infections diverses...

[jeanjacques34]

Bonjour, pourrai-je avoir l'aide de quelqu'un pour analyser le rapport hjt suivant, d'avance merci, gros soucis d'infection, et programes bizarres ...

.Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:29:07, on 10/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\RMC.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\ALCMTR.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Apps\Powercinema\PCMService.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\System32\FTRTSVC.exe

c:\APPS\HIDSERVICE\HIDSERVICE.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\windows\system32\ckissam.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\PROGRA~1\Wanadoo\Watch.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll

O3 - Toolbar: (no name) - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file)

O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [RMC] C:\WINDOWS\system32\drivers\RMC.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{97628672-8C89-4FC1-887A-2E9893438DBB}: NameServer = 192.168.1.1

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: ISSvc (ISSVC) - Unknown owner - C:\Program Files\Norton Internet Security\ISSVC.exe (file missing)

O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

 

--

End of file - 9422 bytes

[Loup blanc]

Bonsoir JeanJacques34,

 

Bienvenu sur Zebulon.

 

Peux tu décrires plus précisément les problèmes que tu rencontres (type de pub, nom des programmes...) ?

 

Fait aussi ceci :

Ferme le programme Hijackthis

Ouvre le poste de travail

Rend toi dans ce dossier : C:\Program Files\Trend Micro\HijackThis\

Renomme le fichier Hijackthis.exe en jeanjacques.exe par exemple

Fait un double clic sur ce fichier pour le lancer

Poste un nouveau rapport.

 

Ensuite

- Télécharge Malwarebyte, lance l'installation puis accepte la mise a jour,

- Ferme le programme,

- Redémarre ton PC en mode sans échec ](touche F8 au démarrage)

- Lance Malwarebyte

- Dans l'onglet «Recherche», clic sur «Exécuter un examen complet»

- Clique sur «Rechercher»

- A la fin du scan, fait lui supprimer tout ce qu'il a trouvé,

- Redémarre en mode normal,

- Poste le rapport que tu trouveras dans l'onglet Rapport/logs avec la date du scan,

 

Une dernière chose, je vois dans ton rapport Avast qui est lancé ainsi que Nod32, plus des traces de Norton.

Même si Avast ne semble pas se lancer au démarrage il vaut mieux éviter de le faire quand Nod32 tourne.

Pour les traces de Norton, télécharge ce désinstalleur : ftp://ftp.symantec.com/public/francais/re...emoval_Tool.exe

Lance le et suis les instructions.

Modifié le 10 juin 2008 par Desch

[jeanjacques34]

Bonsir desch, en fait le pc est de plus enplus lent, avec l'apparition de pubs intempestives...j'ai supprimé norton, et avast...il reste seulement nod32, logiquement...

voilà le rapport hjt suite à la manip que tu m'as demandé

cordialement

jean jacques

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:03:17, on 10/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\RMC.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\ALCMTR.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Apps\Powercinema\PCMService.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\System32\FTRTSVC.exe

c:\APPS\HIDSERVICE\HIDSERVICE.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\windows\system32\ckissam.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Trend Micro\HijackThis\jeanjacques.exe.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [RMC] C:\WINDOWS\system32\drivers\RMC.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\RunOnce: [spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{97628672-8C89-4FC1-887A-2E9893438DBB}: NameServer = 192.168.1.1

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

 

--

End of file - 9675 bytes

[Loup blanc]

La modification du nom n'a pas apporté de grands changements.

Par contre Avast est toujours présent en mémoire, tu devrais redémarrer ton PC pour le virer.

 

N'oublie pas non plus le scan avec malwarebyte

 

Fait aussi vérifier le fichier suivant sur le site de Virustotal :

C:\windows\system32\ckissam.exe

Copie/colle le texte en rouge dans la zone "Envoyer un fichier" puis clique sur "Envoyer le fichier".

Copie le résultat dans un nouveau message

 

 

Ensuite fait un scan en ligne avec Kaspersky (sous Internet Explorer) :

(Voir le tuto de Malekal)

Poste le rapport

Modifié le 10 juin 2008 par Desch

[jeanjacques34]

Bonsoir desch, merci pour ton aide...ci-joint rapport malewarebytes

je t'envoie le reste par la suite

cordialement

jean jacques

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 4

Fichier(s) infecté(s): 13

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webmediaplayer (Adware.EGDAccess) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\WebMediaPlayer.exe (Adware.EGDAccess) -> No action taken.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{4e7bd74f-2b8d-469e-a0e8-ed6ab685fa7d} (Adware.2020Search) -> No action taken.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

C:\Program Files\WebMediaPlayer (Adware.EGDAccess) -> No action taken.

C:\Program Files\WebMediaPlayer\resources (Adware.EGDAccess) -> No action taken.

C:\Program Files\WebMediaPlayer\skins (Adware.EGDAccess) -> No action taken.

C:\Program Files\WebMediaPlayer\updates (Adware.EGDAccess) -> No action taken.

 

Fichier(s) infecté(s):

C:\Program Files\WebMediaPlayer\sqlite3.dll (Adware.EGDAccess) -> No action taken.

C:\Program Files\WebMediaPlayer\uninst.exe (Adware.EGDAccess) -> No action taken.

C:\Program Files\WebMediaPlayer\WebMediaPlayer.exe (Adware.EGDAccess) -> No action taken.

C:\Program Files\WebMediaPlayer\WebMediaPlayer.url (Adware.EGDAccess) -> No action taken.

C:\Program Files\WebMediaPlayer\resources\languages.xml (Adware.EGDAccess) -> No action taken.

C:\Program Files\WebMediaPlayer\resources\webmedias (Adware.EGDAccess) -> No action taken.

C:\Program Files\WebMediaPlayer\skins\classic.skn (Adware.EGDAccess) -> No action taken.

C:\Program Files\WebMediaPlayer\updates\update.upd (Adware.EGDAccess) -> No action taken.

C:\WINDOWS\system32\ckissam_navps.dat (Adware.EGDAccess) -> No action taken.

C:\WINDOWS\system32\nszmrhm_navps.dat (Adware.EGDAccess) -> No action taken.

C:\WINDOWS\system32\ckissam_nav.dat (Adware.EGDAccess) -> No action taken.

C:\WINDOWS\system32\nszmrhm_nav.dat (Adware.EGDAccess) -> No action taken.

C:\Documents and Settings\jean-jacques\Bureau\WebMediaPlayer.lnk (Adware.EGDAccess) -> No action taken.

[Loup blanc]

Tu vas devoir recommencer avec Malwarebyte, tu ne lui as pas fait supprimer tout ce qu'il a trouvé ( -> No action taken).

 

Quand ce sera fait, ça devrait régler le problème des publicités.

Ensuite, Ouvre Internet Explorer > Outils > Option Internet > onglet Editeurs > "Editeur approuvés" et supprimes, si présents, les certificats suivants :

electronic-group

egroup

Montorgueil

OOO-Favorit

VIP

Sunny Day Design

Modifié le 10 juin 2008 par Desch

[jeanjacques34]

Bonjour desch, je te joins le rapport de viruscan, en fait il apparaitrait qu'il y a 2 trojans...

 

Fichier ckissam.exe_ reçu le 2008.06.11 19:10:21 (CET)

Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

 

 

Résultat: 2/32 (6.25%)

en train de charger les informations du serveur...

Votre fichier est dans la file d'attente, en position: ___.

L'heure estimée de démarrage est entre ___ et ___ .

Ne fermez pas la fenêtre avant la fin de l'analyse.

L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.

Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.

Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,

les résultats seront affichés au fur et à mesure de leur génération.

Formaté Impression des résultats

Votre fichier a expiré ou n'existe pas.

Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

 

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.

Email:

 

 

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.6.11.0 2008.06.11 -

AntiVir 7.8.0.55 2008.06.11 -

Authentium 5.1.0.4 2008.06.11 -

Avast 4.8.1195.0 2008.06.11 -

AVG 7.5.0.516 2008.06.11 -

BitDefender 7.2 2008.06.11 -

CAT-QuickHeal 9.50 2008.06.11 Win32.Trojan.Obfuscated.aqn.3

ClamAV 0.92.1 2008.06.11 -

DrWeb 4.44.0.09170 2008.06.11 -

eSafe 7.0.15.0 2008.06.11 -

eTrust-Vet 31.6.5865 2008.06.11 -

Ewido 4.0 2008.06.11 -

F-Prot 4.4.4.56 2008.06.10 -

F-Secure 6.70.13260.0 2008.06.11 -

Fortinet 3.14.0.0 2008.06.11 -

GData 2.0.7306.1023 2008.06.11 -

Ikarus T3.1.1.26.0 2008.06.11 -

Kaspersky 7.0.0.125 2008.06.11 -

McAfee 5315 2008.06.11 -

Microsoft 1.3604 2008.06.11 Trojan:Win32/Skintrim.B

NOD32v2 3178 2008.06.11 -

Norman 5.80.02 2008.06.11 -

Panda 9.0.0.4 2008.06.10 -

Prevx1 V2 2008.06.11 -

Rising 20.48.22.00 2008.06.11 -

Sophos 4.30.0 2008.06.11 -

Sunbelt 3.0.1145.1 2008.06.05 -

Symantec 10 2008.06.11 -

TheHacker 6.2.92.342 2008.06.11 -

VBA32 3.12.6.7 2008.06.10 -

VirusBuster 4.3.26:9 2008.06.11 -

Webwasher-Gateway 6.6.2 2008.06.11 -

Information additionnelle

File size: 315392 bytes

MD5...: 4b2fcee87febbc668107278717ef94c7

SHA1..: f1225fb3e2bf919da56152390c71d9a8023a6aaf

SHA256: 0b710840cc9aec21cd24958c2264c261a4b366690cb20b759d8ff5e978965a20

SHA512: 6210c1566ee11d1f4de83150dfbf929864550e443df83fa7ed5edfff2f8171b7

44fdc80207cd55c115135dba34ad3d3103a1655d1179088c437c7ed243b1b43c

PEiD..: -

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x40103c

timedatestamp.....: 0x408fd54d (Wed Apr 28 16:01:17 2004)

machinetype.......: 0x14c (I386)

 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x48a9d 0x49000 7.80 f0f8dc1e5e8497023ca5e30c5aca09de

.rdata 0x4a000 0xd46 0x1000 4.87 fe90ece57b7a36f8dbbda2b1d0546307

.data 0x4b000 0x1640 0x2000 2.65 ab2e94d13f3596b4b32f3da5baf8ced1

 

( 10 imports )

> KERNEL32.dll: SwitchToFiber, GetCommandLineA, GetVersionExA, lstrlenA, VirtualProtect, IsProcessorFeaturePresent, ExitProcess, GetThreadPriority, GetEnvironmentVariableW, LocalAlloc, GlobalFindAtomA, ScrollConsoleScreenBufferA

> USER32.dll: EnumDisplaySettingsExW, ActivateKeyboardLayout, GetClipboardOwner, CheckMenuRadioItem, UpdateWindow, SetClipboardData, EnumWindows, UnhookWinEvent, SetFocus, OemKeyScan, WinHelpA, LoadMenuA, SendMessageCallbackW, SetMenuInfo, OemToCharBuffA, SubtractRect, GetMessagePos, RedrawWindow, DrawEdge, GetMenuItemID, EqualRect, DrawTextW, OpenDesktopA, MonitorFromRect, RegisterDeviceNotificationA, UnionRect, RegisterHotKey, CloseClipboard, SetDlgItemTextA, PostMessageA, GetMenuItemRect, EnableWindow, EnumDisplaySettingsA, CharNextW, DrawStateA

> GDI32.dll: WidenPath, ChoosePixelFormat, StrokePath, SetPixel, DPtoLP, CreateEllipticRgnIndirect, CreateRoundRectRgn

> ADVAPI32.dll: FreeSid, UnlockServiceDatabase, RegEnumValueW, RegQueryValueExA, CryptSetKeyParam, EnumServicesStatusA, AddAccessAllowedAce, GetSidIdentifierAuthority, GetAclInformation, MakeSelfRelativeSD, CryptSetProvParam, OpenServiceW, CryptGetHashParam, LookupPrivilegeValueA, DeregisterEventSource, DestroyPrivateObjectSecurity, CloseEventLog, RegRestoreKeyW, RegisterEventSourceW, QueryServiceStatus, IsValidSecurityDescriptor, GetSidSubAuthority, DeleteService, InitializeSid, GetSecurityInfo

> SHELL32.dll: Shell_NotifyIconA, SHFileOperationW, ShellExecuteA, FindExecutableA

> ole32.dll: CoRegisterMallocSpy, CoCreateInstance, OleRegGetMiscStatus, CoResumeClassObjects, CoRegisterClassObject

> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -

> COMCTL32.dll: ImageList_AddMasked, ImageList_BeginDrag, ImageList_Create

> SHLWAPI.dll: PathCombineA, StrCmpNW, SHSetThreadRef, PathIsRootW, PathAddBackslashA, PathUnquoteSpacesW, PathStripToRootW, SHRegGetBoolUSValueA, PathSkipRootW, wnsprintfA, StrCatBuffW, StrRStrIW, PathStripPathA, PathFileExistsW, SHRegCreateUSKeyW

> SETUPAPI.dll: SetupOpenInfFileA, SetupDiGetDeviceInfoListDetailA

 

( 0 exports )

 

 

 

ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.

 

 

rapport malewarebytes après suppression des objets infectés..

Malwarebytes' Anti-Malware 1.16

Version de la base de données: 845

 

18:59:59 11/06/2008

mbam-log-6-11-2008 (18-59-59).txt

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 92612

Temps écoulé: 1 hour(s), 40 minute(s), 25 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 2

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 4

Fichier(s) infecté(s): 13

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webmediaplayer (Adware.EGDAccess) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\WebMediaPlayer.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{4e7bd74f-2b8d-469e-a0e8-ed6ab685fa7d} (Adware.2020Search) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

C:\Program Files\WebMediaPlayer (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Program Files\WebMediaPlayer\resources (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Program Files\WebMediaPlayer\skins (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Program Files\WebMediaPlayer\updates (Adware.EGDAccess) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\Program Files\WebMediaPlayer\sqlite3.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Program Files\WebMediaPlayer\uninst.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Program Files\WebMediaPlayer\WebMediaPlayer.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Program Files\WebMediaPlayer\WebMediaPlayer.url (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Program Files\WebMediaPlayer\resources\languages.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Program Files\WebMediaPlayer\resources\webmedias (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Program Files\WebMediaPlayer\skins\classic.skn (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Program Files\WebMediaPlayer\updates\update.upd (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\ckissam_navps.dat (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\nszmrhm_navps.dat (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\ckissam_nav.dat (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\nszmrhm_nav.dat (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Documents and Settings\jean-jacques\Bureau\WebMediaPlayer.lnk (Adware.EGDAccess) -> Quarantined and deleted successfully.

[jeanjacques34]

Desch, merci de t'interesser à mon soucis, pourras-tu me dire aussi ce que je dois éliminer des programmes démarrage afin que le systême soit plus souple?

[jeanjacques34]

Impossible de faire un scan avec kapersky, la clé n'est pas acceptée, je ne sais pas pourquoi...

[Loup blanc]

Bonsoir JeanJacques,

 

Essaie avec le scan de Panda : http://www.pandasecurity.com/homeusers/solutions/activescan/?

Tuto de Malekal

 

Est-ce que c'est bon pour les pubs ?

Modifié le 11 juin 2008 par Desch