Aller au contenu
ddamien63

[Win32:Zapchast-O] Please Help Me !!

Messages recommandés

Bonsoir,

Je me permet de faire appel à vous après avoir lu le formidable travail que les membres actifs de ce forum font pour aider les gens qui en ont besoin. Habituellement j'arrive à me débrouiller seul quand j'ai un souci de pc en glanant l'info sur le net mais la je suis coincé, j'ai donc vraiment besoin de vous.

En effet, depuis quelques jours, avast me signale un infection du fichier wdmfmc32.dll par le trojan Win32:Zapchast-O. Au départ, avast me disait aussi que le fichier ashDisp.exe avait été modifié et qu'il etait dangereux de continuer. J'ai donc restaurer ma partition système à l'aide de PC Cloneur 8 mais des que jai reinstallé avast, l'alerte est revenue. J'ai essayé de supprimer le fichier avec avast, manuellement avec unlocker, avec a-squared, je ne sais plus quoi faire donc si qqun peut m'aider, ça m'éviterai d'avoir à formater et tout reinstaller. De meme, si quelqu'un a été infecté et connait la source de cette infection, ça me permettrai de prevenir une eventuelle nouvelle infection.

 

En attendant un réponse de votre part, je vais continuer de me battre contre Win32:Zapchast-O.

 

Merci

Partager ce message


Lien à poster
Partager sur d’autres sites

bonjour ddamien63,

 

commence s'il te plait par suivre la procedure prelimainaire.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com . Une fois passé en mode sans echec, installer et paramétrer Antivir. Il est impératif de le configurer correctement afin de faire le meilleur scan possible --> voir la procédure ici (imprimez la) : http://speedweb1.free.fr/frames2.php?page=tuto5

 

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- désinstallation d'Antivir

 

-- terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

- Redémarrer le PC en mode normal

 

- installation et utilisation d'HijackThis

 

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

Phase 4

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

 

----------

Manière d'utiliser cette procédure au sein d'une discussion :

- cliquer sur le bouton "Répondre" (à côté de "Citer" en bas à droite du message)

- Sélectionner la partie utile du texte (entre les lignes de tirets)

- Ctrl-C pour copier dans le Presse-papier

- annuler la réponse en cliquant sur la flèche "Retour arrière" (fonction du navigateur en haut à gauche de la fenêtre)

- Ctrl-V pour coller la procédure dans un post de la nouvelle discussion

- ajouter l'information "(Source : http://forum.zebulon.fr/index.php?act=ST&f=40&t=69176 )"

- (de cette manière, vous conserverez liens et mise en page)

- (vous pouvez aussi conserver la procédure dans un fichier texte -avec les balises- sur votre disque dur).

 

 

@+ et bon courage :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Ca te rappelle pas quelque chose hin Bruce lee?? :P

 

 

ten fais pas ddamien63 il vient de men débarrasser :P

ten verra bientot la fin

Reencore merci bruce

 

@+

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci de m'aider.

 

J'ai fait ce que tu m'a demandé mais j'avais désinstallé avast avant d'installer antivir.

 

J'ai redémarré en mode sans échec et fait le scan avec antivir comme convenu.

Il a rien trouvé.

 

Ensuite je redemarre, je reinstalle avast, je fait le rapport hijackthis qui suit, apparemment rien d'anormal mais la je viens de mettre à jour avast et il retrouve ce satané trojan dans le fichier wdmfmc32.dll

 

voila le rapport :

 

Logfile of HijackThis v1.99.1

Scan saved at 11:38:38, on 10/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

E:\Avast\aswUpdSv.exe

E:\Avast\ashServ.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

E:\Diskeeper Lite\DKService.exe

E:\Alcohol\Alcohol 120\StarWind\StarWindService.exe

E:\Avast\ashMaiSv.exe

E:\Avast\ashWebSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\AGRSMMSG.exe

E:\Cloneur Expert\TrueImageMonitor.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

E:\J2SE Runtime Environment\bin\jusched.exe

E:\Avast\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

E:\Acrobat Reader\Reader\reader_sl.exe

C:\WINDOWS\system32\wuauclt.exe

E:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat Reader\ActiveX\AcroIEHelper.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\J2SE Runtime Environment\bin\ssv.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\FlashGet\jccatch.dll

O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Cloneur Expert Monitor] E:\Cloneur Expert\TrueImageMonitor.exe

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] E:\J2SE Runtime Environment\bin\jusched.exe

O4 - HKLM\..\Run: [avast!] E:\Avast\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: IPN2220 WLAN Configuration Utility.lnk = C:\Program Files\InProComm\IPN2220\wlan_ui.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = E:\Acrobat Reader\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html

O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O8 - Extra context menu item: Télécharger avec FlashGet - E:\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger tout avec FlashGet - E:\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\J2SE Runtime Environment\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\J2SE Runtime Environment\bin\ssv.dll

O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Avast\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - E:\Avast\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - E:\Avast\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - E:\Avast\ashWebSv.exe" /service (file missing)

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - E:\Diskeeper Lite\DKService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Alcohol\Alcohol 120\StarWind\StarWindService.exe

Partager ce message


Lien à poster
Partager sur d’autres sites

bonsoir,

 

si tu pouvais me donner le chemin d'acces de la bestiole ca m'arrangerait.

 

1/Télécharge la version d'évaluation d'Ewido:

http://www.ewido.net/en/download/

 

Installe et mets à jour.

 

Important: Pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu".

 

Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme.

 

2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

3/

demarrer/panneau de configuration/ajouts et suppresions de programmes et verifie la presence de:

 

FlashGet

 

si ce programme est present desinstalle le.

 

 

4/lance hijackthis en cliquant sur do a scan system only coche ces lignes:

 

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\FlashGet\jccatch.dll

O8 - Extra context menu item: Télécharger avec FlashGet - E:\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger tout avec FlashGet - E:\FlashGet\jc_all.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe

 

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

5/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

6/supprime ce qui est en gras:

 

E:\ FlashGet<== tout le dossier

 

7/Relance Ewido et clique sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections".

 

A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

8/redemarre en mode normal

 

9/poste le rapport d'ewido ainsi qu'un nouveau log hijackthis.

 

bon courage, et si tu as la moindre question n'hesite surtout pas :P

 

@+

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir,

 

Re-merci de me venir en aide.

 

Tout d'abord voila le chemin du fichier infecté, dixit avast :

C:\Windows\System32\wdmfmc32.dll

 

J'ai téléchargé ewido et le l'ai mis à jour puis redémarré en mode sans echec et desinstallé flashget (tu crois vraiment que qqch peut venir de lui. J'ai vérifié, je n'avais plus les lignes le concernant dans hijackthis.

J'ai pas pu faire un scan complet avec ewido, car j'avais pa mal de taff aujourd'hui mais j'ai fait sur C: et il a rien trouvé. Je fait un scan complet ce soir.

Mais ce qui m'inquiete c'est que au redemarrage en mode normal (car j'ai besoin de mon portable au bureau en permanence) ewido m'a signalé "au moins un partie du logiciel à été modifiée. merci de lancer une mise à jour en ligne pour remplacer les composants endommagés." J'ai pas pu le faire car je n'ai pas internet au bureau.

 

Et pour avas j'ai un message du meme type : "avast detected unauthorized modification of this file AshAvast.exe continuing can be dangerous. Run anyway?

 

Je serai pas la ce soir mais si tu peut encore essayer de m'aider ça serait génial.

 

Merci ciao

Partager ce message


Lien à poster
Partager sur d’autres sites

bonjour,

 

on va se debarrassé de ta bestiole:

 

 

-Télécharge la dernière version de Killbox ici=>

 

http://www.downloads.subratam.org/KillBox.zip

 

-Redémarre en mode sans échec pour ne pas être gêné par un résident.

 

-Lance Pocketkillbox,choisis l'option Delete on reboot

 

Copie le chemin de fichier entier, en gras ci-bas, et colle le dans la boîte Full Path of File to Delete :

 

C:\Windows\System32\wdmfmc32.dll

 

-Cliquer sur la croix blanche sur fond rouge:

 

« File will be Deleted on Next Reboot » répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » répondre OUI

 

 

 

supprime ensuite ce dossier en gras C:\ !KillBox

 

refais un scan avec avast et dis moi ce qu'il en est

 

 

@+

Partager ce message


Lien à poster
Partager sur d’autres sites

j'essaye killbox de suite mais je te met quand meme le rapport de ewido et le nouveau log hijackthis :

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 22:10:59, 11/05/2006

+ Somme de contrôle: 2B2605

 

+ Résultats du scan:

 

:mozilla.6:C:\Documents and Settings\Damien Delorme\Application Data\Mozilla\Firefox\Profiles\b4kj1bl9.default\cookies.txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

:mozilla.12:C:\Documents and Settings\Damien Delorme\Application Data\Mozilla\Firefox\Profiles\b4kj1bl9.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

:mozilla.35:C:\Documents and Settings\Damien Delorme\Application Data\Mozilla\Firefox\Profiles\b4kj1bl9.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.36:C:\Documents and Settings\Damien Delorme\Application Data\Mozilla\Firefox\Profiles\b4kj1bl9.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.37:C:\Documents and Settings\Damien Delorme\Application Data\Mozilla\Firefox\Profiles\b4kj1bl9.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

Logfile of HijackThis v1.99.1

Scan saved at 22:15:11, on 11/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

E:\Avast\aswUpdSv.exe

E:\Avast\ashServ.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

E:\Diskeeper Lite\DKService.exe

E:\ewido anti-malware\ewidoctrl.exe

E:\Alcohol\Alcohol 120\StarWind\StarWindService.exe

E:\Avast\ashMaiSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

E:\Avast\ashWebSv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\AGRSMMSG.exe

E:\Cloneur Expert\TrueImageMonitor.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

E:\J2SE Runtime Environment\bin\jusched.exe

E:\Avast\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\InProComm\IPN2220\wlan_ui.exe

E:\Acrobat Reader\Reader\reader_sl.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\WINDOWS\system32\wuauclt.exe

E:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat Reader\ActiveX\AcroIEHelper.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\J2SE Runtime Environment\bin\ssv.dll

O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Cloneur Expert Monitor] E:\Cloneur Expert\TrueImageMonitor.exe

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] E:\J2SE Runtime Environment\bin\jusched.exe

O4 - HKLM\..\Run: [avast!] E:\Avast\ashDisp.exe

O4 - HKLM\..\Run: [Anti-Blaxx Manager] E:\Anti-Blaxx\Anti-Blaxx.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: IPN2220 WLAN Configuration Utility.lnk = C:\Program Files\InProComm\IPN2220\wlan_ui.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = E:\Acrobat Reader\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html

O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\J2SE Runtime Environment\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\J2SE Runtime Environment\bin\ssv.dll

O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Avast\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - E:\Avast\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - E:\Avast\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - E:\Avast\ashWebSv.exe" /service (file missing)

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - E:\Diskeeper Lite\DKService.exe

O23 - Service: ewido security suite control - ewido networks - E:\ewido anti-malware\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Alcohol\Alcohol 120\StarWind\StarWindService.exe

Partager ce message


Lien à poster
Partager sur d’autres sites

Encore désolé de te redemander de l'aide mais ça ne marche toujours pas.

J'ai refait un scan avec antivir en mode sans echec mais ensuite je n'ai pas pu le desinstaller car le fichier avait sois disant été corrompu et maintenant qantiviruand je redémarre, avast me dit que ses fichiers ont été corrompu et antivir aussi.

J'ai peu de n'avoir d'autre solution que de formater. Tu en penses quoi?

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

×