[Résolu] Troyen ou Virus? A l'aide au secours

[Savat2dwa]

Bonjour,

Cela fait quelques jours que j'essai de regler mon problème et j'ai passé de longues heures sur les forums pour essayer de le régler sans résultet hélas; Je me suis servi de Spybot, AdAware, Cleanup, A2, microsoft

antispyware,spywareblaster, et dernierement TrendMicro antispyware ainsi que divers scan en direct et divers antivirus sans parvenir a un résultat positif.

Mon probleme est le suivant, des que je j'allume le PC, une fenetre apparait: Explorer Exe, erreur d'application et une autre avec un compte a rebour, et pendant cette mn je ne peux absolument rien faire et cela indéfiniment, la je vous écris en mode sans echec avec prise en garge reseau.

Je ne voudrait pas formater mon Disuqe dur car il ya pas mal de chose dessus, j'espere avoir votre aide por enfin pouvoir me debarasser de ce troyen ou virus, je ne sais pas et en plus je ne suis pas un pro tout juste débutant en informatique je vous joins le rapport HijackThis, et voyez ce que vous pouvez faire s'il vous plait, j'ai vraiment besoin de votre aide.

Logfile of HijackThis v1.99.1

Scan saved at 08:58:58, on 10/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\HighjackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - (no file)

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [Ad-Aware] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe" +c

O4 - HKLM\..\Run: [iSUSPM Startup] c:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Program Files\Trend Micro\Tmas\Tmas.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Point&&Go - C:\Program Files\Fichiers communs\Expert System\PGPlatform\PGPlatform.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Masquer les images - C:\WINDOWS\web\MaskImage.htm

O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - C:\WINDOWS\web\OpenFrame.htm

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Surligner en Vert - C:\WINDOWS\web\MarqueurFluoGreen.htm

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Micro Application Anti-Popup - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Anti-Popup - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote K - IE 6.htm (HKCU)

O9 - Extra button: Dictionnaire - {FB4AE6A3-EE20-442c-9189-251885352358} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote D - IE 6.htm (HKCU)

O9 - Extra button: Synonymes - {FDD637F8-2693-49ce-817E-1AD59574900C} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote S - IE 6.htm (HKCU)

O9 - Extra button: Conjugueur - {FF229BEC-9E1F-48c1-99A6-AF34ABEFAB0A} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote C - IE 6.htm (HKCU)

O9 - Extra button: Grammaire - {FFB5EE7F-726F-423e-83C2-572FE7CEB3F0} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote G - IE 6.htm (HKCU)

O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {78A730D4-0DF3-4B65-8DD2-BFCD433CEE30} - http://www.surfsecret.com/inst/PPInstaller.exe

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe (file missing)

O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

 

D'avance je vous en remercie

Modifié le 20 juillet 2005 par Savat2dwa

[ipl_001]

Bonjour Savat2dwa, bonjour à tous,

 

Messages : 1

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Déjà, pour éviter le redémarrage une minute plus tard, fais ceci :

 

Démarrer / Exécuter / tape shutdown -a et clique sur OK

 

Cette commande annule la commande de redémarrage mais si tu relançais l'ordinateur volontairement, il te faudrait la réentrer !

 

Voila, tu auras un peu de temps pour te retourner !

[Phengizy]

Bonjour Savat2dwa, ipl_001 et Tertous,

Trop tard

Essaies une Restauration du système à date antèrieure.

-> Démarrer-> Tous les prog -> Accessoires -> Outils Systèmes -> Restauration.

Bon courage

@+

[ipl_001]

Rebonjour Savat2dwa, Phengizy, rebonjour à tous,

 

Bonne suggestion, Phengizy !

 

Je n'ai pas de temps avant plusieurs heures car il me faut m'occuper de repassage, repas, ménage, etc.

 

J'ai regardé rapidement ton rapport HijackThis sans repérer quelque chose d'évident !

 

Ceci me fait penser à un ver qui hantait les systèmes il y a 2 ans me semble-t-il ! Il me semble que c'était Blaster mais d'autres ont eu les mêmes conséquences après !

Je te conseille d'essayer :

 

- McAfee AVERT Stinger ( http://vil.nai.com/vil/stinger/ ) qui est un multi-antidote de la société McAfee et qui sait contrer les 47 malwares listés

 

- FixBlast ( http://securityresponse.symantec.com/avcenter/FixBlast.exe )

 

- FxSasser ( http://securityresponse.symantec.com/avcenter/FxSasser.exe )

 

N : Ces antidotes peuvent être passés sans problème sur un ordinateur (si l'ordi n'a pas d'infection, le résultat ne sera que du temps perdu mais c'est tout !) !

 

Bonne chance,

@ tout à l'heure !

 

Certes, c'est dimanche mais je pense de plusieurs membres de Zebulon viendront t'aider !

[Savat2dwa]

Bonjour a tous et merci pour vos réponses, j'ai donc redemarrer en mode normal et fait Executer/shutdown -a/OK

les messages sont toujours la et le compte a rebour aussi effectivement ca ne redémarre plus mais l'ecran devient noir et je ne peux plus rien faire...

Oui une petite précision qui doit avoir une importance c'est que j'ai un dossier "Links" Vide qui vient a chaque fois se mettre dans mes favoris.

Par ailleurs j'ai scanné avec Stinger, ainsique FixBlast et fixSasser, hélas sans résultats (snifff).

Autre chose si je fais une restauration du système je ne peux la faire qu'en mode sans echec vu qu'en mode normal je ne peux absolument plus rien faire. Est ce dans ce cas la restauration serait valable? et le virus ou troyen ne suivrait il pas car en fait je n'aurais pas résolu ce problème non?

Je ne sais pas je suis perdu il faut dire que cela fait au moins 3 jours que je suis dessus et je commence un peu a en avoir par dessus la tête, mais comme je ne tiens pas a formater il va bien falloir que je trouve quelque chose, et tout seul je n'ai aucune chance d'y arriver mais avec votre aide surement, merci.

[Phengizy]

Re, Savat2dwa,

Est ce dans ce cas la restauration serait valable?

Oui,g eu une drôle d'histoire hier soir,

 

http://forum.zebulon.fr/index.php?showtopic=70296&hl=

 

G du faire une Restau en MSE et de plus sur le compte Administrateur- J'avoue g eu

Depuis plus de pb - Tout est revenu à sa place- Au démarrage / Reboot - C comme s'il ne s'était rien passé.En espèrant que ça dure

Bon courage

@+

[Savat2dwa]

J'ai une autre problème qui se pose c'est que j'avais désactivé la restaurarion du système pour une manip que j'avais fait et comme on ne peut l'activer qu'en mode normal ...et vu que je ne peux pas y aller, je crie, au secours!!!!

[Sacles]

Bonjour,

 

j'avais désactivé la restaurarion du système pour une manip que j'avais fait et comme on ne peut l'activer qu'en mode normal ...et vu que je ne peux pas y aller, je crie, au secours!!!!

 

Si tu as déactivé la restauration, tu n'auras plus de possibilité de réaliser une restauration (effacement de tous les points de restauration lors de la désactivation).

 

Cordialement.

Modifié le 10 juillet 2005 par Sacles

[Phengizy]

Re,

Alors là ???????????

T'est-il possible de faire une R éparation avec le CD ?

 

http://a.vouillon.free.fr/faq-winxp.htm#84

 

En gros c au 2ème choix que tu choisis R éparer.

Il n'y a AUCUN souci pour tes fichiers - C simplement les MàJ Windows et qques drivers à refaire. Je parle en connaissance de causes

@+

 

Sacles:

Si tu as déactivé la restauration, tu n'auras plus de possibilité de réaliser une restauration (effacement de tous les points de restauration lors de la désactivation).

ça il l'avait remarqué

[Savat2dwa]

Alors là, doublement au secours, a l'aide Ne me dites pas que je dois formater, s'il le faut vraiment je le ferais mais je perdrais pas mal de chose, merci pour ton eclaircissement Sacles.