[résolu]vx2 log hijackthis

[bixb]

Bonjour, j ai vx2 et ne peut l enlever

 

y aurait il une ame charitable pour m aider a virer cette s...

 

voici mon log , aidez moi s il vous plait je suis a bout et a vrai dire un peu débutant

 

 

Scan saved at 22:56:55, on 26/05/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton Internet Security\NISUM.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Norton Internet Security\NISSERV.EXE

C:\Program Files\Norton Internet Security\SymProxySvc.exe

C:\WINDOWS\System32\atiptaxx.exe

C:\Program Files\Norton Internet Security\IAMAPP.EXE

C:\PROGRA~1\NORTON~1\navapw32.exe

C:\PROGRA~1\MESSAG~1\StartMessager.exe

C:\WINDOWS\System32\GSICON.EXE

C:\WINDOWS\System32\dslagent.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\system32\msml.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe

C:\WINDOWS\apiwe32.exe

C:\Program Files\Wanadoo\Watch.exe

C:\Program Files\Wanadoo\EspaceWanadoo.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\Documents and Settings\SARL BADIOLA\Bureau\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qipfh.dll/sp.html#83556

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qipfh.dll/sp.html#83556

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\qipfh.dll/sp.html#83556

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qipfh.dll/sp.html#83556

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qipfh.dll/sp.html#83556

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qipfh.dll/sp.html#83556

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {3E94D258-D83D-C2FC-C50B-C3BD6EF0FC9C} - C:\WINDOWS\system32\sdksv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo

O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe

O4 - HKLM\..\Run: [msml.exe] C:\WINDOWS\system32\msml.exe

O4 - HKLM\..\RunOnce: [sdkah.exe] C:\WINDOWS\system32\sdkah.exe

O4 - HKLM\..\RunOnce: [apiwe32.exe] C:\WINDOWS\apiwe32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1105957439336

O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secur...loadManager.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{AA26AF2B-C919-41C0-802B-B01BC034D82D}: NameServer = 80.10.246.130 80.10.246.3

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ntdq.exe (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISSERV.EXE

O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\SymProxySvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

[philae]

Bonjour,

 

je démarre l'analyse de ton rapport, réponse dans un moment

[bixb]

merci c est vraiment sympa de me consacrer du temps

[philae]

Re

 

Important:Toutes les corrections devront être faites hors connexion. Imprime ou sauvegarde cette page.

 

 

Télécharge les outils suivants

 

*CWShredder

http://www.bleepingcomputer.com/files/cwshredder.php

Installer CWShredder dans un répertoire dédié

 

*SpSeHjfix

http://www.derbilk.de/SpSeHjfix112.zip

Tu le dézippes dans un répertoire alloué

 

*CleanUp

http://cleanup.stevengould.org/

Tu l'installes.

 

Ferme toutes les fenêtres

-lance CWShredder et clique sur "Fix".

 

Redémarre.

 

Lance CleanUp et éxecute le.

clique sur "CleanUp !"

 

Redémarre.

 

Lance SpSeHjfix

.. clique sur le bouton "start disinfection"

.. en cas d'infection , l'ordinateur est redémarré

.. SpSeHjfix reprend la main avant démarrage de Windows pour désinfection sans être gêné par les processus en cours.

. examiner, communiquer le fichier log généré

 

Redémarre et poste les rapports de SpSeHjFix,ainsi qu'un nouveau log Hijackthis.

[bixb]

merci

voici le log de hjack this

 

Logfile of HijackThis v1.99.1

Scan saved at 01:08:06, on 27/05/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton Internet Security\NISUM.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Norton Internet Security\NISSERV.EXE

C:\Program Files\Norton Internet Security\SymProxySvc.exe

C:\WINDOWS\ntkw32.exe

C:\WINDOWS\System32\atiptaxx.exe

C:\Program Files\Norton Internet Security\IAMAPP.EXE

C:\PROGRA~1\NORTON~1\navapw32.exe

C:\PROGRA~1\MESSAG~1\StartMessager.exe

C:\WINDOWS\System32\GSICON.EXE

C:\WINDOWS\System32\dslagent.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\system32\msml.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\SARL BADIOLA\Bureau\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qipfh.dll/sp.html#83556

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qipfh.dll/sp.html#83556

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\qipfh.dll/sp.html#83556

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qipfh.dll/sp.html#83556

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qipfh.dll/sp.html#83556

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qipfh.dll/sp.html#83556

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {3E94D258-D83D-C2FC-C50B-C3BD6EF0FC9C} - C:\WINDOWS\system32\sdksv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo

O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe

O4 - HKLM\..\Run: [msml.exe] C:\WINDOWS\system32\msml.exe

O4 - HKLM\..\RunOnce: [ntkw32.exe] C:\WINDOWS\ntkw32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1105957439336

O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secur...loadManager.ocx

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ntdq.exe (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISSERV.EXE

O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\SymProxySvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

 

 

 

et ce lui de spsehjfix

 

 

 

 

(5/27/05 01:02:41) SPSeHjFix started v1.1.2

(5/27/05 01:02:41) OS: WinXP Service Pack 1 (5.1.2600)

(5/27/05 01:02:41) Language: français

(5/27/05 01:02:41) Win-Path: C:\WINDOWS

(5/27/05 01:02:41) System-Path: C:\WINDOWS\System32

(5/27/05 01:02:41) Temp-Path: C:\DOCUME~1\SARLBA~1\LOCALS~1\Temp\

(5/27/05 01:02:44) Disinfection started

(5/27/05 01:02:44) Bad-Dll(IEP): c:\windows\qipfh.dll

(5/27/05 01:02:44) UBF: 7 - UBB: 2 - UBR: 19

(5/27/05 01:02:44) UBF: 7 - UBB: 2 - UBR: 19

(5/27/05 01:02:44) Bad IE-pages:

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\windows\qipfh.dll/sp.html#83556

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\windows\qipfh.dll/sp.html#83556

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\windows\qipfh.dll/sp.html#83556

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\windows\qipfh.dll/sp.html#83556

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Search_URL: res://c:\windows\qipfh.dll/sp.html#83556

deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://c:\windows\qipfh.dll/sp.html#83556

(5/27/05 01:02:44) Stealth-String not found

(5/27/05 01:02:44) No locked Files to delete. End without Reboot

(5/27/05 01:02:59) Disinfection started

(5/27/05 01:02:59) Bad-Dll(IEP): c:\windows\qipfh.dll

(5/27/05 01:02:59) UBF: 7 - UBB: 2 - UBR: 19

(5/27/05 01:02:59) UBF: 7 - UBB: 2 - UBR: 19

(5/27/05 01:02:59) Bad IE-pages: (none)

(5/27/05 01:02:59) Stealth-String not found

(5/27/05 01:02:59) No locked Files to delete. End without Reboot

(5/27/05 01:03:15) Disinfection started

(5/27/05 01:03:15) Bad-Dll(IEP): c:\windows\qipfh.dll

(5/27/05 01:03:15) UBF: 7 - UBB: 2 - UBR: 19

(5/27/05 01:03:15) UBF: 7 - UBB: 2 - UBR: 19

(5/27/05 01:03:15) Bad IE-pages: (none)

(5/27/05 01:03:15) Stealth-String not found

(5/27/05 01:03:15) No locked Files to delete. End without Reboot

(5/27/05 01:03:16) Disinfection started

(5/27/05 01:03:16) Bad-Dll(IEP): c:\windows\qipfh.dll

(5/27/05 01:03:16) UBF: 7 - UBB: 2 - UBR: 19

(5/27/05 01:03:16) UBF: 7 - UBB: 2 - UBR: 19

(5/27/05 01:03:16) Bad IE-pages: (none)

(5/27/05 01:03:16) Stealth-String not found

(5/27/05 01:03:16) No locked Files to delete. End without Reboot

(5/27/05 01:03:16) Disinfection started

(5/27/05 01:03:16) Bad-Dll(IEP): c:\windows\qipfh.dll

(5/27/05 01:03:16) UBF: 7 - UBB: 2 - UBR: 19

(5/27/05 01:03:16) UBF: 7 - UBB: 2 - UBR: 19

(5/27/05 01:03:16) Bad IE-pages: (none)

(5/27/05 01:03:16) Stealth-String not found

(5/27/05 01:03:16) No locked Files to delete. End without Reboot

(5/27/05 01:03:16) Disinfection started

(5/27/05 01:03:16) Bad-Dll(IEP): c:\windows\qipfh.dll

(5/27/05 01:03:16) UBF: 7 - UBB: 2 - UBR: 19

(5/27/05 01:03:16) UBF: 7 - UBB: 2 - UBR: 19

(5/27/05 01:03:16) Bad IE-pages: (none)

(5/27/05 01:03:16) Stealth-String not found

(5/27/05 01:03:16) No locked Files to delete. End without Reboot

 

 

(5/27/05 01:03:19) SPSeHjFix started v1.1.2

(5/27/05 01:03:19) OS: WinXP Service Pack 1 (5.1.2600)

(5/27/05 01:03:19) Language: français

(5/27/05 01:03:19) Win-Path: C:\WINDOWS

(5/27/05 01:03:19) System-Path: C:\WINDOWS\System32

(5/27/05 01:03:19) Temp-Path: C:\DOCUME~1\SARLBA~1\LOCALS~1\Temp\

(5/27/05 01:03:21) Disinfection started

(5/27/05 01:03:21) Bad-Dll(IEP): (not found)

(5/27/05 01:03:21) Bad-Dll(IEP) in BHO: (not found)

(5/27/05 01:03:21) UBF: 7 - UBB: 2 - UBR: 19

(5/27/05 01:03:21) UBF: 7 - UBB: 2 - UBR: 19

(5/27/05 01:03:21) Bad IE-pages: (none)

(5/27/05 01:03:21) Stealth-String not found

(5/27/05 01:03:21) Not infected->END

 

 

merci pour ton aide precieuse

[philae]

Tout est à faire HORS CONNEXION, une fois que tu as téléchargé les logiciels.

 

Télécharge About:Buster

http://www.malwarebytes.biz/index.php?page=downloads

 

Le dézipper et mettre un raccourci sur le bureau.

 

Assure toi d'avoir accés à tous les fichiers

 

Outils----->Options des dossiers----->Onglet Affichage------->

(le paramètre activé par défaut est <Ne pas afficher les fichiers cachés ou les fichiers système>.)

Cliquez une fois dans le cercle étiqueté <Afficher tous les fichiers>, cliquez sur <Appliquer> puis sur <OK>.

 

Démarrer / Exécuter / tape services.msc et clique sur OK

Dans la liste des services, cherche et sélectionne

 

"Network Security Service (NSS)" / double clique sur la ligne / vérifie dans Chemin d'accès des fichiers exécutables qu'il s'agit bien de

C:\WINDOWS\system32\ntdq.exe / dans Type de démarrage,

sélectionne Désactiver / valide la modification !

 

Ferme toutes les fenêtres

 

lance CWShredder et clique sur "Fix".

 

Redémarre.

 

Lance CleanUp

et éxecute le.

clique sur "CleanUp !"

 

Redémarre.

 

Lance SpSeHjfix (Toutes les fenetres etant fermées)

 

Redémarre en mode sans echec(IMPERATIVEMENT EN MODE SANS ECHEC )

-11-Supprime les fichiers suivants .

 

C:\WINDOWS\system32\sdksv.dll---------------->le fichier

C:\WINDOWS\system32\msml.exe------------------>le fichier

C:\WINDOWS\System32\vbsys2.dll------------------->le fichier

C:\WINDOWS\system32\ntdq.exe ------------------->le fichier

C:\WINDOWS\ntkw32.exe----------------------------->le fichier

C:\WINDOWS\qipfh.dll--------------------------------->le fichier

 

 

 

Vide la corbeille.

 

Double clic sur About:Buster.

 

Ok

Start

Ok

Un scan est exécuté (attendre quelques secondes).

Sauvegarde le log de ce scan dans un fichier .txt quelconque afin de le retrouver.

Refais un second scan, pour voir.

 

Redémarre normalement et poste un nouveau log Hijackthis.

Modifié le 26 mai 2005 par philae

[bixb]

j ai fait ce que tu m a dit mais je n ai pas trouve dc pas efface non plus le fichier (systeme32/ntdq.exe)

 

voici le dernier log de hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 02:12:23, on 27/05/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton Internet Security\NISUM.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Norton Internet Security\NISSERV.EXE

C:\Program Files\Norton Internet Security\SymProxySvc.exe

C:\WINDOWS\System32\atiptaxx.exe

C:\Program Files\Norton Internet Security\IAMAPP.EXE

C:\PROGRA~1\NORTON~1\navapw32.exe

C:\PROGRA~1\MESSAG~1\StartMessager.exe

C:\WINDOWS\System32\GSICON.EXE

C:\WINDOWS\System32\dslagent.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe

C:\Documents and Settings\SARL BADIOLA\Bureau\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qipfh.dll/sp.html#83556

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qipfh.dll/sp.html#83556

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qipfh.dll/sp.html#83556

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qipfh.dll/sp.html#83556

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {3E94D258-D83D-C2FC-C50B-C3BD6EF0FC9C} - C:\WINDOWS\system32\sdksv.dll (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo

O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe

O4 - HKLM\..\Run: [msml.exe] C:\WINDOWS\system32\msml.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1105957439336

O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secur...loadManager.ocx

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)

O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ntdq.exe (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISSERV.EXE

O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\SymProxySvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

 

 

 

et les scan de about buster :

 

 

Scanned at: 02:08:57 on: 27/05/2005

 

 

-- Scan 1 ---------------------------

About:Buster Version 4.0

Reference List : 25

 

No ADS found on system

Removed 4 Random Key Entries

Attempted Clean Of Temp folder.

Removed Uninstall Key (HSA)

Removed Uninstall Key (SE)

Removed Uninstall Key (SW)

Pages Reset... Done!

 

-- Scan 2 ---------------------------

About:Buster Version 4.0

Reference List : 25

 

No ADS found on system

Attempted Clean Of Temp folder.

Pages Reset... Done!

 

 

 

 

Vraiment je ne sais pas comment te remercier , le temps que je passe la dessus c fou, et tu y consacre aussi du tien , merci encore mille fois

[philae]

re

 

as tu fait toutes ces manips hors connexion, toutes fenêtres fermées et en mode sans échec comme demandé ?

[bixb]

oui j ai fait tout ça comme tu me l as dit

[philae]

oui j ai fait tout ça comme tu me l as dit

508833[/snapback]

 

On continue :

IMPORTANT ! toutes les corrections devront être effectuées hors connexion, imprime cette page

 

Assure toi d'avoir accès à tous les dossiers

Outils----->Options des dossiers----->Onglet Affichage------->

(le paramètre activé par défaut est <Ne pas afficher les fichiers cachés ou les fichiers système>.)

Cliquez une fois dans le cercle étiqueté <Afficher tous les fichiers>, cliquez sur <Appliquer> puis sur <OK>.

 

-Supprime les fichiers inutiles dans les répertoires Temp

 

celui de C:\Documents and Settings\ton identité\Local Settings\Temp <--tout le contenu

 

C:\Documents and Settings\autres identités\Local Settings\Temp <--tout le contenu

 

et celui de C:\Windows\Temp <--tout le contenu

 

-Vide le contenu de Prefetch

C:\Windows\Prefetch <--tout le contenu

 

Supprime tous les fichiers de Temporary Internet Files

via Options Internet/onglet Général/zone "Fichiers Internet Temporaires/bouton suppimer les fichiers .

 

-Supprime les Cookies .

 

Vide la corbeille

 

Démarrer / Exécuter / tape services.msc et clique sur OK

Dans la liste des services, cherche et sélectionne

"Remote Procedure Call " / double clique sur la ligne

/ vérifie dans Chemin d'accès des fichiers exécutables qu'il

s'agit bien de "C:\WINDOWS\system32\ ntdq.exe / dans Type de démarrage,

sélectionne Désactiver / valide la modification !

 

Redémarre en mode sans echec.

IMPERATIVEMENT EN MODE SANS ECHEC

 

* Démarrer le logiciel HijackThis et lancer un scan "Do a system scan only"

Puis cocher les lignes suivantes (dans HijackThis):

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qipfh.dll/sp.html#83556

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qipfh.dll/sp.html#83556

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\qipfh.dll/sp.html#83556

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qipfh.dll/sp.html#83556

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qipfh.dll/sp.html#83556

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qipfh.dll/sp.html#83556

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {3E94D258-D83D-C2FC-C50B-C3BD6EF0FC9C} - C:\WINDOWS\system32\sdksv.dll

O4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe

O4 - HKLM\..\Run: [msml.exe] C:\WINDOWS\system32\msml.exe

O4 - HKLM\..\RunOnce: [ntkw32.exe] C:\WINDOWS\ntkw32.exe

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

O23 - Service: Network Security Service (NSS) ( 11Fßä #·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ntdq.exe (file missing)

 

 

* Fermer toutes les fenêtres Windows, Internet explorer, Outlook,…sauf le logiciel Hijackthis et cliquer sur « Fix checked »

 

 

et supprimer le(s) fichier(s ) ci dessous si il(s) est (sont) présent(s) :

 

C:\WINDOWS\ntkw32.exe------------------------>le fichier

 

C:\WINDOWS\qipfh.dll--------------------------->le fichier

 

C:\WINDOWS\system32\msml.exe -------------->le fichier

 

C:\WINDOWS\system32\sdksv.dll --------------->le fichier

 

C:\WINDOWS\system32\ntdq.exe ----------------->le fichier

 

C:\WINDOWS\System32\vbsys2.dll--------------->le fichier

 

 

* Vide la corbeille

 

Double clic sur About:Buster.

 

Ok

Start

Ok

Un scan est exécuté (attendre quelques secondes).

Sauvegarde le log de ce scan dans un fichier .txt quelconque afin de le retrouver.

Refais un second scan, pour voir.

 

Redémarre normalement et poste un nouveau log Hijackthis.

Modifié le 26 mai 2005 par philae