problème PC: demande d'analyse HijackThis

[jlef]

ordinateur avec windows XP édition familiale non relié à internet ni en réseau depuis plus d'un an.

 

J'ai rencontré un gros problème avec mon PC :

A l'allumage j'arrivais directement dans le set up du bios et en le quittant j'avais un écran noir.

J'ai commencé par lancer le DOS via une disquette système et ensuite j'ai pu lancer fprot après avoir taper deux fois consécutivement sur I car j'avais le message Echec,Ignore ou Abandon.

J'ai ainsi pu éliminer une série de premiers virus.

Je pouvais alors redémarrer ma machine à partir du HD.

J'y ai installé l'antivirus avast , spybot, ad-Aware et a-squared Free( mis à jour via un autre PC relié à internet) et je les ai exécuté.

J'ai terminé par HijackThis dont je vous donne le log.

Serait-il possible de le regarder et de m'aider pour la suite?

Je tiens aussi à signaler que je reçois régulièrement un message avec pour en-tête watchdog erreur système me demandant d'envoyer le message d'erreur.

Merci beaucoup.

 

Logfile of HijackThis v1.99.1

Scan saved at 14:36:41, on 12/06/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

H:\avast\aswUpdSv.exe

H:\avast\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

H:\avast\ashWebSv.exe

H:\avast\ashMaiSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\soundman.exe

C:\Program Files\Real\RealPlayer\RealPlay.exe

C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe

C:\Program Files\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe

H:\winamp\winampa.exe

H:\avast\ashDisp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\NotifyPhoneBook.exe

C:\Program Files\Messenger\msmsgs.exe

H:\OpenOffice.org1.1.3\program\OOoVirgTray.exe

H:\Adobe\Distillr\acrotray.exe

H:\Picture Package Applications\Residence.exe

H:\Picture Package Menu\SonyTray.exe

H:\Hijackthis Version Française\hijackthis vf.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\SPYBOT~1\SDHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - H:\Adobe\Acrobat\AcroIEFavClient.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - H:\Adobe\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [soundMan] soundman.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL

O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"

O4 - HKLM\..\Run: [WinampAgent] H:\winamp\winampa.exe

O4 - HKLM\..\Run: [avast!] H:\avast\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [PathOOOvirg] file:///H:/OpenOffice.org1.1.3/program/OOoVirgTray.exe

O4 - Startup: stop.lnk = C:\WINDOWS\twain_32\A4s2\STOP.EXE

O4 - Global Startup: Assistant d'Acrobat.lnk = H:\Adobe\Distillr\acrotray.exe

O4 - Global Startup: Picture Package VCD Maker.lnk = ?

O4 - Global Startup: Picture Package Menu.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)

O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O16 - DPF: {C771B05E-E725-4516-97A5-4CE5EB163CFB} - http://www.cash-to-cash.com/acces/animal.exe

O23 - Service: Apache - Unknown owner - H:\easyPHP\Apache\apache.exe" --ntservice (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\avast\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - H:\avast\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - H:\avast\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - H:\avast\ashWebSv.exe" /service (file missing)

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

O23 - Service: IomegaAccess - Unknown owner - C:\Program Files\Iomega\Tools_NT\IOMEGAACCESS.EXE (file missing)

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: MySql - Unknown owner - H:\easyPHP\MySql\bin\mysqld.exe (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ZipToA - Unknown owner - C:\WINDOWS\System32\ZipToA.exe

[regis56]

Bonjour jlef !

 

Fais ceci :

 

Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes:

 

O16 - DPF: {C771B05E-E725-4516-97A5-4CE5EB163CFB} - http://www.cash-to-cash.com/acces/animal.exe

 

 

Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked

 

Ensuite :

 

Télécharge AVG Anti-Spyware

http://free3.grisoft.cz/softw/70free/setup...up-7.5.0.50.exe

• Lance AVG Anti-Spyware et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
  
• Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
  
• Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.
  

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

• Du mode Sans Échec, lance AVG Anti-Spyware et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
  
• AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. AVG Anti-Spyware affichera "All actions have been applied" du côté droit.
  
• Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
  
• Redémarre ton ordi en mode Normal.
  

.

 

Je te fais passer un autre outil :

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Prière de poster les rapports suivant dans ta prochaine réponse :

 

1) AVG Anti-Spyware

2) BlackLight

3) Nouveau rapport HijackThis!

 

Bon courage, et @+

[jlef]

Bonjour jlef !

 

Fais ceci :

 

Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes:

 

O16 - DPF: {C771B05E-E725-4516-97A5-4CE5EB163CFB} - http://www.cash-to-cash.com/acces/animal.exe

Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked

 

Ensuite :

 

Télécharge AVG Anti-Spyware

http://free3.grisoft.cz/softw/70free/setup...up-7.5.0.50.exe

• Lance AVG Anti-Spyware et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
  
• Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
  
• Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.
  

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

• Du mode Sans Échec, lance AVG Anti-Spyware et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
  
• AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. AVG Anti-Spyware affichera "All actions have been applied" du côté droit.
  
• Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
  
• Redémarre ton ordi en mode Normal.
  

.

 

Je te fais passer un autre outil :

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Prière de poster les rapports suivant dans ta prochaine réponse :

 

1) AVG Anti-Spyware

2) BlackLight

3) Nouveau rapport HijackThis!

 

Bon courage, et @+

[regis56]

Salut !

 

Quelques liens pour t'aider à commencer dans l'utilisation de ce forum :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

A plus.

[jlef]

D'abord, un grand merci pour la réponse.

J'ai voulu envoyer un message mais j'ai sans doute fait une mauvaise manipulation!

 

J'ai téléchargé les logiciels et je les ai installés sur la machine infestée qui n'est pas relié au net.

problème : pas moyen de lancer avg antispyware en mode sans echec : une fenêtre s'ouvre m'indiquant "echec de la connexion au service reinstaller avg".

J'ai reinstaller avg mais toujours la même chose.

J'ai démarré la machine normalement en rendant inactif la protection résidente et la mise à jour.

Toujours le même problème. Que faire?

[regis56]

Salut !

 

Tient c'est étonnant je t'ai fait téléchargé l'ancienne version de AVG pour ne pas avoir ce genre de problème...

 

On va changer d'outil tant pis !

 

Fais quand même le rapport blacklight stp

 

Ensuite

 

Télécharge SpySweeper - Télécharge SpySweeper - Aide SpySweeper

- Clic sur sur le lien "Free Trial" pour le télécharger tout à droite

- Installe le et démare le

- Il va te demander de télécharger la dernière définition, accepte

- Ensuite, clic sur le bouton Options à gauche

- Clic sur l'onglet Options

- Assure toi que les options suivantes sont cochées :

o Windows Registery

o Memory Object

o Cookies

o System Restore Folder

o Plus bas :

o Sweep all users accounts

o Sweep for rootkis

 

-- Redémarre en mode sans échec, si tu sais pas comment on fait lis ceci

- Démarre SpySweeper

- Clic sur "Sweep Now" à gauche

- Clic sur le bouton "Start"

- Quand le scan est terminé, clic sur le bouton "Next"

- Assure toi que tout est coché et clic sur le bouton "Next"

- Lorsque tous les éléments trouvés ont été supprimés

- Clic sur "Session Log" en haut à droite, copie tous les élements du log.

- Ferme les fenêtres et colle tout le log ici ainsi qu'un log HijackThis

 

 

Aide : N'hésite pas à consulter l'Aide de SpySweeper

 

A plus.

Modifié le 14 juin 2007 par regis56

[jlef]

j'ai réinstaller AVG antispyware et cela marche !!!!

 

voici le rapport de AVG anti-spyware :

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 11:01:02 15/06/2007

 

+ Résultat de l'analyse:

 

 

 

H:\Fichiers communs\CMEII\CMEIIAPI.dll -> Adware.Gator : Ignoré.

H:\Fichiers communs\CMEII\CMEUpd.exe -> Adware.Gator : Ignoré.

H:\Fichiers communs\CMEII\GDwldEng.dll -> Adware.Gator : Ignoré.

H:\Fichiers communs\CMEII\GFormCTM.dll -> Adware.Gator : Ignoré.

H:\Fichiers communs\CMEII\GStore.dll -> Adware.Gator : Ignoré.

H:\Fichiers communs\CMEII\GStoreServer.dll -> Adware.Gator : Ignoré.

H:\Fichiers communs\CMEII\GSvcMgr.dll -> Adware.Gator : Ignoré.

H:\Fichiers communs\GMT\EGNSEngine.dll -> Adware.Gator : Ignoré.

C:\Program Files\NewDotNet -> Adware.NewDotNet : Ignoré.

C:\Program Files\NewDotNet\newnet.log -> Adware.NewDotNet : Ignoré.

D:\ArchivagePC2_openIt(Brio)\disqueF_Image\info_nouveau\dossier_divers\ARCHIVEShtml\www.ccim.be\ccim328\trucs\cursor.htm -> Downloader.Agent.cd : Ignoré.

D:\ArchivagePC2_openIt(Brio)\disqueF_Image\info_nouveau\dossier_divers\ARCHIVEShtml\www.ccim.be\ccim328\trucs\yeux01.htm -> Downloader.Agent.cd : Ignoré.

 

 

Fin du rapport

 

voici le rapport de BlackLight :

(pas action à appliquer)

 

Rapport Blacklight :

 

No hidden items were found

 

hidden items found : 0

Items queued for renaming : 0

 

Et enfin le rapport HijackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 11:14:26, on 15/06/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

H:\avast\aswUpdSv.exe

H:\avast\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

H:\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\soundman.exe

C:\Program Files\Real\RealPlayer\RealPlay.exe

C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe

C:\Program Files\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

H:\winamp\winampa.exe

H:\avast\ashDisp.exe

C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe

C:\WINDOWS\System32\NotifyPhoneBook.exe

H:\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

H:\OpenOffice.org1.1.3\program\OOoVirgTray.exe

H:\Adobe\Distillr\acrotray.exe

H:\Picture Package Applications\Residence.exe

H:\Picture Package Menu\SonyTray.exe

C:\WINDOWS\twain_32\A4s2\STOP.EXE

H:\avast\ashWebSv.exe

H:\avast\ashMaiSv.exe

H:\Hijackthis Version Française\hijackthis vf.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\SPYBOT~1\SDHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - H:\Adobe\Acrobat\AcroIEFavClient.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - H:\Adobe\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [soundMan] soundman.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL

O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"

O4 - HKLM\..\Run: [WinampAgent] H:\winamp\winampa.exe

O4 - HKLM\..\Run: [avast!] H:\avast\ashDisp.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "H:\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [PathOOOvirg] file:///H:/OpenOffice.org1.1.3/program/OOoVirgTray.exe

O4 - Startup: stop.lnk = C:\WINDOWS\twain_32\A4s2\STOP.EXE

O4 - Global Startup: Assistant d'Acrobat.lnk = H:\Adobe\Distillr\acrotray.exe

O4 - Global Startup: Picture Package VCD Maker.lnk = ?

O4 - Global Startup: Picture Package Menu.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)

O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O23 - Service: Apache - Unknown owner - H:\easyPHP\Apache\apache.exe" --ntservice (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\avast\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - H:\avast\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - H:\avast\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - H:\avast\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - H:\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

O23 - Service: IomegaAccess - Unknown owner - C:\Program Files\Iomega\Tools_NT\IOMEGAACCESS.EXE (file missing)

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: MySql - Unknown owner - H:\easyPHP\MySql\bin\mysqld.exe (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ZipToA - Unknown owner - C:\WINDOWS\System32\ZipToA.exe

 

 

Grands remerciements pour tout.

[regis56]

SAlut !

 

Tu as mal utilisé AVG ! tant pis on le repassera plus tard !

 

1. Télécharger LSPfix:

http://www.cexx.org/lspfix.htm

 

2. Télécharger winsockfix

http://www.greyknight17.com/spy/WinsockFix.zip

 

3. Cliquer sur Démarrer> Panneau de configuration> Ajout/Suppression de programmes

 

Désinstaller:

 

NewNet, NewDotNet, tout ce qui a trait à ce domaine.

 

Si non trouvé dans Ajout/Suppression de programmes, suivre la procédure 4 de cette page:

http://www.newdotnet.com/removal.html

 

Si au cours de la manipulation , perte de l'accès à l'internet:

=>Démarrer LSPfix, cocher "I know what I'm doing" puis cliquer sur "Finish".

 

Si LSPfix n'as pas fonctionné

Dézipper winsockfix sur le Bureau, et cliquer "Fix".

 

4. Redémarrer et poster un nouveau log HijackThis.

 

A plus.

[jlef]

Bonjour à toi,

 

Quelques remarques pour un futur dépannage et suite du "feuilleton" :

 

1. Concernant AVG :

Tu m'as fait remarqué que je l'avais mal utilisé. J'ai suivi tes instructions

 

AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. AVG Anti-Spyware affichera "All actions have been applied" du côté droit.

 

En fait le bouton appliquer les actions était inactif.

Je crois qu'avant il faut faire un clic sur chaque élément de la liste et choisir quarantaine, supprimer, ignorer.

Ne sachant pas, j'ai sauvé le rapport.

Je crois donc qu'il faut tout supprimer.

 

2. Quant à Blacklight, le logiciel n'est plus blbeta.exe mais fsbl.exe

 

3. Désinstallation de NewDotNet: j'ai suivi les instructions de la page indiquée. J'ai dû appliquer la dernière procédure et télécharger le desintallateur. Problème avec mon antivirus. Après lecture sur le net, il est indiqué de fermer son antivirus avant téléchargement. Est-ce exact et le programme n'est-il pas vérolé.

 

4. Pourquoi utiliser lspfix ou WinsockFix sachant que l'ordinateur infesté n'est plus connecté à internet?

 

A plus tard et bon week-end.

[regis56]

Salut !

 

1. Concernant AVG :

Tu m'as fait remarqué que je l'avais mal utilisé. J'ai suivi tes instructions

 

AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. AVG Anti-Spyware affichera "All actions have been applied" du côté droit.

 

En fait le bouton appliquer les actions était inactif.

Je crois qu'avant il faut faire un clic sur chaque élément de la liste et choisir quarantaine, supprimer, ignorer.

Ne sachant pas, j'ai sauvé le rapport.

Je crois donc qu'il faut tout supprimer.

 

C'est bien ca !

Si tu as le nouveau rapport je le veut bien.

 

2. Quant à Blacklight, le logiciel n'est plus blbeta.exe mais fsbl.exe

 

Tu as raison blbeta est l'ancien nom je vais le corriger.

 

3. Désinstallation de NewDotNet: j'ai suivi les instructions de la page indiquée. J'ai dû appliquer la dernière procédure et télécharger le desintallateur. Problème avec mon antivirus. Après lecture sur le net, il est indiqué de fermer son antivirus avant téléchargement. Est-ce exact et le programme n'est-il pas vérolé.

 

C'est effectivement l'uninstalleur de l'editeur du programme Newnet donc c'est pas la meilleur des solutions mais bon...

On peut choisir une autre méthode si tu préfère.

On saute le dossier et ensuite on nettoie la Base de registre dans les deux cas il restera surement de petites traces...

 

4. Pourquoi utiliser lspfix ou WinsockFix sachant que l'ordinateur infesté n'est plus connecté à internet?

 

Ensuite ton Pc n'est plus relié a internet ok mais il ne le sera plus jamais ?

Si tu as l'intention de le relier quand même un jour je te conseil de garder ces programmes (Lspfix et winsockfix) à porté de main surtout avec cette infection