des troyans partout !

[Bond]

Bonsoir et merci pour votre aide

 

Logfile of HijackThis v1.99.1

Scan saved at 21:07:49, on 15/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rdekq.dll/sp.html#93256

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {0B043178-7412-F22A-4F6E-DA5B78A513E5} - (no file)

O2 - BHO: Class - {14270854-4CF0-6A54-913B-18AFF6D56803} - C:\WINDOWS\ipan32.dll (file missing)

O2 - BHO: (no name) - {2CD1D1CC-93A2-4880-73A1-4546EB4A5FED} - (no file)

O2 - BHO: (no name) - {319F29F9-90F7-A925-38EF-CE40F8C5F1A2} - (no file)

O2 - BHO: Class - {39A9569F-F066-2320-8AF0-DF6A373D414A} - C:\WINDOWS\system32\ipke.dll (file missing)

O2 - BHO: Class - {3AF8483F-BD21-516A-EF15-BDC199252DA8} - C:\WINDOWS\sdkev.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {53EC0540-02A9-2B3E-0DB3-0FBF8C8D1BED} - (no file)

O2 - BHO: Class - {C40457D9-D338-5738-22C0-B94004FBA803} - C:\WINDOWS\addmn.dll (file missing)

O2 - BHO: Class - {EDD6C5EA-5F3E-7B1D-A3D0-9E3A169E6444} - C:\WINDOWS\systb.dll (file missing)

O2 - BHO: Class - {FE0CDA20-90B7-D50A-955C-F9DCBB23210C} - C:\WINDOWS\netrh32.dll (file missing)

O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll

O4 - HKLM\..\Run: [sfirewall] C:\Program Files\Secuties\Personal Firewall\sfw.exe /waitservice

O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Program Files\AntiVirusKit\AVKPOP.EXE"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [s-Firewall] C:\PROGRA~1\Secuties\PERSON~1\sfw.exe /waitservice

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [systemSearch] C:/WINDOWS/REGEDIT.EXE -s C:/WINDOWS/system.reg

O4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe

O4 - HKLM\..\Run: [addaz.exe] C:\WINDOWS\addaz.exe

O4 - HKLM\..\Run: [d3ga.exe] C:\WINDOWS\d3ga.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\RunOnce: [d3ij.exe] C:\WINDOWS\system32\d3ij.exe

O4 - HKLM\..\RunOnce: [crnu32.exe] C:\WINDOWS\system32\crnu32.exe

O4 - HKLM\..\RunOnce: [addqy32.exe] C:\WINDOWS\system32\addqy32.exe

O4 - HKLM\..\RunOnce: [d3jm.exe] C:\WINDOWS\d3jm.exe

O4 - HKLM\..\RunOnce: [iemo32.exe] C:\WINDOWS\system32\iemo32.exe

O4 - HKLM\..\RunOnce: [mfcqr.exe] C:\WINDOWS\system32\mfcqr.exe

O4 - HKLM\..\RunOnce: [javaff32.exe] C:\WINDOWS\javaff32.exe

O4 - HKLM\..\RunOnce: [apikk32.exe] C:\WINDOWS\apikk32.exe

O4 - HKLM\..\RunOnce: [ipcw.exe] C:\WINDOWS\ipcw.exe

O4 - HKLM\..\RunOnce: [ipsa.exe] C:\WINDOWS\ipsa.exe

O4 - HKLM\..\RunOnce: [d3zw32.exe] C:\WINDOWS\system32\d3zw32.exe

O4 - HKLM\..\RunOnce: [ieka32.exe] C:\WINDOWS\system32\ieka32.exe

O4 - HKLM\..\RunOnce: [sdkls32.exe] C:\WINDOWS\sdkls32.exe

O4 - HKLM\..\RunOnce: [javaiv32.exe] C:\WINDOWS\system32\javaiv32.exe

O4 - HKLM\..\RunOnce: [ntjb32.exe] C:\WINDOWS\ntjb32.exe

O4 - HKLM\..\RunOnce: [wingw32.exe] C:\WINDOWS\wingw32.exe

O4 - HKLM\..\RunOnce: [ieqb32.exe] C:\WINDOWS\system32\ieqb32.exe

O4 - HKLM\..\RunOnce: [d3ow.exe] C:\WINDOWS\system32\d3ow.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} (vxiewer control) - http://www.thepaymentcentre.com/build/vxiewer.cab

O16 - DPF: {11111111-1111-1111-1111-111300000000} - mhtml:C:\\NO_SUCH_MHT.MHT!http://63.215.149.59/go.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200401...meInstaller.exe

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} - http://www.alloticket.com/MicroPaiement/kit/WebInstall.dll

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program Files\AntiVirusKit\AVKService.exe

O23 - Service: Gardien d'AVK (AVKWCtl) - Unknown owner - C:\Program Files\AntiVirusKit\AVKWCtl.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SFirewall Service (SFirewall) - Unknown owner - C:\PROGRA~1\Secuties\PERSON~1\sfw.exe

[ipl_001]

Bonsoir Bond, bonsoir à tous,

 

Messages : 1

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

[ipl_001]

Rebonsoir Bond, rebonsoir à tous,

 

-1- Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

 

-2- Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

-3- Télécharge SpHjfix/SpSeHjfix de Seeker ( http://www.derbilk.de/404.html ou http://www.trojaner-info.de/cgi-bin/downlo...gi?file=sphjfix ) et installe le dans un dossier dédié.

 

 

 

-4- Redémarre l'ordinateur en mode sans échec.

 

-5- Lancer SpHjfix/SpSeHjfix

.. cliquer sur le bouton "start disinfection"

.. en cas d'infection sp.exe, l'ordinateur est redémarré

.. SpHjfix/SpSeHjfix reprend la main avant démarrage de Windows pour désinfection sans être gêné par les processus en cours.

. examiner, communiquer le fichier log généré

 

-6- Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rdekq.dll/sp.html#93256

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

 

O2 - BHO: (no name) - {0B043178-7412-F22A-4F6E-DA5B78A513E5} - (no file)

O2 - BHO: Class - {14270854-4CF0-6A54-913B-18AFF6D56803} - C:\WINDOWS\ipan32.dll (file missing)

O2 - BHO: (no name) - {2CD1D1CC-93A2-4880-73A1-4546EB4A5FED} - (no file)

O2 - BHO: (no name) - {319F29F9-90F7-A925-38EF-CE40F8C5F1A2} - (no file)

O2 - BHO: Class - {39A9569F-F066-2320-8AF0-DF6A373D414A} - C:\WINDOWS\system32\ipke.dll (file missing)

O2 - BHO: Class - {3AF8483F-BD21-516A-EF15-BDC199252DA8} - C:\WINDOWS\sdkev.dll (file missing)

 

O2 - BHO: (no name) - {53EC0540-02A9-2B3E-0DB3-0FBF8C8D1BED} - (no file)

O2 - BHO: Class - {C40457D9-D338-5738-22C0-B94004FBA803} - C:\WINDOWS\addmn.dll (file missing)

O2 - BHO: Class - {EDD6C5EA-5F3E-7B1D-A3D0-9E3A169E6444} - C:\WINDOWS\systb.dll (file missing)

O2 - BHO: Class - {FE0CDA20-90B7-D50A-955C-F9DCBB23210C} - C:\WINDOWS\netrh32.dll (file missing)

 

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

 

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [systemSearch] C:/WINDOWS/REGEDIT.EXE -s C:/WINDOWS/system.reg

O4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe

O4 - HKLM\..\Run: [addaz.exe] C:\WINDOWS\addaz.exe

O4 - HKLM\..\Run: [d3ga.exe] C:\WINDOWS\d3ga.exe

 

O4 - HKLM\..\RunOnce: [d3ij.exe] C:\WINDOWS\system32\d3ij.exe

O4 - HKLM\..\RunOnce: [crnu32.exe] C:\WINDOWS\system32\crnu32.exe

O4 - HKLM\..\RunOnce: [addqy32.exe] C:\WINDOWS\system32\addqy32.exe

O4 - HKLM\..\RunOnce: [d3jm.exe] C:\WINDOWS\d3jm.exe

O4 - HKLM\..\RunOnce: [iemo32.exe] C:\WINDOWS\system32\iemo32.exe

O4 - HKLM\..\RunOnce: [mfcqr.exe] C:\WINDOWS\system32\mfcqr.exe

O4 - HKLM\..\RunOnce: [javaff32.exe] C:\WINDOWS\javaff32.exe

O4 - HKLM\..\RunOnce: [apikk32.exe] C:\WINDOWS\apikk32.exe

O4 - HKLM\..\RunOnce: [ipcw.exe] C:\WINDOWS\ipcw.exe

O4 - HKLM\..\RunOnce: [ipsa.exe] C:\WINDOWS\ipsa.exe

O4 - HKLM\..\RunOnce: [d3zw32.exe] C:\WINDOWS\system32\d3zw32.exe

O4 - HKLM\..\RunOnce: [ieka32.exe] C:\WINDOWS\system32\ieka32.exe

O4 - HKLM\..\RunOnce: [sdkls32.exe] C:\WINDOWS\sdkls32.exe

O4 - HKLM\..\RunOnce: [javaiv32.exe] C:\WINDOWS\system32\javaiv32.exe

O4 - HKLM\..\RunOnce: [ntjb32.exe] C:\WINDOWS\ntjb32.exe

O4 - HKLM\..\RunOnce: [wingw32.exe] C:\WINDOWS\wingw32.exe

O4 - HKLM\..\RunOnce: [ieqb32.exe] C:\WINDOWS\system32\ieqb32.exe

O4 - HKLM\..\RunOnce: [d3ow.exe] C:\WINDOWS\system32\d3ow.exe

 

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

 

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} (vxiewer control) - http://www.thepaymentcentre.com/build/vxiewer.cab

O16 - DPF: {11111111-1111-1111-1111-111300000000} - mhtml:C:\\NO_SUCH_MHT.MHT!http://63.215.149.59/go.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200401...meInstaller.exe

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} - http://www.alloticket.com/MicroPaiement/kit/WebInstall.dll

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

-7- Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

-8- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows :

--- C:\WINDOWS\addaz.exe

--- C:\WINDOWS\apikk32.exe

--- C:\WINDOWS\d3ga.exe

--- C:\WINDOWS\d3jm.exe

--- C:\WINDOWS\ipcw.exe

--- C:\WINDOWS\ipsa.exe

--- C:\WINDOWS\javaff32.exe

--- C:\WINDOWS\ntjb32.exe

--- C:\WINDOWS\rdekq.dll

--- C:\WINDOWS\sdkls32.exe

--- C:\WINDOWS\wingw32.exe

 

--- C:\WINDOWS\system32\addqy32.exe

--- C:\WINDOWS\system32\crnu32.exe

--- C:\WINDOWS\system32\d3ij.exe

--- C:\WINDOWS\system32\d3ow.exe

--- C:\WINDOWS\system32\d3zw32.exe

--- C:\WINDOWS\system32\ieka32.exe

--- C:\WINDOWS\system32\iemo32.exe

--- C:\WINDOWS\system32\ieqb32.exe

--- C:\WINDOWS\system32\javaiv32.exe

--- C:\WINDOWS\system32\mfcqr.exe

--- C:\WINDOWS\System32\tss.exe

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

 

-9- Renomme le fichier suivant ! Je te le fais renommer car il m'est inconnu et je ne veux pas le perdre, juste le rendre inactifs (pour le moment) ; je te conseille de mettre un nom reprenant le nom-tiret-l'extension.anc :

--- C:/WINDOWS/system.reg

Si tout est bon dans 2 jours, tu les supprimeras.

 

-10- Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

-11- Qu'en est-il des dysfonctionnements ?

 

Ceci concerne le nettoyage dans une optique malware ; lorsque ton ordinateur sera bien propre, on pourra aller au delà en parlant optimisation de ton système !

[Bond]

Bonsoir ipl_001

 

Waouh quelle analyse ! surtout que le log était long

 

J'ai déjà télécharger EasyCleaner, je fais de même pour SpHjfix/SpSeHjfix et je me mets au travail. Certains fichiers que tu as jugé bon de supprimer comme addaz.exe et d3ga.exe sont déjà éliminés (d3ga par a² et addaz renommé puis supprimé car pas reconnu par a², spybot, antivirus).

 

A+

[ipl_001]

Rebonsoir Bond,

 

Tu as plusieurs antivirus, il faudra n'en conserver qu'un !

 

J'ai été troublé par tes utilitaires inhabituels :

- AVK - c'est marrant ! J'en entendais souvent parler il y a quelques années puis, plus rien !

- SFirewall - est-ce bien "Personal FireWall" ?

[Bond]

Bonjour à tous,

 

Bien:

-au redémarrage pas de fenetre IE,

-le programme de démarrage ne cherche plus les trojans supprimé et

-l'ouverture de XP est plus rapide

mais le résident m'envoie des messages de changement de "System Startup Global Entry", valeur [ "C:/Program Files/Quick Time/qttask.exe" -atboottime...], je n'ai pas confirmé. Je pense qu'il faut confirmé en cochant " se rappeler cette décision car c'est la modification faite dans les programmes de démarrage, Non ?

 

Je garde le fichier renommé C:/Windows/system.reg.anc en surveillance.

 

Voici le log de SpSeHjfix et le log final de HijackThis ansi que l'erreur que j'ai eu pendant le fix checked de HijackThis

 

SpSeHjfix:

 

(8/16/05 13:16:38) SPSeHjFix started v1.1.2

(8/16/05 13:16:38) OS: WinXP Service Pack 2 (5.1.2600)

(8/16/05 13:16:38) Language: français

(8/16/05 13:16:38) Win-Path: C:\WINDOWS

(8/16/05 13:16:38) System-Path: C:\WINDOWS\system32

(8/16/05 13:16:38) Temp-Path: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\

(8/16/05 13:16:51) Disinfection started

(8/16/05 13:16:51) Bad-Dll(IEP): c:\windows\rdekq.dll

(8/16/05 13:16:51) UBF: 4 - UBB: 11 - UBR: 34

(8/16/05 13:16:51) UBF: 4 - UBB: 11 - UBR: 34

(8/16/05 13:16:51) Bad IE-pages:

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\windows\rdekq.dll/sp.html#93256

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Search_URL: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank

(8/16/05 13:16:51) Stealth-String not found

(8/16/05 13:16:51) No locked Files to delete. End without Reboot

(8/16/05 13:17:17) Disinfection started

(8/16/05 13:17:17) Bad-Dll(IEP): c:\windows\rdekq.dll

(8/16/05 13:17:17) UBF: 4 - UBB: 11 - UBR: 34

(8/16/05 13:17:17) UBF: 4 - UBB: 11 - UBR: 34

(8/16/05 13:17:17) Bad IE-pages: (none)

(8/16/05 13:17:17) Stealth-String not found

(8/16/05 13:17:17) No locked Files to delete. End without Reboot

(8/16/05 13:18:22) Disinfection started

(8/16/05 13:18:22) Bad-Dll(IEP): c:\windows\rdekq.dll

(8/16/05 13:18:22) UBF: 4 - UBB: 11 - UBR: 34

(8/16/05 13:18:22) UBF: 4 - UBB: 11 - UBR: 34

(8/16/05 13:18:22) Bad IE-pages: (none)

(8/16/05 13:18:22) Stealth-String not found

(8/16/05 13:18:22) No locked Files to delete. End without Reboot

(8/16/05 13:18:23) Disinfection started

(8/16/05 13:18:23) Bad-Dll(IEP): c:\windows\rdekq.dll

(8/16/05 13:18:23) UBF: 4 - UBB: 11 - UBR: 34

(8/16/05 13:18:23) UBF: 4 - UBB: 11 - UBR: 34

(8/16/05 13:18:23) Bad IE-pages: (none)

(8/16/05 13:18:23) Stealth-String not found

(8/16/05 13:18:23) No locked Files to delete. End without Reboot

(8/16/05 13:18:23) Disinfection started

(8/16/05 13:18:23) Bad-Dll(IEP): c:\windows\rdekq.dll

(8/16/05 13:18:23) UBF: 4 - UBB: 11 - UBR: 34

(8/16/05 13:18:23) UBF: 4 - UBB: 11 - UBR: 34

(8/16/05 13:18:23) Bad IE-pages: (none)

(8/16/05 13:18:23) Stealth-String not found

(8/16/05 13:18:23) No locked Files to delete. End without Reboot

(8/16/05 13:18:24) Disinfection started

(8/16/05 13:18:24) Bad-Dll(IEP): c:\windows\rdekq.dll

(8/16/05 13:18:24) UBF: 4 - UBB: 11 - UBR: 34

(8/16/05 13:18:24) UBF: 4 - UBB: 11 - UBR: 34

(8/16/05 13:18:24) Bad IE-pages: (none)

(8/16/05 13:18:24) Stealth-String not found

(8/16/05 13:18:24) No locked Files to delete. End without Reboot

 

HijackThis:

 

Logfile of HijackThis v1.99.1

Scan saved at 14:17:48, on 16/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVirusKit\AVKService.exe

C:\Program Files\AntiVirusKit\AVKWCtl.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\PROGRA~1\Secuties\PERSON~1\sfw.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVirusKit\AVKPOP.EXE

C:\WINDOWS\system32\ctfmon.exe

D:\program files games\valve\steam\steam.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {0B043178-7412-F22A-4F6E-DA5B78A513E5} - (no file)

O2 - BHO: (no name) - {14270854-4CF0-6A54-913B-18AFF6D56803} - (no file)

O2 - BHO: (no name) - {2CD1D1CC-93A2-4880-73A1-4546EB4A5FED} - (no file)

O2 - BHO: (no name) - {319F29F9-90F7-A925-38EF-CE40F8C5F1A2} - (no file)

O2 - BHO: (no name) - {39A9569F-F066-2320-8AF0-DF6A373D414A} - (no file)

O2 - BHO: (no name) - {3AF8483F-BD21-516A-EF15-BDC199252DA8} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {53EC0540-02A9-2B3E-0DB3-0FBF8C8D1BED} - (no file)

O2 - BHO: (no name) - {C40457D9-D338-5738-22C0-B94004FBA803} - (no file)

O2 - BHO: (no name) - {EDD6C5EA-5F3E-7B1D-A3D0-9E3A169E6444} - (no file)

O2 - BHO: (no name) - {FE0CDA20-90B7-D50A-955C-F9DCBB23210C} - (no file)

O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll

O4 - HKLM\..\Run: [sfirewall] C:\Program Files\Secuties\Personal Firewall\sfw.exe /waitservice

O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Program Files\AntiVirusKit\AVKPOP.EXE"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [s-Firewall] C:\PROGRA~1\Secuties\PERSON~1\sfw.exe /waitservice

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe

O4 - HKCU\..\Run: [steam] "d:\program files games\valve\steam\steam.exe" -silent

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} -

O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} -

O16 - DPF: {11111111-1111-1111-1111-111300000000} -

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} -

O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} -

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} -

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} -

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} -

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} -

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} -

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} -

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -

O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program Files\AntiVirusKit\AVKService.exe

O23 - Service: Gardien d'AVK (AVKWCtl) - Unknown owner - C:\Program Files\AntiVirusKit\AVKWCtl.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SFirewall Service (SFirewall) - Unknown owner - C:\PROGRA~1\Secuties\PERSON~1\sfw.exe

 

et

 

Unexpected error occurred!

Error #52 (Nom ou numéro de fichier incorrect) in Sub GetLongPath(C:/WINDOWS/REGEDIT.EXE).

 

Please send a report to [email protected], mentioning what you were doing, and what version of Windows you have.

 

This message has been copied to your clipboard.

 

A bientôt.

[Bond]

Rebonsoir Bond,

 

Tu as plusieurs antivirus, il faudra n'en conserver qu'un !

 

J'ai été troublé par tes utilitaires inhabituels :

- AVK - c'est marrant ! J'en entendais souvent parler il y a quelques années puis, plus rien !

- SFirewall - est-ce bien "Personal FireWall" ?

552701[/snapback]

 

reBonjour ipl,

AntiVirusKit était livré avec mon PC assemblé par MAXDATA mais pour le support il faut parler allemand, est ce que AntiVir est plus efficace ? et toujours gratuit, même les MAJ ?

 

SFirewall est bien Secuties Personnal Firewall

 

Que me conseilles tu de conserver entre AVK, AntiVir ; Spybot et son résident, a² en version personal ?

 

A bientôt

[ZoX']

Bonjour Bond

 

Personellement je suis un grand fan d'Antivir comme Antivirus et Spybot et Ad-aware feront l'affaire comme Anti-spyware...

 

Voilà pour Antivir http://www.clubic.com/telecharger-fiche108...al-edition.html

 

Et voilà pour spybot

http://www.clubic.com/telecharger-fiche109...ot-search-.html

 

J'èspère que celà pourra t'aider

Modifié le 16 août 2005 par ZoX'

[ipl_001]

Bonjour Bond, bonjour à tous,

 

---édition : Bonjour ZoX', désolé d'avoir posté sans avoir vu ton message !

 

reBonjour ipl,

AntiVirusKit était livré avec mon PC assemblé par MAXDATA mais pour le support il faut parler allemand, est ce que AntiVir est plus efficace ? et toujours gratuit, même les MAJ ?

 

SFirewall est bien Secuties Personnal Firewall

 

Que me conseilles tu de conserver entre AVK, AntiVir ; Spybot et son résident, a² en version personal ?

 

A bientôt

552923[/snapback]

Il y a eu des soucis lors de l'opération HijackThis car il y avait TeaTimer qui protégeait la base de registres et empêchait les modifs... nous reprendrons çà plus tard (je suis au travail).

 

En réponse à tes questions :

 

- Okay pour ton pare-feu si tu le connais bien et si tu sais le paramétrer.

 

- comme antivirus, je te conseille AntiVir car beaucoup ici, l'ont, il est gratuit, il est efficace et les maj sont fréquentes

 

- comme antispyware, conserve SpyBot qui a 2 modules résidents SDhelp (protège IE) et TeaTimer (protège la BdR) et une possibilité de vaccination (modif fichier Hosts ou zones de sécurité IE

Le module antispyware doit être lancé manuellement (une fois par semaine, sauf doute).

 

- comme antitroyen, garde A² free qui doit être lancé manuellement (une fois par semaine, sauf doute)... A² a aussi une version commerciale résidente

 

- par ailleurs, n'oublie pas les mises à jour du système d'exploitation.

[ZoX']

Huhu Bonjour ipl , je n'avait pas vu que tu était sur le coup c'est pour ça que j'ai posté