Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

PSGUARD / INTELL 32

Lulu74

Par Lulu74
dans Analyses et éradication malwares

 Partager

Messages recommandés

Lulu74 Junior Member

Lulu74

Posté(e)
Posté(e)

Salut à tous,

 

Je possède un Dell Latitude D600 avec Windows 2000 Professional, version anglaise. J'ai chopé le virus Trojan.intell 32 et donc par conséquent le virus PSGuard. J'ai consulté pas mal de messages sur différents sites de Forum et ai l'impression que chaque problème est différent d'un PC à un autre. Pour ce qui me concerne, j'ai réussi à remettre l'image d'origine de mon bureau (wall paper), je n'ai plus d'icone "Your computer is infected" dans ma barre d'outils, malheureusement lorsque je redémarre mon PC, le virus est toujours présent... Je le détecte avec Microsoft Antispyware Beta 1, Spybot, Ad-Aware, AntiVir XP, mais aucun de ces anti-virus ne parvient à le supprimer. Je poste donc un rapport HijackThis, le voici:

 

Logfile of HijackThis v1.99.1

Scan saved at 23:56:24, on 31/10/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\System32\SCardSvr.exe

C:\WINNT\system32\Ati2evxx.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\Dell\Bluetooth Software\bin\btwdins.exe

C:\WINNT\SYSTEM32\DNTUS26.EXE

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\hidserv.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

E:\CheckPoint\SecuRemote\bin\SR_Service.exe

E:\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

C:\WINNT\system32\stisvc.exe

C:\Program Files\Sophos SWEEP for NT\SWEEPSRV.SYS

C:\Program Files\Sophos SWEEP for NT\SWUPDATE.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

E:\Vncserveur\WinVNC\WinVNC.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\Ati2evxx.exe

C:\WINNT\Explorer.EXE

E:\CheckPoint\SecuRemote\bin\SR_GUI.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\SCANJET\PrecisionScanPro\HPLamp.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\WINNT\system32\DSentry.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\WINNT\system32\internat.exe

E:\Adobe\AcrobatReader\Distillr\AcroTray.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\Dell\Bluetooth Software\BTTray.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpomau08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Sophos SWEEP for NT\ICMON.EXE

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\PROGRA~1\Dell\BLUETO~1\BTSTAC~1.EXE

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\WINNT\system32\HPZipm12.exe

C:\WINNT\system32\wuauclt.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoFXM08.exe

C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Watch.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\capone\Desktop\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.wanadoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.wanadoo.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\AcrobatReader\Acrobat\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [WinVNC] "E:\Vncserveur\WinVNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Lamp] C:\SCANJET\PrecisionScanPro\HPLamp.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [DVDSentry] C:\WINNT\system32\DSentry.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Acrobat Assistant.lnk = E:\Adobe\AcrobatReader\Distillr\AcroTray.exe

O4 - Global Startup: BTTray.lnk = C:\Program Files\Dell\Bluetooth Software\BTTray.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: hp officejet 4100 series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpomau08.exe

O4 - Global Startup: hpoddt01.exe.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - Global Startup: InterCheck Monitor.LNK = C:\Program Files\Sophos SWEEP for NT\ICMON.EXE

O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O10 - Broken Internet access because of LSP provider 'ctxnsp.dll' missing

O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O14 - IERESET.INF: START_PAGE_URL=http://int042/sesame.htm

O16 - DPF: {1F831FA7-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://E:\autocad\InstFred.ocx

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Contrôle d'AcDcToday) - file://E:\autocad\AcDcToday.ocx

O16 - DPF: {AE563727-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://E:\autocad\InstBanr.ocx

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Gestion d'AcPreview) - file://E:\autocad\AcPreview.ocx

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = eur.sidel.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{00EEA2F7-E3EB-4A27-B84E-2EC74EF0E350}: NameServer = 80.10.246.130 80.10.246.3

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = eur.sidel.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = eur.sidel.com,sidel.fr,sidel.com

O17 - HKLM\System\CS1\Services\Tcpip\..\{00EEA2F7-E3EB-4A27-B84E-2EC74EF0E350}: NameServer = 80.10.246.130 80.10.246.3

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = eur.sidel.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = eur.sidel.com,sidel.fr,sidel.com

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = eur.sidel.com,sidel.fr,sidel.com

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Program Files\Dell\Bluetooth Software\bin\btwdins.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: DameWare NT Utilities 2.6 (DNTUS26) - DameWare Development LLC - C:\WINNT\SYSTEM32\DNTUS26.EXE

O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - E:\CheckPoint\SecuRemote\bin\SR_Service.exe

O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - E:\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

O23 - Service: Sweep for Windows NT Network (SWEEPNET) - Sophos Plc - C:\Program Files\Sophos SWEEP for NT\SWNETSUP.EXE

O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Program Files\Sophos SWEEP for NT\SWEEPSRV.SYS

O23 - Service: Sweep for Windows NT Update (SWEEPUPDATE) - Sophos Plc - C:\Program Files\Sophos SWEEP for NT\SWUPDATE.EXE

O23 - Service: VNC Server (winvnc) - Unknown owner - E:\Vncserveur\WinVNC\WinVNC.exe" -service (file missing)

 

Merci d'avance pour votre aide.

 

Lulu74

Lien vers le commentaire
Partager sur d’autres sites

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut LULU74,bienvenue :P

 

télécharge l'utilitaire de S!Ri:

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

Tu le décompresses tu double cliques dessus et tu choisis l’option 1

 

Cela va générer un rapport,poste le. Redémarre en mode sans échec:

 

Relance le et choisis cette fois l’option 2 et réponds ouià tout

 

Redémarre et communique le nouveau rapport avec un nouveau rapport Hijackthis

Lien vers le commentaire
Partager sur d’autres sites
Lulu74 Junior Member

Lulu74

Posté(e)
  • Auteur
Posté(e)

salut LULU74,bienvenue :P

 

télécharge l'utilitaire de S!Ri:

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

Tu le décompresses tu double cliques dessus et tu choisis l’option 1

 

Cela va générer un rapport,poste le. Redémarre en mode sans échec:

 

Relance le et choisis cette fois l’option 2 et réponds ouià tout

 

Redémarre et communique le nouveau rapport avec un nouveau rapport Hijackthis

 

Salut charles ingals,

 

Merci beaucoup de ton support, c'est super sympa.

J'ai effectué la procédure malheureusement je n'arrive pas à démarrer en mode sans échec (le mot de passe est probablement différent du mode de connexion standard et je ne m'en rappelle plus..) Bref, voici le rapport avec l'option 1, puis l'option 2 (mode standard et non pas mode sans échec) puis le nouveau rapport HijackThis. J'espère que ça t'aidera. Merci d'avanceSmitFraudFix v1.92 (option 1)

 

Rapport fait à 9:52:29.71 le mar. 01/11/2005

Executé à partir de C:\SmitfraudFix

OS: Microsoft Windows 2000 [Version 5.00.2195]

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\capone\Application Data

 

C:\Documents and Settings\capone\Application Data\PSGuard.com PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\capone\Desktop

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

 

C:\Program Files\P.S.Guard\ PRESENT!

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

 

HKLM\SOFTWARE\PSGuard.com Présent !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

SmitFraudFix v1.92 (option 2)

 

Rapport fait à 9:58:08.74 le mar. 01/11/2005

Executé à partir de C:\SmitfraudFix

OS: Microsoft Windows 2000 [Version 5.00.2195]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

 

C:\Program Files\P.S.Guard\ supprimé

C:\Documents and Settings\capone\Application Data\PSGuard.com\ supprimé

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

HKLM\SOFTWARE\PSGuard.com supprimé

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Logfile of HijackThis v1.99.1

Scan saved at 09:59:55, on 01/11/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\System32\SCardSvr.exe

C:\WINNT\system32\Ati2evxx.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\Dell\Bluetooth Software\bin\btwdins.exe

C:\WINNT\SYSTEM32\DNTUS26.EXE

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\hidserv.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

E:\CheckPoint\SecuRemote\bin\SR_Service.exe

E:\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

C:\WINNT\system32\stisvc.exe

C:\Program Files\Sophos SWEEP for NT\SWEEPSRV.SYS

C:\WINNT\system32\Ati2evxx.exe

C:\WINNT\Explorer.EXE

E:\CheckPoint\SecuRemote\bin\SR_GUI.exe

C:\Program Files\Sophos SWEEP for NT\SWUPDATE.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

E:\Vncserveur\WinVNC\WinVNC.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\SCANJET\PrecisionScanPro\HPLamp.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\WINNT\system32\DSentry.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\WINNT\system32\internat.exe

E:\Adobe\AcrobatReader\Distillr\AcroTray.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\Dell\Bluetooth Software\BTTray.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpomau08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Sophos SWEEP for NT\ICMON.EXE

C:\PROGRA~1\Dell\BLUETO~1\BTSTAC~1.EXE

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\WINNT\system32\HPZipm12.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoFXM08.exe

C:\WINNT\system32\wuauclt.exe

C:\Documents and Settings\capone\Desktop\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.wanadoo.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\AcrobatReader\Acrobat\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [WinVNC] "E:\Vncserveur\WinVNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Lamp] C:\SCANJET\PrecisionScanPro\HPLamp.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [DVDSentry] C:\WINNT\system32\DSentry.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Acrobat Assistant.lnk = E:\Adobe\AcrobatReader\Distillr\AcroTray.exe

O4 - Global Startup: BTTray.lnk = C:\Program Files\Dell\Bluetooth Software\BTTray.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: hp officejet 4100 series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpomau08.exe

O4 - Global Startup: hpoddt01.exe.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - Global Startup: InterCheck Monitor.LNK = C:\Program Files\Sophos SWEEP for NT\ICMON.EXE

O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O10 - Broken Internet access because of LSP provider 'ctxnsp.dll' missing

O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O14 - IERESET.INF: START_PAGE_URL=http://int042/sesame.htm

O16 - DPF: {1F831FA7-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://E:\autocad\InstFred.ocx

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Contrôle d'AcDcToday) - file://E:\autocad\AcDcToday.ocx

O16 - DPF: {AE563727-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://E:\autocad\InstBanr.ocx

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Gestion d'AcPreview) - file://E:\autocad\AcPreview.ocx

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = eur.sidel.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = eur.sidel.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = eur.sidel.com,sidel.fr,sidel.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = eur.sidel.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = eur.sidel.com,sidel.fr,sidel.com

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = eur.sidel.com,sidel.fr,sidel.com

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Program Files\Dell\Bluetooth Software\bin\btwdins.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: DameWare NT Utilities 2.6 (DNTUS26) - DameWare Development LLC - C:\WINNT\SYSTEM32\DNTUS26.EXE

O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - E:\CheckPoint\SecuRemote\bin\SR_Service.exe

O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - E:\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

O23 - Service: Sweep for Windows NT Network (SWEEPNET) - Sophos Plc - C:\Program Files\Sophos SWEEP for NT\SWNETSUP.EXE

O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Program Files\Sophos SWEEP for NT\SWEEPSRV.SYS

O23 - Service: Sweep for Windows NT Update (SWEEPUPDATE) - Sophos Plc - C:\Program Files\Sophos SWEEP for NT\SWUPDATE.EXE

O23 - Service: VNC Server (winvnc) - Unknown owner - E:\Vncserveur\WinVNC\WinVNC.exe" -service (file missing)

 

:P:-P

Lien vers le commentaire
Partager sur d’autres sites
Lulu74 Junior Member

Lulu74

Posté(e)
  • Auteur
Posté(e)

salut

 

S'il te plait , rééssaie le fix en suivant le tutorial "comment démarrer en mode sans échec"

Et poste les rapports :P

 

Salut charles ingals,

 

Malgré de nombreux efforts, rien à faire je n'arrive pas à démarrer en mode échec (mot de passe oublié, moche pour moi...)

 

Bon, depuis que j'ai lancer le HijackThis.exe ce matin, je pense avoir définitivement résolu le problème car j'ai scanné mon PC avec Microsoft Spyware Beta 1 ainsi que Antiwir XP, rien n'a été détecté (alors que c'était le cas avant que je ne lance HijackThis.exe) pour l'instant je touche du bois car aucun signe d'infection. Je voulais te remercier pour ton aide, c'est vraiment super sympa.

 

Salutations, Lulu74

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut Lulu74

 

On a pas fini :P

 

Tu as deux antispywares qui tournent en même temps:ca bouffe des ressources inutilement et ca ne protégeras

 

pas plus => DVDSentry et Microsoft AntiSpyware ! je ne sais pas ce que vaut DVDSentry , mais je te

 

conseillerai plutôt Spybot + Spywareblaster qui feront sans doute mieux!

 

Par ailleurs même remarque avec Sophos et Antivir qui se gênent plus qu'autre chose! A toi de choisir : il faut en désactiver un.

 

-Télécharge EasyCleaner

http://personal.inet.fi/business/toniarts/files/EClea2_0.exe

 

-Télécharge LSPFix de Cexx.org

http://www.cexx.org/lspfix.htm

 

Démarre Hijackthis "Do a system scan only", et coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

 

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [DVDSentry] C:\WINNT\system32\DSentry.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

 

O16 - DPF: {1F831FA7-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://E:\autocad\InstFred.ocx

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Contrôle d'AcDcToday) - file://E:\autocad\AcDcToday.ocx

O16 - DPF: {AE563727-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://E:\autocad\InstBanr.ocx

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Gestion d'AcPreview) - file://E:\autocad\AcPreview.ocx

 

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = eur.sidel.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = eur.sidel.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = eur.sidel.com,sidel.fr,sidel.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = eur.sidel.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = eur.sidel.com,sidel.fr,sidel.com

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = eur.sidel.com,sidel.fr,sidel.com

Ferme toutes les fenêtres, tous les programmes et clique surFix checked

 

-Démarre LSPFix

Coche 'I know what I'm doing'

Clique sur 'Finish'.-

 

-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

 

Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

 

Est ce que tu connais ceci => "sidel.fr" ?

 

Est ce toi qui a installé ceci:"WinVNC"?

Lien vers le commentaire
Partager sur d’autres sites
Lulu74 Junior Member

Lulu74

Posté(e)
  • Auteur
Posté(e)

salut Lulu74

 

On a pas fini :P

 

Tu as deux antispywares qui tournent en même temps:ca bouffe des ressources inutilement et ca ne protégeras

 

pas plus => DVDSentry et Microsoft AntiSpyware ! je ne sais pas ce que vaut DVDSentry , mais je te

 

conseillerai plutôt Spybot + Spywareblaster qui feront sans doute mieux!

 

Par ailleurs même remarque avec Sophos et Antivir qui se gênent plus qu'autre chose! A toi de choisir : il faut en désactiver un.

 

-Télécharge EasyCleaner

http://personal.inet.fi/business/toniarts/files/EClea2_0.exe

 

-Télécharge LSPFix de Cexx.org

http://www.cexx.org/lspfix.htm

 

Démarre Hijackthis "Do a system scan only", et coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

 

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [DVDSentry] C:\WINNT\system32\DSentry.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

 

O16 - DPF: {1F831FA7-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://E:\autocad\InstFred.ocx

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Contrôle d'AcDcToday) - file://E:\autocad\AcDcToday.ocx

O16 - DPF: {AE563727-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://E:\autocad\InstBanr.ocx

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Gestion d'AcPreview) - file://E:\autocad\AcPreview.ocx

 

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = eur.sidel.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = eur.sidel.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = eur.sidel.com,sidel.fr,sidel.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = eur.sidel.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = eur.sidel.com,sidel.fr,sidel.com

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = eur.sidel.com,sidel.fr,sidel.com

Ferme toutes les fenêtres, tous les programmes et clique surFix checked

 

-Démarre LSPFix

Coche 'I know what I'm doing'

Clique sur 'Finish'.-

 

-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

 

Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

 

Est ce que tu connais ceci => "sidel.fr" ?

 

Est ce toi qui a installé ceci:"WinVNC"?

 

Salut charles ingals,

 

En fait, j'ai oublié de te préciser que le PC que j'utilise est celui du boulot, la société pour laquelle je travaille s'appelle Sidel (basée au Havre). C'est la raison pour laquelle je suis prudent avant de supprimer certains fichiers, par exemple la ligne 017-HKLM\System\CCS\Services\Tcpip\Parameters: Domain = eur.sidel.com est certainement utile sur mon PC afin que je puisse me connecter sur le serveur (je travaille depuis ma maison en Haute-Savoie). Pour ce qui est de WinVNC, c'est un logiciel installé pour consulter mes e-mail depuis l'hôtel lorsque je suis en déplacement professionnel. Par ailleurs, d'autres lignes sont à ma connaissance utiles, par exemple NeroCheck.exe est un graveur de CD (externe), Autocad est un logiciel de dessins industriels, etc...

 

Prudence est donc de mise avant de supprimer certaines lignes. Aurais-tu vu dans mon dernier log quelques chose de suspect hormis les lignes en relation avec WinVNC, Sidel, Nero, WinZip et Autocad?

 

Pour les anti-virus en doublons, je me rend au Havre la semaine prochaine et la cellule Informatique se chargera de remettre ce problème à jour.

 

Merci encore de tes conseils.

Lien vers le commentaire
Partager sur d’autres sites
S.Birkoff Full Patch Member

S.Birkoff

Posté(e)
Posté(e) (modifié)

Bonsoir lulu,

 

le PC que j'utilise est celui du boulot, la société pour laquelle je travaille s'appelle Sidel (basée au Havre).

Merci de nous donner cette précision, cela peut nous servir pour l'analyse :-P

 

d'autres lignes sont à ma connaissance utiles, par exemple NeroCheck.exe est un graveur de CD (externe), Autocad est un logiciel de dessins industriels, etc...

 

Charles te fait supprimer ces lignes car elles se lancent au démarrage ( comme Nero) et te prennent inutilement des ressources systemes ( pas besoin de nero au demarrage, tu peux le lancer manuellement). Pour Autocad, je ne vois pas ou il te demande de le fixer :P

 

Est tu sur que eur.sidel.com correspond bien au server de ton entreprise ? Si oui alors n'y touche pas.

 

Tiens nous au courant !

Bonne soirée

S.B

 

edit : merci jack de me corriger, toutes mes excuses à Charles, c'est le soir et mes neurones s'emmelle les pinceaux :P

Modifié par S.Birkoff
Lien vers le commentaire
Partager sur d’autres sites
Jack_Burton Godlike Member

Jack_Burton

Posté(e)
Posté(e) (modifié)

Re bonsoir S.Birkoff :P

 

Jack te fait supprimer ces lignes car elles se lancent au démarrage ( comme Nero) et te prennent inutilement des ressources systemes ( pas besoin de nero au demarrage, tu peux le lancer manuellement).

 

Tu veux dire Charles !!!! :P

Modifié par Jack_Burton
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...