Manager (NI S UM) - S ymantec Corporation - C:\Program File s \Norton Internet S ecurity\NI S UM.EXE

O23 - S ervice: Plug-and-Play (PlugPlay) - Un k nown owner - C:\WINDOW S \s y s tem32\s ervice s .exe

O23 - S ervice: Pml Driver HPZ12 - HP - C:\WINDOW S \S y s tem32\HPZipm12.exe

O23 - S ervice: Ge s tionnaire de s e s s ion d'aide s ur le Bureau à di s tance (RD S e s s Mgr) - Un k nown owner - C:\WINDOW S \s y s tem32\s e s s mgr.exe

O23 - S ervice: S criptBloc k ing S ervice (S B S ervice) - S ymantec Corporation - C:\PROGRA~1\FICHIE~1\S YMANT~1\S CRIPT~1\S B S erv.exe

O23 - S ervice: Pri s e en charge de s carte s à puce s (S CardDrv) - Un k nown owner - C:\WINDOW S \S y s tem32\S Card S vr.exe

O23 - S ervice: Carte à puce (S Card S vr) - Un k nown owner - C:\WINDOW S \S y s tem32\S Card S vr.exe

O23 - S ervice: Norton Internet S ecurity Proxy S ervice (S ymProxy S vc) - S ymantec Corporation - C:\Program File s \Norton Internet S ecurity\S ymProxy S vc.exe

O23 - S ervice: Journaux et alerte s de performance (S y s monLog) - Un k nown owner - C:\WINDOW S \s y s tem32\s mlog s vc.exe

O23 - S ervice: Clich é in s tantan é de volume (V S S ) - Un k nown owner - C:\WINDOW S \S y s tem32\v s s vc.exe

O23 - S ervice: Carte de performance WMI (WmiAp S rv) - Un k nown owner - C:\WINDOW S \S y s tem32\wbem\wmiap s rv.exe

--

End of file - 7224 byte s

VundoFix V6.3.19

Chec k ing Java ver s ion...

S un Java not detected

S can s tarted at 00:01:22 14/04/2007

Li s ting file s found while s canning....

C:\WINDOW S \S y s tem32\awtrp.dll

C:\WINDOW S \s y s tem32\gebcbcy.dll

C:\WINDOW S \s y s tem32\mfaanixy.dll

C:\WINDOW S \S y s tem32\prtwa.ba k 1

C:\WINDOW S \S y s tem32\prtwa.ini

C:\WINDOW S \s y s tem32\qhpmwgea.dll

C:\WINDOW S \s y s tem32\qijdfyyj.dll

C:\WINDOW S \s y s tem32\s wgubfwy.dll

C:\WINDOW S \s y s tem32\xpt k ohji.dll

Beginning removal...

Attempting to delete C:\WINDOW S \S y s tem32\awtrp.dll

C:\WINDOW S \S y s tem32\awtrp.dll Ha s been deleted!

Attempting to delete C:\WINDOW S \s y s tem32\gebcbcy.dll

C:\WINDOW S \s y s tem32\gebcbcy.dll Ha s been deleted!

Attempting to delete C:\WINDOW S \s y s tem32\mfaanixy.dll

C:\WINDOW S \s y s tem32\mfaanixy.dll Ha s been deleted!

Attempting to delete C:\WINDOW S \S y s tem32\prtwa.ba k 1

C:\WINDOW S \S y s tem32\prtwa.ba k 1 Ha s been deleted!

Attempting to delete C:\WINDOW S \S y s tem32\prtwa.ini

C:\WINDOW S \S y s tem32\prtwa.ini Ha s been deleted!

Attempting to delete C:\WINDOW S \s y s tem32\qhpmwgea.dll

C:\WINDOW S \s y s tem32\qhpmwgea.dll Ha s been deleted!

Attempting to delete C:\WINDOW S \s y s tem32\qijdfyyj.dll

C:\WINDOW S \s y s tem32\qijdfyyj.dll Ha s been deleted!

Attempting to delete C:\WINDOW S \s y s tem32\s wgubfwy.dll

C:\WINDOW S \s y s tem32\s wgubfwy.dll Ha s been deleted!

Attempting to delete C:\WINDOW S \s y s tem32\xpt k ohji.dll

C:\WINDOW S \s y s tem32\xpt k ohji.dll Ha s been deleted!

Performing Repair s to the regi s try.

Done!

bibi26 · le 13 avril 2007

Continuons.

Il te faudra copier ces instructions car tu n'auras pas accès à Internet pour une grande partie des instructions !

Pour copier les instructions tout en gardant la mise en forme, crée un dossier sur ton bureau du nom de Instructions, dans ton navigateur, clique sur Fichier, Enregistrer sous..., ouvre le dossier Instructions que tu as fait et clique sur Enregistrer.

1) Téléchargement

Ouvre AVG Anti-Spyware. Clique sur Mise à jour, décoche la case Télécharger et installer les mises à jour automatiquement et clique sur Commencer la mise à jour.

Ne pas faire d'analyse !

Télécharge EasyCleaner (par ToniArts).

Installe le logiciel en te laissant guider par l'assistant.

2) Mode sans échec

Redémarre ton ordinateur.

Dès que ton ordinateur redémarre, appuie plusieurs fois sur le bouton F8 jusqu'à ce qu'un menu à choix multiples apparaisse.

Choisis Mode sans échec.

Voir ce lien pour plus d'informations.

Clique sur le bouton Démarrer et clique sur Poste de travail.

Clique sur le menu Outils, sur Options des dossiers et sur l'onglet Affichage :

Sélectionne : Afficher les fichiers et dossiers cachés

Décoche : Masquer les extensions des fichiers dont le type est connu

Décoche : Masquer les fichiers protégés du système d'exploitation

Puis clique sur Ok.

3) Fixer les lignes

Démarre HijackThis.

Clique sur Do a system scan only.

Coche les lignes suivantes (Il se peut que certaines lignes aient disparu ou qu'un (file missing) ait été rajouté) :

O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\System32\qhpmwgea.dll (file missing)

O2 - BHO: (no name) - {9DED2B32-743B-47EB-874C-28AECF2A268D} - C:\WINDOWS\System32\gebcbcy.dll (file missing)

O2 - BHO: (no name) - {DB11C669-1A05-4496-AD26-21404064E09E} - C:\WINDOWS\System32\awtrp.dll (file missing)

O4 - HKLM\..\Run: kiecyfw.com

O4 - HKLM\..\RunServices: k iecyfw.com

O23 - S ervice: s creen s hot s (epep) - Un k nown owner - C:\WINDOW S \s creen s hot.exe (file mi s s ing)

Ferme toute s le s fen ê tre s de te s programme s .

Clique s ur Fix Check ed .

Ferme Hijac k Thi s .

Clique s ur D é marrer et clique s ur Ex é cuter. Tape s ervices .m s c et clique s ur O K .

Dan s la li s te, cherche un s ervice qui s e nomme epep. Double clique de s s u s .

Clique s ur la li s te d é roulante et s é lectionne D é s activé , clique s ur le bouton Arrê ter et s ur O K .

Ouvre Hijac k Thi s .

Clique s ur Open the Mis c Tools s ection et s ur Delete an NT s ervice....

Copie-colle (pour é viter le s faute s de frappe) : epep

Clique s ur O K . Une confirmation te s era demand é e, clique s ur Oui.

Un autre me s s age va appara î tre et te demander s i tu veux red é marrer ton ordinateur, r é pond s Non.

S upprime le fichier s uivant (s i tu le trouve s ) :

-C:\WINDOW S \s creens hot.exe

Fai s une recherche du fichier s uivant. S i tu le trouve s , s upprime-le : k iecyfw.com

4) Analys e

Ouvre AVG Anti-S pyware.

Clique s ur Analys e et s ur Analys e complè te du s y s t è me .

Une foi s l'analy s e termin é e, clique s ur Action recommandé e et s ur Quarantaine.

Clique s ur Appliquer toutes le s actions , s ur Enregis trer le rapport et s ur Enregis trer le rapport s ou s , s auvegarde le rapport.

Ouvre Ea s yCleaner.

Clique s ur le bouton Inutile(s ) et s ur le bouton Trouver. En s uite, clique s ur le bouton S upprimer tout.

Clique s ur Fermer.

Fai s de m ê me avec la fonction Regis tre.

Vide la corbeille qui e s t s ur ton Bureau.

N'utilis e pas la fonction doublons car tu peux ais é ment dé truire des documents importants .

5) Mode normal

S i tu le peux, fai s tout de s uite une mi s e à jour de ton s y s t è me avec Window s Update.

Red é marre ton ordinateur normalement (pa s en mode s an s é chec).

Fai s un nouveau rapport Hijac k Thi s et po s te-le avec le rapport AVG Anti-S pyware.

AleMD · le 14 avril 2007

Super, tout ce que tu m'as conseillé à fonctionné comme sur des roulettes !

Même les MAJ Windows !!!

Je te transmets les deux rapports ci-dessous :

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

+ Créé à: 15:49:01 14/04/2007

+ Résultat de l'analyse:

C:\System Volume Information\_restore{749EC53C-B1DD-49DC-997E-226FC6972347}\RP245\A0526163.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{749EC53C-B1DD-49DC-997E-226FC6972347}\RP245\A0526164.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{749EC53C-B1DD-49DC-997E-226FC6972347}\RP245\A0526165.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{749EC53C-B1DD-49DC-997E-226FC6972347}\RP245\A0526167.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{749EC53C-B1DD-49DC-997E-226FC6972347}\RP245\A0526168.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{749EC53C-B1DD-49DC-997E-226FC6972347}\RP245\A0526169.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{749EC53C-B1DD-49DC-997E-226FC6972347}\RP245\A0526170.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{749EC53C-B1DD-49DC-997E-226FC6972347}\RP245\A0526172.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{749EC53C-B1DD-49DC-997E-226FC6972347}\RP245\A0526173.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{749EC53C-B1DD-49DC-997E-226FC6972347}\RP245\A0526174.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{749EC53C-B1DD-49DC-997E-226FC6972347}\RP245\A0526176.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{749EC53C-B1DD-49DC-997E-226FC6972347}\RP245\A0526177.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{749EC53C-B1DD-49DC-997E-226FC6972347}\RP245\A0526178.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{749EC53C-B1DD-49DC-997E-226FC6972347}\RP245\A0526179.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{749EC53C-B1DD-49DC-997E-226FC6972347}\RP245\A0526210.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).

C:\VundoFix Backups\gebcbcy.dll.bad -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\csrs.exe -> Backdoor.PoeBot.r : Nettoyé et sauvegardé (mise en quarantaine).

Fin du rapport

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 16:22:50, on 14/04/2007

Platform: Windows XP (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton Internet Security\NISUM.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Norton Internet Security\NISSERV.EXE

C:\Program Files\Norton Internet Security\SymProxySvc.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\PROGRA~1\NORTON~1\navapw32.exe

C:\Program Files\Norton Internet Security\IAMAPP.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe

C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\Administrateur\Bureau\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =