Trojans, Virus, Malwares

Dédale · le 19 octobre 2005

Merci à Norton antivirus 2005, jé chopé encore(2ème fois) une 40 taine de virus, Putain de Logiciel, il bouffe de la mém et n'est pas foutu de faiire son job!!!

Antivir m'en a bloqué pas mal mais n'a rien réparé, G mis l'éval de Kaspersky, il m'en a enlevé 24, ma machine disjoncte, je me suis retrouvé en SP1 alors que j'étais en SP2, les points de restaurations on disparus avec Norton Liveupdate et le Cd ne se reinstalle plus (mais je n'en veux plus). Il me restes des trucs de Norton que je n'arrive pas à enlever deéfinitivement? Je pense qu'il me reste des saleté dans la machine, y a t'il des utilitaires de désinfection efficaces? si on pe me consiller un bon antivirus et un bon firewall (beaucoup plus que Norton ,je suis preneur. Merci aux cracks (ce n'est absolument pas mon cas) qui voudront bien m'aider à récupérer ma machine, Windows update avé été désactivés (je pense par les virus) et j'ai téléchargé aujourd'hui une bonne quarantaine de mises à jour.

Le Pc fonctionne (il ne marchait plus) j'ai réussi à le relancer en sans echec, mais j'ai encore des alertes virus? Help me!!!

Windows XP home SP2

voila le rapport Hijack

Logfile of HijackThis v1.99.1

Scan saved at 19:18:38, on 19/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\09-20-2005\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://free.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr7.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr7.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr7.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr7.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr7.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.everythingyouneed.org/tool.html

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Barre de confiance CM-CIC - {55BDF3B0-C0A8-481A-B8A6-01CD2BE0F3FD} - C:\Program Files\BarreConfCMCIC\TAPBar.dll

O4 - HKLM\..\Run: [WCOLOREAL] "C:\Program Files\Coloreal\coloreal.exe"

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [MCX Updte] scorti.exe

O4 - HKLM\..\Run: [uyfqofechsqv] C:\WINDOWS\system32\rumuo.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\RunServices: [uyfqofechsqv] C:\WINDOWS\system32\rumuo.exe

O4 - HKLM\..\RunServices: [MCX Updte] scorti.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [incrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c

O4 - HKCU\..\RunServices: [up Service] up32.pif

O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Télécharger avec Star Downloader - C:\Program Files\Star Downloader\sdie.htm

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.zebulon.fr/outils/antivirus/kav...can_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1129715107031

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1129715553937

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOCUME~1\PROPRI~1\LOCALS~1\TEMP\_VWUPSRV.EXE

O23 - Service: WindowsSysBoot - Unknown owner - C:\WINDOWS\winsys.exe (file missing)

Jack_Burton · le 19 octobre 2005

Bonsoir,

Effectivement, ton systeme est infecté!

J analyse ton rapport, réponse dans un moment!

wolfman · le 19 octobre 2005

Salut ,

En antivirus , je te conseille AVAST telechargable sur le site de zebulon.

Il est gratuit et depuis que je l'utilise je n'ai pas de probleme.

En firewall , j'utilise celui de ma carte mere , mais zone alarm est correct

Jack_Burton · le 19 octobre 2005

Re,

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

2/ Redémarre en mode sans échec.

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

4/Désinstalle via "panneau de configuration/suppression de programmes" le logiciel suivant si présent:

-hp center

5/ Dans le menu Demarrer>Executer >tape: Services.msc

Recherche le service avec cette orthographe exacte:

-WindowsSysBoot

Double clic dessus et clic sur [arreter] puis dans :

type de demarrage --> sélectionne désactivé.

6/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr7.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr7.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr7.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr7.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr7.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.everythingyouneed.org/tool.html

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com

O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [MCX Updte] scorti.exe

O4 - HKLM\..\Run: [uyfqofechsqv] C:\WINDOWS\system32\rumuo.exe

O4 - HKLM\..\RunServices: [uyfqofechsqv] C:\WINDOWS\system32\rumuo.exe

O4 - HKLM\..\RunServices: [MCX Updte] scorti.exe

O4 - HKCU\..\RunServices: [up Service] up32.pif

O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.zebulon.fr/outils/antivirus/kav...can_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1129715107031

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1129715553937

O23 - Service: WindowsSysBoot - Unknown owner - C:\WINDOWS\winsys.exe (file missing)<--- il se peut que cette ligne n apparaisse pas du fait que l on a stoppé le service en question!

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

7/ Supprime le(s) fichier(s) et dossiers(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

-C:\PROGRA~1\STARDO~1<--- supprime tout le dossier

-C:\WINDOWS\system32\rumuo.exe

-C:\Program Files\hp center<--- supprime tout le dossier

-C:\WINDOWS\winsys.exe

-ALCXMNTR.EXE

-scorti.exe

-up32.pif<----ces derniers fichiers sont probablement placés dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour les débusquer !!!

8/ Nettoyage du ver dans la base de registre:

Démarrer -> Exécuter -> tape regedit et va successivement :

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

[AlcxMonitor] ALCXMNTR.EXE<--- supprime si présent

[MCX Updte] scorti.exe<--- supprime si présent

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

[MCX Updte] scorti.exe<--- supprime si présent

*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

[up Service] up32.pif<--- supprime si présent

Ferme ensuite le registre.

9/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

10/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Edit : je tiens a te signaler que tu as un service pour carte graphique ATI alors que tu es sur Nvidia!!

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

l me restes des trucs de Norton que je n'arrive pas à enlever deéfinitivement? Je pense qu'il me reste des saleté dans la machine, y a t'il des utilitaires de désinfection efficaces? si on pe me consiller un bon antivirus et un bon firewall (beaucoup plus que Norton ,je suis preneur

Je t indiquerai tout ca lorsque ton system sera propre!! Une chose apres l autre!

Modifié le 19 octobre 2005 par Jack_Burton

Dédale · le 20 octobre 2005

Re,

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

2/ Redémarre en mode sans échec.

3/ Vérifie d'avoir accès à tous les fichiers

4/Désinstalle via "panneau de configuration/suppression de programmes" le logiciel suivant si présent:

-hp center

5/ Dans le menu Demarrer>Executer >tape: Services.msc

Recherche le service avec cette orthographe exacte:

-WindowsSysBoot

Double clic dessus et clic sur [arreter] puis dans :

type de demarrage --> sélectionne désactivé.

6/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr7.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr7.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr7.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr7.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr7.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.everythingyouneed.org/tool.html

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com

O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [MCX Updte] scorti.exe

O4 - HKLM\..\Run: [uyfqofechsqv] C:\WINDOWS\system32\rumuo.exe

O4 - HKLM\..\RunServices: [uyfqofechsqv] C:\WINDOWS\system32\rumuo.exe

O4 - HKLM\..\RunServices: [MCX Updte] scorti.exe

O4 - HKCU\..\RunServices: [up Service] up32.pif

O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.zebulon.fr/outils/antivirus/kav...can_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1129715107031

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1129715553937

O23 - Service: WindowsSysBoot - Unknown owner - C:\WINDOWS\winsys.exe (file missing)<--- il se peut que cette ligne n apparaisse pas du fait que l on a stoppé le service en question!

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

7/ Supprime le(s) fichier(s) et dossiers(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

-C:\PROGRA~1\STARDO~1<--- supprime tout le dossier

-C:\WINDOWS\system32\rumuo.exe

-C:\Program Files\hp center<--- supprime tout le dossier

-C:\WINDOWS\winsys.exe

-ALCXMNTR.EXE

-scorti.exe

-up32.pif<----ces derniers fichiers sont probablement placés dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour les débusquer !!!

8/ Nettoyage du ver dans la base de registre:

Démarrer -> Exécuter -> tape regedit et va successivement :

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

[AlcxMonitor] ALCXMNTR.EXE<--- supprime si présent

[MCX Updte] scorti.exe<--- supprime si présent

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

[MCX Updte] scorti.exe<--- supprime si présent

*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

[up Service] up32.pif<--- supprime si présent

Ferme ensuite le registre.

9/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

10/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Edit : je tiens a te signaler que tu as un service pour carte graphique ATI alors que tu es sur Nvidia!!

Je t indiquerai tout ca lorsque ton system sera propre!! Une chose apres l autre!

591792[/snapback]

Impossible de désinstaller HP Center, que ce soit en mode normal ou sans echec, est que je continue la procédure que tu ma indiqué (un grand merci d'ailleurs pour tes lumières!)

PS:J'ai Incredimail comme Bte à lettres, c'est bien, ou tu me conseilles d'opter pour une autre?

je ne me sert pas de messenger, est que par la même occase je peux le virer.

Dédale · le 20 octobre 2005

Impossible de désinstaller HP Center, que ce soit en mode normal ou sans echec, est que je continue la procédure que tu ma indiqué (un grand merci d'ailleurs pour tes lumières!)
PS:J'ai Incredimail comme Bte à lettres, c'est bien, ou tu me conseilles d'opter pour une autre?

je ne me sert pas de messenger, est que par la même occase je peux le virer.

592076[/snapback]

J'allais oublier, quand je fé un scan en ligne de vulnérabilité, il m'indique que des ports sont vulnérables (partage de fichiers et d'imprimantes à enlever?)Peut on remédier à ce problème?

Jack_Burton · le 20 octobre 2005

Re,

Impossible de désinstaller HP Center, que ce soit en mode normal ou sans echec, est que je continue la procédure que tu ma indiqué (un grand merci d'ailleurs pour tes lumières!)

Oui tu la continues étape par étape, de toute facon, meme sans le désinstaller via "panneau de config/suppression de programmes", il sera tout de meme supprimé avec l étape 7 de la procédure donc aucun soucis

PS:J'ai Incredimail comme Bte à lettres, c'est bien, ou tu me conseilles d'opter pour une autre?
je ne me sert pas de messenger, est que par la même occase je peux le virer.

On verra ca apres, pour le moment on doit désinfecter ton systeme!!

J'allais oublier, quand je fé un scan en ligne de vulnérabilité, il m'indique que des ports sont vulnérables (partage de fichiers et d'imprimantes à enlever?)Peut on remédier à ce problème?

Pas étonnant, je ne vois aucun firewall sur ton rapport. On s occupera de tout ca a la fin de la procédure!

Modifié le 20 octobre 2005 par Jack_Burton

Dédale · le 20 octobre 2005

Re,
Oui tu la continues étape par étape, de toute facon, meme sans le désinstaller via "panneau de config/suppression de programmes", il sera tout de meme supprimé avec l étape 7 de la procédure donc aucun soucis

On verra ca apres, pour le moment on doit désinfecter ton systeme!!

Pas étonnant, je ne vois aucun firewall sur ton rapport. On s occupera de tout ca a la fin de la procédure!

592080[/snapback]

Voila le resultat après manip

Logfile of HijackThis v1.99.1

Scan saved at 15:59:37, on 20/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\09-20-2005\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Barre de confiance CM-CIC - {55BDF3B0-C0A8-481A-B8A6-01CD2BE0F3FD} - C:\Program Files\BarreConfCMCIC\TAPBar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [uyfqofechsqv] C:\WINDOWS\system32\obxofgn.exe

Pas bizarre ce truc? (ci dessus)

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\system32\hphmon04.exe

O4 - HKLM\..\Run: [HPHUPD04] "C:\Program Files\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\RunServices: [uyfqofechsqv] C:\WINDOWS\system32\obxofgn.exe

Pas bizarre ce truc? (ci dessus)

O4 - HKCU\..\Run: [incrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Télécharger avec Star Downloader - C:\Program Files\Star Downloader\sdie.htm

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe

O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOCUME~1\PROPRI~1\LOCALS~1\TEMP\_VWUPSRV.EXE (file missing)

y avait que HP center et ALCXMNTR.EXE un en majuscule(viré) l'autre en minuscule(pas touché) dans Regedit. Alors c'est mieux Docteur?

megataupe · le 20 octobre 2005

Redémarre l'ordinateur en mode sans échec (touche F8 ou F5).

Relance Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes :

O4 - HKLM\..\Run: [uyfqofechsqv] C:\WINDOWS\system32\obxofgn.exe

O4 - HKLM\..\RunServices: [uyfqofechsqv] C:\WINDOWS\system32\obxofgn.exe

Ferme tous les programmes en cours et toutes les fenêtres sauf celle d'HijackThis et clic sur "Fix Checked"

- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows :

--- C:\WINDOWS\system32\obxofgn.exe

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc..

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

568381[/snapback]

581065[/snapback]

Dédale · le 20 octobre 2005

Redémarre l'ordinateur en mode sans échec (touche F8 ou F5).

Relance Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes :

O4 - HKLM\..\Run: [uyfqofechsqv] C:\WINDOWS\system32\obxofgn.exe

O4 - HKLM\..\RunServices: [uyfqofechsqv] C:\WINDOWS\system32\obxofgn.exe

Ferme tous les programmes en cours et toutes les fenêtres sauf celle d'HijackThis et clic sur "Fix Checked"

- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows :

--- C:\WINDOWS\system32\obxofgn.exe

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc..

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

568381[/snapback]

581065[/snapback]

592256[/snapback]

Merde, merde, merde, ce n'est pas dans mes habitudes d'être grossier, mais là je n'y comprends plus que dalle!!

O4 - HKLM\..\Run: [uyfqofechsqv] C:\WINDOWS\system32\obxofgn.exe

O4 - HKLM\..\RunServices: [uyfqofechsqv] C:\WINDOWS\system32\obxofgn.exe

Ces deux fameuses lignes à enlever ont disparues pour laisser la place à deux autres:

O4 - HKLM\..\Run: [uyfqofechsqv] C:\WINDOWS\system32\shzexxvtom.exe

O4 - HKLM\..\RunServices: [uyfqofechsqv] C:\WINDOWS\system32\shzexxvtom.exe

puis deux autres

O4 - HKLM\..\Run: [uyfqofechsqv] C:\WINDOWS\system32\mnbbdbhmluyyc.exe

O4 - HKLM\..\RunServices: [uyfqofechsqv] C:\WINDOWS\system32\mnbbdbhmluyyc.exe

chaque fois que je fais un redémarrage en sans echec, il en sort des nouvelles

Je suis paumé, apparemment ya une bébète qui joue avec mes nerfs? Help

Logfile of HijackThis v1.99.1

Scan saved at 17:49:29, on 20/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

C:\WINDOWS\system32\hphmon04.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\WINDOWS\system32\rundll32.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\explorer.exe

C:\Program Files\09-20-2005\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com

Cette ligne(grande) réapparaitlorsque je memorise le scan hijack dans Bloc Note(je l'avais précédemment supprimée)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Barre de confiance CM-CIC - {55BDF3B0-C0A8-481A-B8A6-01CD2BE0F3FD} - C:\Program Files\BarreConfCMCIC\TAPBar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [uyfqofechsqv] C:\WINDOWS\system32\sdrwquf.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\system32\hphmon04.exe

O4 - HKLM\..\Run: [HPHUPD04] "C:\Program Files\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\RunServices: [uyfqofechsqv] C:\WINDOWS\system32\sdrwquf.exe