A l'aide svp !

Ovanek · le 2 mars 2006

Avant d'adresser ce mail, j'ai suivi les différentes procédures pour éradiquer des spywares qui sans relache, viennent pertuber mon PC.

Après avoir mis à jour mon anti virus et télécharger Hijackthis, redémarrer en mode sans échec, lancer l'anti virus, repasser en mode xp normal, j'ai toujours les mêmes problèmes . A savoir,

des fenetres internet s'ouvrent toutes seules dès que je suis sur Internet, l'anti virus reconnait quelques trojans (trojano 27-58...)au démarrage ,les supprime mais ils reviennent à chaque démarrage. J'ai quelques fichiers et logiciels qui se remettent à chaque démarrage dans le fichiers "mes documents" : Mousepad et keyboard (avec des icones que je ne connais pas !) . Je n'arrive plus à mettre en service le pare feu de windows . Bref la galère.

Je n'ai pu lancer Hijackthis qu'en mode sans échec. en mode normal, si je clique sur l'icone, l'écran Hijackthis apparait et disparait aussitôt !!!

Sinon le pc fonctionne correctement sans trop de ralentissements .

Merci d'avance à toute personne pouvant m'aider. Je joins le rapport Hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 22:23:27, on 02/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.tiscali.fr/

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\geede.dll

O2 - BHO: (no name) - {20D57A66-F7DF-467d-907B-9B7F4A118AB7} - C:\WINDOWS\system32\mljji.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [b'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Windows Logon Service] winlogon.pif

O4 - HKLM\..\Run: [Microsoft Security Management] iexplorer.exe

O4 - HKLM\..\Run: [services] C:\socks.exe

O4 - HKLM\..\Run: [winsvc32] C:\WINDOWS\System32\winsvc32.exe

O4 - HKLM\..\Run: [MSsvc322] C:\WINDOWS\System32\MSsvc32.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [Microsoft Windows 128bit Subsystem] C:\WINDOWS\System32\system12.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [sNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [Microsoft Task Manager] tasks.exe

O4 - HKLM\..\Run: [AdobeReaderPro] svxhost.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [mousepad] c:\\mousepad.exe

O4 - HKLM\..\Run: [keyboard] c:\\keyboard.exe

O4 - HKLM\..\Run: [tcsvc] rundll32.exe C:\WINDOWS\System32\tcsvc.dll,start

O4 - HKLM\..\RunServices: [Windows Logon Service] winlogon.pif

O4 - HKLM\..\RunServices: [Microsoft Security Management] iexplorer.exe

O4 - HKLM\..\RunServices: [Microsoft Task Manager] tasks.exe

O4 - HKLM\..\RunServices: [AdobeReaderPro] svxhost.exe

O4 - HKCU\..\Run: [Windows Logon Service] winlogon.pif

O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe

O4 - HKCU\..\Run: [mpm manager] c:\windows\mpm.exe

O4 - HKCU\..\Run: [MS Sys Security] mswin.pif

O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB0_0_0 -reboot 1

O4 - HKCU\..\Run: [Microsoft Task Manager] tasks.exe

O4 - HKCU\..\Run: [shtt] "C:\Program Files\hwto\rost.exe" -vt yax

O4 - HKCU\..\Run: [Raprbr] C:\WINDOWS\System32\?vchost.exe

O4 - HKCU\..\RunServices: [Windows Logon Service] winlogon.pif

O4 - HKCU\..\RunServices: [MS Sys Security] mswin.pif

O4 - HKCU\..\RunServices: [Microsoft Task Manager] tasks.exe

O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: geede - C:\WINDOWS\SYSTEM32\geede.dll

O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\i2lolc331f.dll

O20 - Winlogon Notify: mljji - C:\WINDOWS\SYSTEM32\mljji.dll

O23 - Service: AOL Instant Messenger (AOL Instant Messenger) - Unknown owner - C:\WINDOWS\rofl.exe (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe

O23 - Service: fwnet64 (fwnet) - Unknown owner - C:\WINDOWS\fwnet64.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)

O23 - Service: NetBIOS Helper Service (NetBIOS Helper) - Unknown owner - C:\WINDOWS\System32\nbthlp.exe (file missing)

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Serutpac - Unknown owner - C:\WINDOWS\System32\Serutpac.exe

O23 - Service: Plug-n-Play SP2 Fix (sp2pnpfix) - Unknown owner - C:\WINDOWS\system32\pnpsp2fix.exe (file missing)

O23 - Service: VPNonDemand - Unknown owner - C:\WINDOWS\VPN.exe (file missing)

O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)

Thanos · le 2 mars 2006

salut Ovanek et bienvenue sur le forum

Ton pc est bien infecté!!

Peut tu télécharger sans problème? Bon on va commencer tout de suite!On va s'occuper de Wundo

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

Double-clique VundoFix.exe afin de le lancer.
Coche Run VundoFix as a task.
Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
Clique sur le bouton Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
Démarre ton PC à nouveau.
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Modifié le 2 mars 2006 par charles ingals

Ovanek · le 2 mars 2006

Salut Charles Ingall . Comment va la famille et la petite maison ....

Merci pour la rapidité de ta réponse . Voici les nouvelles du front :

J'ai suivi tes consignes mais au redémarrage, à nouveau de sales bestioles : Trojano 2873,Win32:adware gen dans c:\installer.exe

D'autres part, j'ai de nouveau et toujours mousepad,gimmysmileys,keyboard (icones style Linux !!) ainsi que

Installer , dr,lvdef et MTE3NDI60Ng dans C:\ !!!

Voici le rapport de VundoFix :

VundoFix V4.2.27

Scan started at 23:29:39 02/03/2006

Listing files found while scanning....

C:\WINDOWS\system32\geede.dll

C:\WINDOWS\System32\awtqo.dll

C:\WINDOWS\system32\efhkj.ini2

C:\WINDOWS\system32\efhkj.bak2

C:\WINDOWS\system32\efhkj.tmp

C:\WINDOWS\system32\efhkj.ini

C:\WINDOWS\system32\efhkj.ini2

Attempting to delete C:\WINDOWS\system32\geede.dll

C:\WINDOWS\system32\geede.dll Could not be deleted.

Attempting to delete C:\WINDOWS\System32\awtqo.dll

C:\WINDOWS\System32\awtqo.dll Could not be deleted.

Attempting to delete C:\WINDOWS\qaz4.txt

C:\WINDOWS\qaz4.txt Has been deleted!

Attempting to delete C:\WINDOWS\system32\efhkj.ini2

C:\WINDOWS\system32\efhkj.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\efhkj.bak2

C:\WINDOWS\system32\efhkj.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\efhkj.tmp

C:\WINDOWS\system32\efhkj.tmp Has been deleted!

Attempting to delete C:\WINDOWS\system32\efhkj.ini

C:\WINDOWS\system32\efhkj.ini Has been deleted!

Performing Repairs to the registry.

Done!

VundoFix V4.2.27

Scan started at 23:33:23 02/03/2006

Listing files found while scanning....

C:\WINDOWS\system32\geede.dll

C:\WINDOWS\system32\awtqo.dll

Attempting to delete C:\WINDOWS\system32\awtqo.dll

C:\WINDOWS\system32\awtqo.dll Could not be deleted.

Performing Repairs to the registry.

Done!

Pour Hijackthis, toujours le même problème : je ne peux pas l'ouvrir !!! En mode sans échec, j'arrive à le démarrer. Veux tu le rapport en mode sans échec ?

Dur est le chemin !!!!

A plus, Charles . J'attends de tes nouvelles. Merci d'avance

Thanos · le 2 mars 2006

excuse moi j'étais parti!! oui stp un rapport hijackthis en mode sans échec ira

Ceci dit avant ce rapport,fais ceci stp car je vois que Vundo n'est pas parti!! il faut s'occuper de L2M en premier=>

(il est possible que tu puisses faire un rapport en mode normal avec hijackthis apres ca!)

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien les trois petites notes au bas, avant de débuter.

Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.

Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
Coche Run this program as a task
Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 10 seconds". Clique OK
Il se relancera après les 10 secondes, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
Lorsque le scan termine, clique sur le bouton Remove L2M
Un message Done Scanning apparaîtra, clique OK.
Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
Ton PC va maintenant s'éteindre.
Démarre ton PC normalement.
Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt , ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

*Si Look2Me-Destroyer ne se relance pas automatiquement après les 10 secondes, redémarre et essaie à nouveau.

**Si tu reçois un message de ton parefeu que l'outil tente d'accéder à l'internet : accepte.

***Si un message runtime error '339' s'affiche : télécharge MSWINSCK.OCX du lien ci-bas, et place-le dans le dossier C:\Windows\System32.

http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX

Modifié le 2 mars 2006 par charles ingals

Ovanek · le 2 mars 2006

J'ai suivi tes conseils. Maintenant, au démarrage, je n'ai plus mes liens en barre de tâche (Firefox, Musicmatch , WMplayer etc ..) Sinon toujours le même probleme dans C:\ Windows à savoir:

mousepad,keyboard,gimmysmileys,drsmartload1 (en icones style Ms dos puis style linux une fois que l'anti virus a repéré le trojano2873 et win32:adware gen. Sinon dans C:\windows, j'ai toujours Installer,dr,lvdef et MTE3NDI60Ng . Hijackthis ne fonctionne toujours pas. Je te joins le rapport fait en mode sans échec ainsi que le rapport Look2Me :

Logfile of HijackThis v1.99.1

Scan saved at 00:01:28, on 03/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.tiscali.fr/

O2 - BHO: (no name) - {20D57A66-F7DF-467d-907B-9B7F4A118AB7} - C:\WINDOWS\system32\awtqo.dll

O2 - BHO: (no name) - {410A6E2B-AEB2-D767-C1A9-858AABA7FDBB} - C:\WINDOWS\System32\ltqdwd.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [b'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Windows Logon Service] winlogon.pif

O4 - HKLM\..\Run: [Microsoft Security Management] iexplorer.exe

O4 - HKLM\..\Run: [services] C:\socks.exe

O4 - HKLM\..\Run: [winsvc32] C:\WINDOWS\System32\winsvc32.exe

O4 - HKLM\..\Run: [MSsvc322] C:\WINDOWS\System32\MSsvc32.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [Microsoft Windows 128bit Subsystem] C:\WINDOWS\System32\system12.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [sNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [Microsoft Task Manager] tasks.exe

O4 - HKLM\..\Run: [AdobeReaderPro] svxhost.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [mousepad] C:\\mousepad.exe

O4 - HKLM\..\Run: [keyboard] C:\\keyboard.exe

O4 - HKLM\..\Run: [tcsvc] rundll32.exe C:\WINDOWS\System32\tcsvc.dll,start

O4 - HKLM\..\Run: [gimmysmileys] C:\\gimmysmileys.exe

O4 - HKLM\..\RunServices: [Windows Logon Service] winlogon.pif

O4 - HKLM\..\RunServices: [Microsoft Security Management] iexplorer.exe

O4 - HKLM\..\RunServices: [Microsoft Task Manager] tasks.exe

O4 - HKLM\..\RunServices: [AdobeReaderPro] svxhost.exe

O4 - HKCU\..\Run: [Windows Logon Service] winlogon.pif

O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe

O4 - HKCU\..\Run: [mpm manager] c:\windows\mpm.exe

O4 - HKCU\..\Run: [MS Sys Security] mswin.pif

O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB0_0_0 -reboot 1

O4 - HKCU\..\Run: [Microsoft Task Manager] tasks.exe

O4 - HKCU\..\Run: [shtt] "C:\Program Files\hwto\rost.exe" -vt yax

O4 - HKCU\..\Run: [Raprbr] C:\WINDOWS\System32\?vchost.exe

O4 - HKCU\..\RunServices: [Windows Logon Service] winlogon.pif

O4 - HKCU\..\RunServices: [MS Sys Security] mswin.pif

O4 - HKCU\..\RunServices: [Microsoft Task Manager] tasks.exe

O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: awtqo - C:\WINDOWS\SYSTEM32\awtqo.dll

O20 - Winlogon Notify: geede - geede.dll (file missing)

O20 - Winlogon Notify: policies - C:\WINDOWS\system32\jr4025hmg.dll