A l'aide !! rapport HijackThis

[clemclem]

Voila voila !!

 

 

(3/4/06 16:33:45) SPSeHjFix started v1.1.2

(3/4/06 16:33:45) OS: WinXP (5.1.2600)

(3/4/06 16:33:45) Language: français

(3/4/06 16:33:45) Win-Path: C:\WINDOWS

(3/4/06 16:33:45) System-Path: C:\WINDOWS\System32

(3/4/06 16:33:45) Temp-Path: C:\DOCUME~1\CLMENT~1\LOCALS~1\Temp\

(3/4/06 16:33:54) Disinfection started

(3/4/06 16:33:54) Bad-Dll(IEP): c:\docume~1\clment~1\locals~1\temp\se.dll

(3/4/06 16:33:54) UBF: 7 - UBB: 2 - UBR: 20

(3/4/06 16:33:54) FilterKey: HKCR\text/html (deleted)

(3/4/06 16:33:54) FilterKey: HKCR\CLSID\{5A7AD203-6221-4A31-B69D-8D283C4E6CB2} (deleted)

(3/4/06 16:33:54) FilterKey: HKLM\SOFTWARE\Classes\text/html (error while deleting)

(3/4/06 16:33:54) FilterKey: HKCR\text/plain (deleted)

(3/4/06 16:33:54) FilterKey: HKCR\CLSID\{5A7AD203-6221-4A31-B69D-8D283C4E6CB2} (error while deleting)

(3/4/06 16:33:54) FilterKey: HKLM\SOFTWARE\Classes\text/plain (error while deleting)

(3/4/06 16:33:54) BHO-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BC6270E4-B7C2-4A8F-A434-6AD79791C59E} (deleted)

(3/4/06 16:33:54) BHO-Key: HKCR\CLSID\{BC6270E4-B7C2-4A8F-A434-6AD79791C59E} (deleted)

(3/4/06 16:33:54) UBF: 5 - UBB: 1 - UBR: 20

(3/4/06 16:33:54) Bad IE-pages:

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\docume~1\clment~1\locals~1\temp\se.dll/sp.html

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank

deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\docume~1\clment~1\locals~1\temp\se.dll/sp.html

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank

(3/4/06 16:33:54) Stealth-String not found

(3/4/06 16:33:54) File added to delete: c:\windows\system32\bkoji.dll

(3/4/06 16:33:54) Reboot

 

 

(3/4/06 16:35:06) SPSeHjFix started v1.1.2

(3/4/06 16:35:06) OS: WinXP (5.1.2600)

(3/4/06 16:35:06) Language: français

(3/4/06 16:35:06) Win-Path: C:\WINDOWS

(3/4/06 16:35:06) System-Path: C:\WINDOWS\System32

(3/4/06 16:35:06) Temp-Path: C:\DOCUME~1\CLMENT~1\LOCALS~1\Temp\

(3/4/06 16:36:34) Disinfection started

(3/4/06 16:36:34) Bad-Dll(IEP): (not found)

(3/4/06 16:36:34) Bad-Dll(IEP) in BHO: (not found)

(3/4/06 16:36:34) UBF: 5 - UBB: 1 - UBR: 20

(3/4/06 16:36:34) UBF: 5 - UBB: 1 - UBR: 20

(3/4/06 16:36:34) Bad IE-pages: (none)

(3/4/06 16:36:34) Stealth-String not found

(3/4/06 16:36:34) Not infected->END

 

 

 

//////////////////////////////////////

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 16:45:15, on 04/03/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\crypserv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\a-squared\a2guard.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

 

Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

 

C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

 

C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

 

C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers

 

communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE

 

C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE

 

C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Machine Update Soft] wusas.exe

O4 - HKLM\..\Run: [WINWU Service] tcssvc.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility]

 

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [Microsoft PCI Device] mspci.exe

O4 - HKLM\..\Run: [WindowsFramework] scftmon.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"

 

-atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program

 

Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition

 

Classic\avgnt.exe" /min

O4 - HKLM\..\RunServices: [Machine Update Soft] wusas.exe

O4 - HKLM\..\RunServices: [WINWU Service] tcssvc.exe

O4 - HKLM\..\RunServices: [Microsoft PCI Device] mspci.exe

O4 - HKLM\..\RunServices: [WindowsFramework] scftmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe"

 

/background

O4 - HKCU\..\Run: [Microsoft PCI Device] mspci.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash

 

/minimized

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a-squared\a2guard.exe"

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers

 

communs\Adobe\Calibration\Adobe Gamma Loader.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel

 

present

O12 - Plugin for .spop: C:\Program Files\Internet

 

Explorer\Plugins\NPDocBox.dll

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -

 

http://a840.g.akamai.net/7/840/537/2004061...micro.com/house

 

call/xscan53.cab

O17 -

 

HKLM\System\CCS\Services\Tcpip\..\{1515B9EE-2797-41E3-A5CC-B79711C224C7}:

 

NameServer = 80.118.192.100,80.118.196.36

O17 -

 

HKLM\System\CCS\Services\Tcpip\..\{5799401D-3A36-4AA0-99F0-F70D78425521}:

 

NameServer = 80.118.192.100,80.118.196.36

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -

 

"C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: C:\WINDOWS\System32\hlp.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers

 

communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik

 

GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) -

 

H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition

 

Classic\avguard.exe

O23 - Service: Crypkey License - Kenonic Controls Ltd. -

 

C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision

 

Corporation - C:\Program Files\Fichiers

 

communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program

 

Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -

 

C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) -

 

Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

[tornado]

Re,

 

Ca a fonctionné

 

Bon je prépare une procédure, réponse dans...on verra bien

 

 

Je remet en ordre le rapport hijakthis pour avoir une meilleure lecture...

 

 

Logfile of HijackThis v1.99.1

Scan saved at 16:45:15, on 04/03/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\crypserv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\a-squared\a2guard.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Machine Update Soft] wusas.exe

O4 - HKLM\..\Run: [WINWU Service] tcssvc.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [Microsoft PCI Device] mspci.exe

O4 - HKLM\..\Run: [WindowsFramework] scftmon.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\ProgramFiles\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\RunServices: [Machine Update Soft] wusas.exe

O4 - HKLM\..\RunServices: [WINWU Service] tcssvc.exe

O4 - HKLM\..\RunServices: [Microsoft PCI Device] mspci.exe

O4 - HKLM\..\RunServices: [WindowsFramework] scftmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe"/background

O4 - HKCU\..\Run: [Microsoft PCI Device] mspci.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash/minimized

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a-squared\a2guard.exe"

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichierscommuns\Adobe\Calibration\Adobe Gamma Loader.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O12 - Plugin for .spop: C:\Program Files\InternetExplorer\Plugins\NPDocBox.dll

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O17-HKLM\System\CCS\Services\Tcpip\..\{1515B9EE-2797-41E3-A5CC-B79711C224C7}:NameServer = 80.118.192.100,80.118.196.36

O17 -HKLM\System\CCS\Services\Tcpip\..\{5799401D-3A36-4AA0-99F0-F70D78425521}:NameServer = 80.118.192.100,80.118.196.36

O18 - Protocol: msnim {828030A1-22C1-4009-854F-8E305202313F}"C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: C:\WINDOWS\System32\hlp.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichierscommuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV DatentechnikGmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) -H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEditionClassic\avguard.exe

O23 - Service: Crypkey License - Kenonic Controls Ltd. -C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - MacrovisionCorporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) -Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

[tornado]

Re,

 

 

J'aimerais que tu fasses analyser ce fichier :

 

tcssvc.exe

 

 

1/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

 

2/ Va sur ce site --> http://virusscan.jotti.org/

 

Va dans "parcourir" et recherche le fichier tcssvc.exe --> il est sûrement présent dans C:\ ; C:\Windows ou C:\Windows\system32

 

- Clique sur "upload"

- Envoie le rapport

 

 

 

A+

[clemclem]

Euh... j'trouve pas le fichier tcssvc.exe

 

j'ai lancer une recherche et tout... mais rien... c'est normal ??

[tornado]

Salut clemclem,

 

 

Fais dans ce cas une recherche avec l'outil de Windows, en vérifiant d'avoir coché ces cases dans les options avancées de recherche.

 

A+

[clemclem]

Re,

 

Oui oui c'est bien ce que j'ai fais mais il trouve rien... sniff ! Que faire ??

 

Merci de ta patience en tout cas c'est vraiment cool...

[tornado]

Re,

 

 

Et en cherchant manuellement, (dans C:\ , C:\Windows ou dans C:\Windows\system32 après avoir fait ça :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

...

[clemclem]

J'avais deja fais ça aussi...

 

J'ai au mieux un fichier tcpsvcs.exe dans C:\WINDOWS\system32 mais rien d'autre... :/

[tornado]

Re,

J'avais deja fais ça aussi...

 

J'ai au mieux un fichier tcpsvcs.exe dans C:\WINDOWS\system32 mais rien d'autre... :/

 

Euh vaut mieux pas que tu y touches, c'est un fichier légitime de Windows...

 

Bon c'est sur à 99% qu'il est infectieux, j'espère que fixer la ligne qui lui correspond dans hijackthis va permettre de le supprimer.

 

 

Je prépare une procédure (cette fois c'est la bonne ), retour dans... je sais pas

 

 

A+

[tornado]

Bonsoir,

 

 

La procédure se divisera en plusiseurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être).

 

 

Télécharge et installe les logiciels suivants au préalable

 

- Ewido anti-malware --> http://www.ewido.net/en/download/

 

- A l'installation, décoche les "deux cases" dans la fenêtre "additional options" (protection en temps réel)

- Fais la mise à jour

 

 

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

- Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

 

 

2/ Lance hijackthis, " do a system scan only " , puis coche les lignes suivantes :

 

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =Liens

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

 

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -C:\WINDOWS\System32\msdxm.ocx

 

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Machine Update Soft] wusas.exe

O4 - HKLM\..\Run: [WINWU Service] tcssvc.exe

O4 - HKLM\..\Run: [Microsoft PCI Device] mspci.exe

O4 - HKLM\..\Run: [WindowsFramework] scftmon.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\ProgramFiles\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\RunServices: [Machine Update Soft] wusas.exe

O4 - HKLM\..\RunServices: [WINWU Service] tcssvc.exe

O4 - HKLM\..\RunServices: [Microsoft PCI Device] mspci.exe

O4 - HKLM\..\RunServices: [WindowsFramework] scftmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe"/background

O4 - HKCU\..\Run: [Microsoft PCI Device] mspci.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash/minimized

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichierscommuns\Adobe\Calibration\Adobe Gamma Loader.exe

 

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

 

O12 - Plugin for .spop: C:\Program Files\InternetExplorer\Plugins\NPDocBox.dll

 

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

 

O20 - AppInit_DLLs: C:\WINDOWS\System32\hlp.dll

 

 

 

- Fais "fix checked"

 

 

NB: Je t'ai fait fixer pas mal de lignes 04 qui non seulement correspondent à des programmes malveillants au démarrage (cf fichiers à supprimer) mais aussi à des programmes légitimes, mais inutiles encombrant le démarrage...ainsi que des lignes correspondant à des éléments additionnels d'IE, vu qu'apparemment tu utilises firefox.

 

 

 

 

3/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

 

 

4/ Recherche et supprime les fichiers en gras via l'explorateur Windows (si ils existent encore)

 

 

- wusas.exe

- tcssvc.exe

- mspci.exe

- scftmon.exe

- C:\WINDOWS\System32\hlp.dll

 

 

- Vide la corbeille

 

 

NB: Les fichiers n'indiquant pas leurs chemins sont propbablement situés dans C:\ , C:\Windows ou dans C:\Windows\system32 . Tu peux également faire une recherche avec l'outil de Windows.

 

 

 

 

5/ Nettoie ton système avec Jv16 powertools et Easycleaner

 

 

Easycleaner

 

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

 

 

 

Jv16 powertools

 

-Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

 

 

6/ Fais un scan avec Ewido:

 

- Lance un "scan complet"

- Dès la première alerte, signalant un objet infecté, coche la case " Effectuer cette action avec toutes les infections"

- A la fin du scan, sauve le rapport

- Vide la quarantaine

 

 

 

7/ Répète l'étape 5/

 

 

 

8/ Redémarre en mode normal, poste le rapport d'ewido ainsi qu'un nouveau rapport hijackthis

 

 

 

Bonne chance

Modifié le 4 mars 2006 par tornado