Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

Bonjour Charles Ingals,

apparemment les quelques manips déjà effectuées m'ont débarrassé de ces 2 fichiers jvsss.exe et artm_new.dll

 

Je n'ai malgré tes bonnes explications pas pu les trouver

 

@+

 

Hum j'avais pas vu ton message sur le forum sécurité, je vais poster

Posté(e)

Quand fixwareout redémarre le pc je me retrouve dans la position de départ :

 

pour mémoire

 

"L'ordinateur reboote sans cesse même sans ouverture de session utilisateur

 

Le message apparaissant est "Arrêt du système blablabla initié par AUTORITE NT\SYSTEM temps restant blabli blabla....

 

Message Windows doit maintenant redémarrer car le service lanceur de processus serveur DCOM s'est terminé de façon inattendue"

 

La seule solution pour travailler sur le PC est de modifier l'horloge windows pour donner plus de temps au système avant de rebooter."

 

Or fixwareout n'a pas le temps de fixer le système au redémarrage puisque celui-ci est plus lent et ne me donne pas accès à l'horloge à temps (je n'ai que 60 secondes pour le faire) et donc le système s'arrête et reboote.

 

Merci de ton aide précieuse @+

As-tu fais les manipulations au dela de FixWareout ?

ewido, clean etc... ?

si ce n'est pas le cas, fais le.

 

Sinon copie/colle un nouveau rapport hijackThis.

Posté(e)

As-tu fais les manipulations au dela de FixWareout ?

ewido, clean etc... ?

si ce n'est pas le cas, fais le.

 

Sinon copie/colle un nouveau rapport hijackThis.

 

 

Bonsoir, après les manips voici les résultats:

 

voici le nouveau log de hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 00:29:13, on 27/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\VeriSign\NAVI\naviagent.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Microsoft Office\Office\WINWORD.EXE

C:\Documents and Settings\Denis\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {78364D99-A240-4dff-B11A-67E448373045} - C:\WINDOWS\system32\ipv4mons.dll (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [soltek] C:\WINDOWS\System32\autorun.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\av_fw\Anti-Spyware\fsaswreg.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe

O4 - HKCU\..\Run: [MP3Chansons] C:\Documents and Settings\Denis\Application Data\MP3Chansons[1].exe t

O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientIn...2/OCI/setup.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/cd/1,0,3,8...AccesMembre.cab

O16 - DPF: {DC765522-D5BE-49C9-AF5F-8C715A44BA28} (MS Investor Ticker) - http://fdl.msn.com/public/investor/v9/ticker.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...p1/imloader.cab

O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_FR_XP.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{032B0351-FAB4-40D0-9143-F883333D30B7}: NameServer = 85.255.116.123,85.255.112.89

O17 - HKLM\System\CCS\Services\Tcpip\..\{DDC086BF-B9B0-462D-8230-AD509C5D2F29}: NameServer = 85.255.116.123,85.255.112.89

O17 - HKLM\System\CS1\Services\Tcpip\..\{032B0351-FAB4-40D0-9143-F883333D30B7}: NameServer = 85.255.116.123,85.255.112.89

O17 - HKLM\System\CS2\Services\Tcpip\..\{032B0351-FAB4-40D0-9143-F883333D30B7}: NameServer = 85.255.116.123,85.255.112.89

O17 - HKLM\System\CS3\Services\Tcpip\..\{032B0351-FAB4-40D0-9143-F883333D30B7}: NameServer = 85.255.116.123,85.255.112.89

O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

O23 - Service: Microsoft Time server - Unknown owner - C:\WINDOWS\system32\timesrv.exe

O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Program Files\VeriSign\NAVI\naviagent.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

 

Voici le rapport de kaspersky online:

 

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Saturday, May 27, 2006 12:24:38 AM

Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version: 5.0.78.0

Kaspersky Anti-Virus database last update: 26/05/2006

Kaspersky Anti-Virus database records: 184641

-------------------------------------------------------------------------------

 

Scan Settings:

Scan using the following antivirus database: standard

Scan Archives: true

Scan Mail Bases: true

 

Scan Target - My Computer:

A:\

C:\

D:\

E:\

F:\

G:\

H:\

 

Scan Statistics:

Total number of scanned objects: 122421

Number of viruses found: 9

Number of infected objects: 19

Number of suspicious objects: 0

Duration of the scan process: 01:14:24

 

Infected Object Name / Virus Name / Last Action

C:\Documents and Settings\Denis\Local Settings\Application Data\Identities\{174220DF-8C77-424B-8A3E-1B0E96F12A4F}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From "Hervouet.david" <hervouet.david@tiscali.fr>][Date Wed, 23 Nov 2005 14:43:35 -0500]/UNNAMED/Isabell.zip Infected: Trojan-Downloader.Win32.Bagle.g skipped

C:\Documents and Settings\Denis\Local Settings\Application Data\Identities\{174220DF-8C77-424B-8A3E-1B0E96F12A4F}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From "Hervouet.david" <hervouet.david@tiscali.fr>][Date Wed, 23 Nov 2005 14:43:35 -0500]/UNNAMED Infected: Trojan-Downloader.Win32.Bagle.g skipped

C:\Documents and Settings\Denis\Local Settings\Application Data\Identities\{174220DF-8C77-424B-8A3E-1B0E96F12A4F}\Microsoft\Outlook Express\Éléments supprimés.dbx Mail MS Outlook 5: infected - 2 skipped

C:\System Volume Information\_restore{BE8DE81A-B74F-4FD5-890A-79E71BCCFDFD}\RP369\A0889049.exe Infected: Trojan.Win32.Agent.nl skipped

C:\System Volume Information\_restore{BE8DE81A-B74F-4FD5-890A-79E71BCCFDFD}\RP369\A0889231.exe Infected: Trojan-Proxy.Win32.Small.bo skipped

C:\System Volume Information\_restore{BE8DE81A-B74F-4FD5-890A-79E71BCCFDFD}\RP369\A0889360.exe Infected: Trojan.Win32.Agent.nl skipped

C:\System Volume Information\_restore{BE8DE81A-B74F-4FD5-890A-79E71BCCFDFD}\RP369\A0899281.exe Infected: Trojan.Win32.Agent.nl skipped

C:\System Volume Information\_restore{BE8DE81A-B74F-4FD5-890A-79E71BCCFDFD}\RP369\A0901982.exe Infected: Trojan-PSW.Win32.Sinowal.q skipped

C:\System Volume Information\_restore{BE8DE81A-B74F-4FD5-890A-79E71BCCFDFD}\RP369\A0901983.exe Infected: Trojan-Downloader.Win32.Small.csn skipped

C:\System Volume Information\_restore{BE8DE81A-B74F-4FD5-890A-79E71BCCFDFD}\RP369\A0901984.dll Infected: Trojan-PSW.Win32.Sinowal.r skipped

C:\System Volume Information\_restore{BE8DE81A-B74F-4FD5-890A-79E71BCCFDFD}\RP369\A0901985.dll Infected: Trojan-PSW.Win32.Sinowal.r skipped

C:\System Volume Information\_restore{BE8DE81A-B74F-4FD5-890A-79E71BCCFDFD}\RP369\A0901986.dll Infected: Trojan-PSW.Win32.Sinowal.r skipped

C:\System Volume Information\_restore{BE8DE81A-B74F-4FD5-890A-79E71BCCFDFD}\RP369\A0901987.exe Infected: Trojan-Proxy.Win32.Agent.jw skipped

C:\System Volume Information\_restore{BE8DE81A-B74F-4FD5-890A-79E71BCCFDFD}\RP369\A0901988.exe Infected: Trojan.Win32.Agent.nl skipped

C:\System Volume Information\_restore{BE8DE81A-B74F-4FD5-890A-79E71BCCFDFD}\RP369\A0901989.dll Infected: Packed.Win32.Tibs skipped

C:\System Volume Information\_restore{BE8DE81A-B74F-4FD5-890A-79E71BCCFDFD}\RP369\A0901990.exe Infected: Packed.Win32.Tibs skipped

C:\System Volume Information\_restore{BE8DE81A-B74F-4FD5-890A-79E71BCCFDFD}\RP369\A0901991.exe Infected: Trojan.Win32.Dialer.ay skipped

C:\System Volume Information\_restore{BE8DE81A-B74F-4FD5-890A-79E71BCCFDFD}\RP369\A0903660.exe Infected: Trojan-Proxy.Win32.Small.bo skipped

C:\System Volume Information\_restore{BE8DE81A-B74F-4FD5-890A-79E71BCCFDFD}\RP369\A0904924.exe Infected: Trojan-Proxy.Win32.Small.bo skipped

 

Scan process completed.

 

 

Voici le rapport de ewido

 

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 09:00:13, 24/06/2006

+ Somme de contrôle: 51F1A4C9

 

+ Résultats du scan:

 

[296] C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll -> Proxy.Xorpix.u : Erreur durant le nettoyage

C:\Documents and Settings\Denis\Cookies\denis@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\Denis\Cookies\denis@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\Denis\Cookies\denis@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

C:\Documents and Settings\Denis\Cookies\denis@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder

C:\Documents and Settings\Denis\Cookies\denis@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder

C:\Documents and Settings\Denis\Cookies\denis@weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\Denis\Cookies\denis@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

C:\jptxftjp.exe -> Trojan.Regger.s : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

Voici le rapport de cclean

 

 

Microsoft Windows XP [version 5.1.2600]

*** SUPPRESSION DES FICHIERS

 

 

 

*** Suppressions de trojans/vers sur...

C:\WINDOWS\eHome\* FOUND

C:\WINDOWS\unvise32qt.exe FOUND

C:\WINDOWS\system32\config\systemprofile\Bureau\* FOUND

C:\WINDOWS\system32\slrundll.exe FOUND

C:\WINDOWS\system32\wextract.exe FOUND

C:\WINDOWS\Prefetch\* FOUND

"C:\DOCUME~1\Denis\LOCALS~1\Temp\*" FOUND

"C:\DOCUME~1\Denis\LOCALS~1\Temp\*" FOUND

"C:\WINDOWS\DOWNLOADED PROGRAM FILES\*" FOUND

"C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll" FOUND

 

 

*** Suppressions des adaware dans Program Files...

 

 

Seul le rapport fixwareout est manquant pour les raisons précédemment expliquées.

Posté(e)

Désinstalle ewido

 

Sur HijackThis, coche ces lignes :

O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe

O4 - HKCU\..\Run: [MP3Chansons] C:\Documents and Settings\Denis\Application Data\MP3Chansons[1].exe t

O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/cd/1,0,3,8...AccesMembre.cab

O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_FR_XP.cab

--> clic sur fix checked

 

-- Ouvre le poste de travail

-- Clic sur le menu options en haut à droite

-- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut

-- Coche dans la liste "Afficher les fichiers cachés"

-- Décoche "Masquer les fichiers du système"

 

Supprime ces fichiers/dossiers si existants :

c:\program files\180solutions\

C:\Documents and Settings\Denis\Application Data\MP3Chansons[1].exe

 

Peux-tu réessayer FixWareout stp et me dire si ça passe.

 

Télécharge le FixWareout d'un de ces deux sites sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

 

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

Au final, poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

Posté(e)

Désinstalle ewido

 

Sur HijackThis, coche ces lignes :

O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe

O4 - HKCU\..\Run: [MP3Chansons] C:\Documents and Settings\Denis\Application Data\MP3Chansons[1].exe t

O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/cd/1,0,3,8...AccesMembre.cab

O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_FR_XP.cab

--> clic sur fix checked

 

-- Ouvre le poste de travail

-- Clic sur le menu options en haut à droite

-- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut

-- Coche dans la liste "Afficher les fichiers cachés"

-- Décoche "Masquer les fichiers du système"

 

Supprime ces fichiers/dossiers si existants :

c:\program files\180solutions\

C:\Documents and Settings\Denis\Application Data\MP3Chansons[1].exe

 

Peux-tu réessayer FixWareout stp et me dire si ça passe.

 

Télécharge le FixWareout d'un de ces deux sites sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

 

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

Au final, poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

 

 

 

Salut, malekal morte!

 

je commence à peter un cable avec ce virus!!

 

Je n'ai pas réussi à faire le fixwareout en entier car l'arrêt du système est plus rapide. et comme fixwareout au redémarrage ne laisse ni accès à l'horloge ni l'accès au menu "démarrer" et "éxecuter : shutdown -a" qui est très efficace soit dit en passant, l'ordinateur reboote avant que fixwareout ait le temps de finir.

 

comme tu peux le voir malgré le fait que je l'avais fixé par hijackthis nous avons toujours notre fameux artm_new.dll en ligne 20 qui a toujours été détecté par tous comme dangereux et que je n'arrive pas à trouver sur l'ordi malgré le fait d'avoir accès aux fichiers système cachés etc...

 

Si ça peut être d'une aide quelconque, kaspersky fonctionne désormais et ne trouve aucun virus aux analyses faites mais est souvent attaqué par des attaques réseau (1276 pour la seule journée d'hier)

 

La derniere attaque réseau affichée a été celle de intrusion.win.DCOM.exploit depuis l'adresse 82.254.165.235. Je le mentionne car c'est un message m'indiquant que le processus DCOM a fait une erreur et nécessite le redémarrage du système. Les 2 ont ils un lien?

 

Pour mémoire kaspersky est remis en route depuis le redémarrage de l'ordi il y a 10 mn environs et nous en sommes à 56 attaques de réseau

 

 

Voici le log généré par hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 10:22:16, on 27/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\VeriSign\NAVI\naviagent.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\PROGRA~1\Wanadoo\Watch.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Denis\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {78364D99-A240-4dff-B11A-67E448373045} - C:\WINDOWS\system32\ipv4mons.dll (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [soltek] C:\WINDOWS\System32\autorun.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\av_fw\Anti-Spyware\fsaswreg.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe

O4 - HKCU\..\Run: [MP3Chansons] C:\Documents and Settings\Denis\Application Data\MP3Chansons[1].exe t

O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientIn...2/OCI/setup.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {DC765522-D5BE-49C9-AF5F-8C715A44BA28} (MS Investor Ticker) - http://fdl.msn.com/public/investor/v9/ticker.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...p1/imloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{032B0351-FAB4-40D0-9143-F883333D30B7}: NameServer = 85.255.116.123,85.255.112.89

O17 - HKLM\System\CCS\Services\Tcpip\..\{DDC086BF-B9B0-462D-8230-AD509C5D2F29}: NameServer = 85.255.116.123,85.255.112.89

O17 - HKLM\System\CS1\Services\Tcpip\..\{032B0351-FAB4-40D0-9143-F883333D30B7}: NameServer = 85.255.116.123,85.255.112.89

O17 - HKLM\System\CS2\Services\Tcpip\..\{032B0351-FAB4-40D0-9143-F883333D30B7}: NameServer = 85.255.116.123,85.255.112.89

O17 - HKLM\System\CS3\Services\Tcpip\..\{032B0351-FAB4-40D0-9143-F883333D30B7}: NameServer = 85.255.116.123,85.255.112.89

O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

O23 - Service: Microsoft Time server - Unknown owner - C:\WINDOWS\system32\timesrv.exe

O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Program Files\VeriSign\NAVI\naviagent.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

 

 

Merci de ton aide précieuse et @+

Posté(e)

C'est cool pour la ligne 20, le fichier est encore là ?

tu peux l'envoyer à cette adresse : http://siri.urz.free.fr/upload/ ?

 

Affiche les fichiers cachés pour le voir (je suis pas sûr que tu l'ais fait ):

-- Ouvre le poste de travail

-- Clic sur le menu options en haut à droite

-- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut

-- Coche dans la liste "Afficher les fichiers cachés"

-- Décoche "Masquer les fichiers du système"

 

Tu n'as pas désinstallé ewido, du coup soit les manips avec HijackThis n'ont pas marché, soit tu les as pas faites.

 

Désinstalle ewido!

 

- Demarrer / executer / tape services.msc

- Cherche Microsoft Time server dans la liste

- Double clic dessus, positionne le type de démarrage sur désactiver

 

Sur HijackThis, coche ces lignes :

O2 - BHO: (no name) - {78364D99-A240-4dff-B11A-67E448373045} - C:\WINDOWS\system32\ipv4mons.dll (file missing)

O4 - HKCU\..\Run: [MP3Chansons] C:\Documents and Settings\Denis\Application Data\MP3Chansons[1].exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{032B0351-FAB4-40D0-9143-F883333D30B7}: NameServer = 85.255.116.123,85.255.112.89

O17 - HKLM\System\CCS\Services\Tcpip\..\{DDC086BF-B9B0-462D-8230-AD509C5D2F29}: NameServer = 85.255.116.123,85.255.112.89

O17 - HKLM\System\CS1\Services\Tcpip\..\{032B0351-FAB4-40D0-9143-F883333D30B7}: NameServer = 85.255.116.123,85.255.112.89

O17 - HKLM\System\CS2\Services\Tcpip\..\{032B0351-FAB4-40D0-9143-F883333D30B7}: NameServer = 85.255.116.123,85.255.112.89

O17 - HKLM\System\CS3\Services\Tcpip\..\{032B0351-FAB4-40D0-9143-F883333D30B7}: NameServer = 85.255.116.123,85.255.112.89

O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll

--> clic sur fix checked

 

 

Ensuite télécharges et installes :

KillBox

Aide Killbox

 

sélectionne entièrement la liste ci-dessous dans le cadre :

 

C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll

C:\Documents and Settings\Denis\Application Data\MP3Chansons[1].exe

 

---> en ayant la liste sélectionnée, fais clic droit / copier

 

Ouvres killbox

- Sélectionne "delete on reboot"

- Clique sur le menu "File" -> "Past from clip board"

- Clique sur la croix rouge et et blanche

- Répond yes et laisse redémarrer ton pc.

N'hésite pas à consulter l'Aide killbox

 

Quand le redémarrage est effectué, Vérifie que ces fichiers ne sont plus présents :

C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll

C:\Documents and Settings\Denis\Application Data\MP3Chansons[1].exe

Merci de signaler s'ils sont présents ou non

 

Recopie/colle un rapport HijackThis.

Posté(e)

C'est cool pour la ligne 20, le fichier est encore là ?

tu peux l'envoyer à cette adresse : http://siri.urz.free.fr/upload/ ?

 

Affiche les fichiers cachés pour le voir (je suis pas sûr que tu l'ais fait ):

-- Ouvre le poste de travail

-- Clic sur le menu options en haut à droite

-- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut

-- Coche dans la liste "Afficher les fichiers cachés"

-- Décoche "Masquer les fichiers du système"

 

Tu n'as pas désinstallé ewido, du coup soit les manips avec HijackThis n'ont pas marché, soit tu les as pas faites.

 

Désinstalle ewido!

 

- Demarrer / executer / tape services.msc

- Cherche Microsoft Time server dans la liste

- Double clic dessus, positionne le type de démarrage sur désactiver

 

Sur HijackThis, coche ces lignes :

O2 - BHO: (no name) - {78364D99-A240-4dff-B11A-67E448373045} - C:\WINDOWS\system32\ipv4mons.dll (file missing)

O4 - HKCU\..\Run: [MP3Chansons] C:\Documents and Settings\Denis\Application Data\MP3Chansons[1].exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{032B0351-FAB4-40D0-9143-F883333D30B7}: NameServer = 85.255.116.123,85.255.112.89

O17 - HKLM\System\CCS\Services\Tcpip\..\{DDC086BF-B9B0-462D-8230-AD509C5D2F29}: NameServer = 85.255.116.123,85.255.112.89

O17 - HKLM\System\CS1\Services\Tcpip\..\{032B0351-FAB4-40D0-9143-F883333D30B7}: NameServer = 85.255.116.123,85.255.112.89

O17 - HKLM\System\CS2\Services\Tcpip\..\{032B0351-FAB4-40D0-9143-F883333D30B7}: NameServer = 85.255.116.123,85.255.112.89

O17 - HKLM\System\CS3\Services\Tcpip\..\{032B0351-FAB4-40D0-9143-F883333D30B7}: NameServer = 85.255.116.123,85.255.112.89

O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll

--> clic sur fix checked

Ensuite télécharges et installes :

KillBox

Aide Killbox

 

sélectionne entièrement la liste ci-dessous dans le cadre :

---> en ayant la liste sélectionnée, fais clic droit / copier

 

Ouvres killbox

- Sélectionne "delete on reboot"

- Clique sur le menu "File" -> "Past from clip board"

- Clique sur la croix rouge et et blanche

- Répond yes et laisse redémarrer ton pc.

N'hésite pas à consulter l'Aide killbox

 

Quand le redémarrage est effectué, Vérifie que ces fichiers ne sont plus présents :

C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll

C:\Documents and Settings\Denis\Application Data\MP3Chansons[1].exe

Merci de signaler s'ils sont présents ou non

 

Recopie/colle un rapport HijackThis.

 

 

Merci de ton aide,

 

déjà le pc ne me fait plus des reboot sauvages.

 

Pour ce qui est des fichiers:

 

C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll

C:\Documents and Settings\Denis\Application Data\MP3Chansons[1].exe

 

comme tu peux le voir dans le nouveau logfile ils sont toujours présents

 

 

en faisant une recherche par windows (démarrer rechercher artm_new.dll) j'ai enfin trouvé le fichier artm_new.dll mais il ne me laisse pas le copier ni le coller pour te l'envoyer en upload. il dit qu'il est utilisé par une autre application. ça c'était avant le dernier redémarrage maintenant il ne veut plus apparaître

 

 

J'avais en effet zappé de désinstaller ewido. excuses moi

 

par contre quand je fait une recherche pour trouver

 

C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll en passant par l'arborescence du poste de travail, il ne me trouve pas de dossier "documents" dans "all users" ; même en ayant coché et décoché les options indiquées dans l'affichage comme tu me l'as expliqué.

 

je te cite

 

"Affiche les fichiers cachés pour le voir (je suis pas sûr que tu l'ais fait ):

-- Ouvre le poste de travail

-- Clic sur le menu options en haut à droite

-- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut

-- Coche dans la liste "Afficher les fichiers cachés"

-- Décoche "Masquer les fichiers du système"

 

"

 

Idem pour

 

C:\Documents and Settings\Denis\Application Data\MP3Chansons[1].exe

 

qui ne se trouve pas dans application data de Denis.

 

Voici donc le nouveau log de hijackthis

 

Logfile of HijackThis v1.99.1

Scan saved at 14:25:00, on 27/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\VeriSign\NAVI\naviagent.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\PROGRA~1\Wanadoo\Watch.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Denis\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [soltek] C:\WINDOWS\System32\autorun.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\av_fw\Anti-Spyware\fsaswreg.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe

O4 - HKCU\..\Run: [MP3Chansons] C:\Documents and Settings\Denis\Application Data\MP3Chansons[1].exe t

O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientIn...2/OCI/setup.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {DC765522-D5BE-49C9-AF5F-8C715A44BA28} (MS Investor Ticker) - http://fdl.msn.com/public/investor/v9/ticker.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...p1/imloader.cab

O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll (file missing)

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Program Files\VeriSign\NAVI\naviagent.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Posté(e) (modifié)

Désactive Securitoo-Antispyware

 

Sur HijackThis, coche ces lignes :

O4 - HKCU\..\Run: [MP3Chansons] C:\Documents and Settings\Denis\Application Data\MP3Chansons[1].exe

O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll (file missing)

--> clic sur fix checked

 

Pour le fichier artm_new.dll, il doit se trouver dans C:\!Killbox!

Peux-tu essayer de le renvoyer tjrs sur http://siri.urz.free.fr/upload/ en désactivant au préalable Kaspersky et Securitoo.

Si tu n'y arrives tjrs pas.

 

- Installe Winzip :http://www.01net.com/windows/Utilitaire/compression_et_decompression/fiches/112.html (sauf si tu l'as déjà)

- Redémarre en mode sans échec, si tu sais pas comment on fait lis ceci

- tu vas chercher ce fichier artm_new.dll, et tu le zip en mettant un mot de passe (dans le menu fichier / ajouter mot de passe)

- tu reviens en mode normal et tu envoies le zip sur http://siri.urz.free.fr/upload/

Après tu supprimes le dossier C:\!KillBox!

 

Copie/colle un nouveau rapport HijackThis.

Modifié par Malekal_morte

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...