Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés


Voici les deux rapports.


************************* Rustock.b-fix -- By ejvindh



16/04/2007 17:05:00,87


******************* Pre-run Status of system *******************


Rootkit driver PE386 is found. Starting the unload-procedure....


Rustock.b-ADS attached to the System32-folder:

:lzx32.sys 80888

Total size: 80888 bytes.

Attempting to remove ADS...

system32: deleted 80888 bytes in 1 streams.


Looking for Rustock.b-files in the System32-folder:

No Rustock.b-files found in system32



******************* Post-run Status of system *******************


Rustock.b-driver on the system: NONE!


Rustock.b-ADS attached to the System32-folder:

No System32-ADS found.


Looking for Rustock.b-files in the System32-folder:

No Rustock.b-files found in system32



******************************* End of Logfile





Logfile of The Avenger version 1, by Swandog46

Running from registry key:





Script file located at: \??\C:\Documents and Settings\ramgorwt.txt

Script file opened successfully.


Script file read successfully


Backups directory opened successfully at C:\Avenger




Beginning to process script file:


Driver PE386 unloaded successfully.

Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.


Completed script processing.




Finished! Terminate.



Je me lance dans le scan Kaspersky.


Et voilà le rapport du scan Kaspersky.



Incident Status Location


Potentially unwanted tool:application/myway Not disinfected hkey_local_machine\software\microsoft\windows\currentversion\uninstall\My Way Speedbar Uninstall Not disinfected HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{511F9316-771B-4953-A268-1C36DA667FE9}

Virus:W32/Nurech.Z.worm Disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\HHWV8PZ8\pdp[1].exe

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Pascal\Application Data\Mozilla\Firefox\Profiles\12x4n9ch.default\cookies.txt[]

Spyware:Cookie/Weborama Not disinfected C:\Documents and Settings\Pascal\Application Data\Mozilla\Firefox\Profiles\12x4n9ch.default\cookies.txt[]

Spyware:Cookie/YieldManager Not disinfected C:\Documents and Settings\Pascal\Application Data\Mozilla\Firefox\Profiles\12x4n9ch.default\cookies.txt[]

Potentially unwanted tool:Application/Pskill.K Not disinfected C:\Documents and Settings\Pascal\Bureau\clean\clean\pskill.exe

Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Pascal\Bureau\SDFix\apps\Process.exe

Virus:W32/Nurech.Z.worm Disinfected C:\Documents and Settings\Pascal\Bureau\SDFix\backups\[backups/pdp.exe.exe]

Adware:Adware/Borlander Not disinfected C:\Documents and Settings\Pascal\Bureau\SDFix\backups\[backups/vexga5me3.exe]

Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Pascal\Bureau\SDFix.exe[sDFix\apps\Process.exe]

Spyware:Cookie/DriveCleaner Not disinfected C:\Documents and Settings\Pascal\Cookies\pascal@drivecleaner[1].txt

Spyware:Cookie/Mediaplex Not disinfected C:\Documents and Settings\Pascal\Cookies\pascal@mediaplex[1].txt

Virus:Trj/Abox.A Disinfected Dossiers personnels\Boîte de réception\Anniversaire\Anniversaire.asx

Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Pascal\Local Settings\Application Data\Mozilla\Firefox\Profiles\12x4n9ch.default\Cache\DD0DBD66d01[C:\Documents and Settings\Pascal\Local Settings\Application Data\Mozilla\Firefox\Profiles\12x4n9ch.default\Cache\DD0DBD66d01][sDFix\ap

Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Pascal\Mes documents\Import\SmitfraudFix\Process.exe

Virus:Trj/Shutdown.Z Disinfected C:\Documents and Settings\Pascal\Mes documents\Import\SmitfraudFix\restart.exe

Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Pascal\Mes documents\Import\[smitfraudFix/Process.exe]

Virus:Trj/Shutdown.Z Disinfected C:\Documents and Settings\Pascal\Mes documents\Import\[smitfraudFix/restart.exe]

Virus:Trj/Abox.A Disinfected C:\Documents and Settings\Pascal\Mes documents\Mes Documents\Anniversaire.asx

Virus:Trj/Nabload.AJR Disinfected C:\Program Files\FusionSoft DVD Player XP\bmptojpeg.exe

Potentially unwanted tool:Application/Processor Not disinfected C:\VundoFix\process.exe

Adware:Adware/Maxifiles Not disinfected C:\WINDOWS\b122.exe

Virus:Trj/Ranky.PI Disinfected C:\WINDOWS\comdlg64.dll



Et pour finir, un scan HiJackThis.


Logfile of HijackThis v1.99.1

Scan saved at 21:57:59, on 16/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)


Running processes:









C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe







C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe


C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\iPod\bin\iPodService.exe




C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Pascal\Mes documents\Import\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST1.02.0002.1001\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar1.02.2001.0001\fr-ch\msntb.dll

O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar1.02.2001.0001\fr-ch\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe

O4 - HKLM\..\Run: [s3TRAY2] S3tray2.exe

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater1.02.0002.1001\fr-ch\msnappau.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [HP TV Now] C:\Program Files\Hewlett-Packard\HP TV Now\HpTvNow.exe /RK

O4 - HKLM\..\Run: [CP4HPOT] C:\PROGRA~1\HEWLET~1\ONE-TO~1\OneTouch.EXE

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Quick Help.lnk = C:\Program Files\Bluewin\Quick Help\bin\matcli.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'abcdefgh.dll' missing

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) -

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe

O23 - Service: HP RF Device Service (HpRfDev) - Hewlett-Packard - C:\WINDOWS\system32\HpRfDev.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: RadioSvr - Hewlett-Packard - C:\WINDOWS\system32\RadioSvr.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe


Sélectionne cette liste dans le cadre :


drivers to unload:



registry keys to delete:

hkey_local_machine\software\microsoft\windows\currentversion\uninstall\My Way Speedbar Uninstall




Files to Delete:









Folders to delete:


--> Clic droit copier


- Ouvre le Bloc-Note et clic sur le menu Edition/Coller afin de coller le contenu qui est dans le cadre ci-dessus

Important : Tu dois avoir le contenu du cadre ci-dessous dans le bloc-note, vérifié qu'il n'y a pas de lignes manquantes au début ou à la fin.

- Enregistre le fichier sur ton bureau sous le nom remove.txt


- Télécharge The Avenger de Swandog46

- Dézip le contenu de l'archive sur ton bureau et double-clic sur avenger.exe

- Clique sur "Ok"

- Sélectionne "Load Script from File" et clique sur l'icône en forme de dossier.

- Sélectionne le fichier remove.txt qui est sur ton bureau

- Clique sur le feu vert pour lancer le script

- Clique sur "Oui"

- Accepte de redémarrer ton pc.


Quand le PC a redémarre ouvre le fichier C:\avenger.txt et copie/colle le contenu ici.

Upload C:\ (ou c:\avenger\ sur


Relance DiagHelp Option 1 et poste le rapport ici.


Bonjour Malekale morte,


J'ai exécuté Avenger avec l'aide du fichier remove, mais gros souci : si l'ordinateur a bien redémarré, avec le log ouvert, il ne reconnaît plus le modem !


Les voyants USB et ADSL montrent qu'il y a bel et bien une connexion, mais impossible d'accéder au Net. Impossible aussi d'accéder au modem pour le réinitialiser. J'ai désinstallé et réinstallé le driver, essayé un autre port USB, rien n'y fait.


Les ports USB auraient-ils souffert d'une manipulation récente ? Comment puis-je diagnostiquer l'emplacement du problème ?


Indice supplémentaire: au démarrage, l'antivirus avast! me signale des erreurs 10106 (incapacité de protéger quoi que ce soit) et le pare-feu Windows me signale qu'il n'est pas activé.


Je peux t'envoyer tous les rapports possibles, ça prendra un peu de temps car il faut que je les passe d'un ordinateur à l'autre avec une disquette.


EDIT : passe au post suivant avec les manips LSPFIX.



Menu Démarrer/Exécuter et tape cmd puis clic sur OK.

Dans la nouvelle fenêtre tape ces commandes en finissant par la touche entrée pour valider.

winmgmt /clearadap

winmgmt /kill

winmgmt /unregserver

winmgmt /regserver

winmgmt /resyncperf





Télécharge Winsockfix :

Tu l'executes sur l'ordinateur.


Si ça marche pas après cela,

- Menu Démarrer / executer / tapez : netsh winsock reset catalog puis clic sur OK.


Et tu redémarres l'ordinateur.


Fais ça aussi pour voir...


Essaye : émarrer/Exécuter et tape : CMD /K SC QC WINMGMT puis clic sur OK.

Copie/colle le contenu du texte dans la nouvelle fenêtre ici.


-- Télécharge LSPfix

-- Lance LSPfix

-- Déconnecte-toi d'Internet et ferme toutes les fenêtres d'Internet Explorer.

-- Coche la case "I know what I'm doing"

-- Sélectionne toutes les instances des dll suivantes (s'il y en a, sinon ferme LSPfix) :




--> fais les glisser du panneau de gauche "keep" au panneau de droite "Remove".

Clique sur le bouton "Finish".

(Si elles sont déjà dans le panneau "Remove" alors clique directement sur le bouton "Finish".)


En fait ce que tu m'a donné avec les commandes sous DOS, Winsockfix et la commande "netsh winsock..." a relancé l'accès au Net sans aucun problème. J'ai pu réinstaller le driver du modem, et tout fonctionne à nouveau.


J'ai dû refaire le log Avenger et ça me donne ça. J'imagine que les fichiers qu'il n'a pas pu trouver ont été effacés lors de sa première intervention.


A ce stade l'ordinateur ne paraît plus avoir de problème "visible", dois-je quand même faire les manips LSPfix et la commande sous DOS de ton avant-dernier post ?







Logfile of The Avenger version 1, by Swandog46

Running from registry key:





Script file located at: \??\C:\Documents and Settings\tyuuqybj.txt

Script file opened successfully.


Script file read successfully


Backups directory opened successfully at C:\Avenger




Beginning to process script file:




Registry key \Registry\Machine\System\CurrentControlSet\Services\windev-5880-7a4b not found!

Unload of driver windev-5880-7a4b failed!


Could not process line:


Status: 0xc0000034




Registry key HKLM\SYSTEM\CurrentControlSet\Services\winmgmt5880-7a4b not found!

Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\winmgmt5880-7a4b failed!


Could not process line:


Status: 0xc0000034




Registry key HKLM\SYSTEM\CurrentControlSet\Services\Winsock5880-7a4b not found!

Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\Winsock5880-7a4b failed!


Could not process line:


Status: 0xc0000034




File C:\WINDOWS\system32\windev-5880-7a4b.sys not found!

Deletion of file C:\WINDOWS\system32\windev-5880-7a4b.sys failed!


Could not process line:


Status: 0xc0000034




File C:\WINDOWS\system32\windev-peers.ini not found!

Deletion of file C:\WINDOWS\system32\windev-peers.ini failed!


Could not process line:


Status: 0xc0000034




File C:\WINDOWS\System32\3ti.exe not found!

Deletion of file C:\WINDOWS\System32\3ti.exe failed!


Could not process line:


Status: 0xc0000034




File C:\WINDOWS\System32\abcdefgh.dll not found!

Deletion of file C:\WINDOWS\System32\abcdefgh.dll failed!


Could not process line:


Status: 0xc0000034




File C:\WINDOWS\System32\WinHealer.dll not found!

Deletion of file C:\WINDOWS\System32\WinHealer.dll failed!


Could not process line:


Status: 0xc0000034




File C:\WINDOWS\System32\vexg4am1et2.exe not found!

Deletion of file C:\WINDOWS\System32\vexg4am1et2.exe failed!


Could not process line:


Status: 0xc0000034




File C:\WINDOWS\b122.exe not found!

Deletion of file C:\WINDOWS\b122.exe failed!


Could not process line:


Status: 0xc0000034




Folder C:\VundoFix not found!

Deletion of folder C:\VundoFix failed!


Could not process line:


Status: 0xc0000034




Registry key hkey_local_machine\software\microsoft\windows\currentversion\uninstall\My Way Speedbar Uninstall not found!

Deletion of registry key hkey_local_machine\software\microsoft\windows\currentversion\uninstall\My Way Speedbar Uninstall failed!

Status: 0xc0000034



Completed script processing.




Finished! Terminate.


Voilà au cas où le premier rapport:


[sC] GetServiceConfig SUCCESS






BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs


TAG : 0

DISPLAY_NAME : Infrastructure de gestion Windows



Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
  • Créer...