Analyse rapport Hijackthis - suite ?

[spreeka]

Bonjour, j'ai effectué la procédure de prénettoyage et voici mon rapport hijackthis.

 

Qu'est ce je dois faire après ? Merci

 

Logfile of HijackThis v1.99.1

Scan saved at 16:10:29, on 30/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\Cpqdiag\Cpqdfwag.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\atiptaxx.exe

C:\Program Files\Compaq\EAB\EabServr.exe

C:\WINDOWS\system32\LXSUPMON.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Sagem - Wi-Fi USB 802.11g\WLANUTL.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SYSTEM32\cidaemon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program

 

Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} -

 

C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} -

 

C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll (file missing)

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start

O4 - HKLM\..\Run: [srmclean] C:\Documents and Settings\cpqs\scom\srmclean.exe

O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe

O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN

O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

O4 - HKLM\..\Run: [EmailSpeak] C:\Program Files\MailSpeaker\MailSpeaker.exe

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\Cpqdiag\CpqDfwAg.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat

 

7.0\Reader\reader_sl.exe

O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?

O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm

O8 - Extra context menu item: E&xport to Microsoft Excel -

 

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: E&xporter vers Microsoft Excel -

 

res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Sites Perso - {06FE5D05-8F11-11d2-804F-00105A133818} -

 

http://compaqnet.ifrance.com/heberg/accueil (file missing)

O9 - Extra 'Tools' menuitem: Compaq France - {06FE5D05-8F11-11d2-804F-00105A133818} -

 

http://compaqnet.ifrance.com/heberg/accueil (file missing)

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

 

C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

 

Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

 

Files\Messenger\msmsgs.exe

O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll

O16 - DPF: Interface Chat Voila - http://chat14.x-echo.com/version3/Applet/vchatsign.cab

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: Yahoo! Blackjack - http://download.games.yahoo.com/games/clients/y/jt0_x.cab

O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct0_x.cab

O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt1_x.cab

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) -

 

http://www.cult3d.com/download/cult.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -

 

http://207.188.7.150/022a5a9af7db8a76d914/...RdxIE601_fr.cab

O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} -

 

http://toolbar.google.com/data/fr/big/1.1....g/GoogleNav.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -

 

http://a840.g.akamai.net/7/840/537/2004033...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -

 

http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -

 

http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) -

 

http://www.gamespot.com/KDX22/download/kdx.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F8D42242-A544-4591-BB30-87BA840C5E19}: NameServer =

 

193.95.93.77,193.95.66.10

O18 - Protocol: msell - {E90F00EC-3694-11D2-99FE-00104B2D62CC} -

 

C:\PROGRA~1\FICHIE~1\MICROS~1\REFERE~1\MSELL.dll

O20 - AppInit_DLLs: FHook.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil

 

Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe"

 

/service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe"

 

/service (file missing)

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Compaq Remote Diagnostics Enabling Agent (CpqDfwWebAgent) - Compaq Computer Corporation -

 

C:\WINDOWS\Cpqdiag\Cpqdfwag.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

[Thanos]

re

 

pourquoi ouvrir un autre sujet ?on risque de perdre le fil de la discussion!!bon c'est pas grave,continuons sur celle ci stp.

As tu bien utilisé Antivir comme préconnisé dans la procédure? parce que rien n'a été éliminé! Bon allons-y =>

 

Une question: est ce que tu as installé un logiciel nommé ""SurfinGuard / SurfinShield" ?

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

-Télécharge la version d'essai d'Ewido:ici :

et installe le (important: pendant l'installation, sur la page "Additional Options"

décoche les deux options "Install background guard" et "Install scan via context

menu")Met le à jour.Ne scanne pas le pc maintenant,ferme le programme!

 

Étape 1:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 2:

 

* Passe par Ajouter/supprimer des programmes (Panneau de Configuration) et désinstalle les programmes suivant:

 

DAP=> nid à spywares!

 

Étape 3:

 

* Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

 

O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm

 

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab

 

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

-Ferme tous les programmes et clique sur "Fix Checked"

 

Étape 4:

 

*Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!=>

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

*Supprime le fichier en gras dans C:\WINDOWS\system:

 

C:\WINDOWS\system\smss.exe

NOTE => ATTENTION DE NE PAS SUPPRIMER LE FICHIER smss.exe DANS LE REPERTOIRE C:\WINDOWS\system32 CAR CELUI CI EST LEGITIME ET IMPORTANT!!

 

*Supprime le fichier en gras dans C:\WINDOWS\system32:

 

C:\WINDOWS\system32\nvsvcd.exe

 

*Supprime le dossier en gras dans C:\Program Files:

 

C:\Program Files\DAP

 

*Vide la corbeille.

 

Étape 5:

 

*Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

Si tu utilises Firefox:

 

ouvre Firefox=>menu Outils=>Options=> Vie Privée=> Cookies=>clique sur le bouton "Supprimer les cookies".

 

Étape 6:

 

-vas dans le menu démarrer executer et tu tapes :cmd

 

dans la boite de dialogue qui s'ouvre, tu tapes :

sc stop Windows Log => clique sur [entrée]

puis

sc delete Windows Log => clique sur [entrée]Un message t'avertis du succès de l'opération

 

Quitte l'invite de commandes.

 

Étape 7:

 

* Lance Ewido et clique sur "scanner" puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut "Supprimer" (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauve le rapport (Fichier/Enregistrer sous...)

 

Étape 8:

 

* Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification ainsi que le rapport d'Ewido

 

note: si tu veux remplacer DAP, télécharge plutôt celui ci=>

Free Download Manager:

http://www.freedownloadmanager.org/download.htm

Modifié le 1 juin 2006 par charles ingals

[spreeka]

L'étape 6 ne se réalise pas :

 

sc stop Windows Log => clique sur [entrée]

puis

sc delete Windows Log => clique sur [entrée]

 

Un message m'avertit dans 2 cas que cette commande n'est pas spécifié ni installé

 

Puis quand je lance Eiwido il se bloque à 20% environ du scan . est ce normal que dois je faire ?

 

voici le nouveau rapport hijackthis quans même

 

Logfile of HijackThis v1.99.1

Scan saved at 19:13:43, on 30/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\Cpqdiag\Cpqdfwag.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\atiptaxx.exe

C:\Program Files\Compaq\EAB\EabServr.exe

C:\WINDOWS\system32\LXSUPMON.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Sagem - Wi-Fi USB 802.11g\WLANUTL.exe

C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\WINDOWS\SYSTEM32\cidaemon.exe

C:\Program Files\ewido anti-malware\SecuritySuite.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll (file missing)

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start

O4 - HKLM\..\Run: [srmclean] C:\Documents and Settings\cpqs\scom\srmclean.exe

O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe

O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN

O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

O4 - HKLM\..\Run: [EmailSpeak] C:\Program Files\MailSpeaker\MailSpeaker.exe

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\Cpqdiag\CpqDfwAg.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Sites Perso - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)

O9 - Extra 'Tools' menuitem: Compaq France - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll

O16 - DPF: Interface Chat Voila - http://chat14.x-echo.com/version3/Applet/vchatsign.cab

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: Yahoo! Blackjack - http://download.games.yahoo.com/games/clients/y/jt0_x.cab

O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct0_x.cab

O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt1_x.cab

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/022a5a9af7db8a76d914/...RdxIE601_fr.cab

O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/fr/big/1.1....g/GoogleNav.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F8D42242-A544-4591-BB30-87BA840C5E19}: NameServer = 193.95.93.77,193.95.66.10

O18 - Protocol: msell - {E90F00EC-3694-11D2-99FE-00104B2D62CC} - C:\PROGRA~1\FICHIE~1\MICROS~1\REFERE~1\MSELL.dll

O20 - AppInit_DLLs: FHook.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Compaq Remote Diagnostics Enabling Agent (CpqDfwWebAgent) - Compaq Computer Corporation - C:\WINDOWS\Cpqdiag\Cpqdfwag.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

[Thanos]

salut

 

Voilà pourquoi je te disait de ne pas ouvrir plusieurs message pour la même discussion : Malekal_Morte t'a répondu sur l'autre topic que tu as ouvert ici=> http://forum.zebulon.fr/index.php?showtopi...=0entry749411

les analyses peuvent prendre du temps, et Malekal_Morte a du coup perdu le sien

 

Bon ton rapport ne montre plus d'infections, peux tu poursuivre comme ceci=>

 

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.

 

Si le scan ne fonctionne pas, fais celui là=>

 

Fais un scan en ligne avec Kaspersky WebScanner

Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".

Le scan va commencer.Poste le rapport qui sera généré stp.

 

@+

[spreeka]

Salut et merci pour tt,

 

Voici le rapport de Kaspersky

 

KASPERSKY ON-LINE SCANNER - RAPPORT

mercredi 31 mai 2006 16:11:39

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Version de Kaspersky On-line Scanner: 5.0.78.0

Dernière mise à jour de la base antivirus Kaspersky : 31/05/2006

Enregistrements dans la base antivirus Kaspersky : 185521

Paramètres d'analyse

Analyser avec la base antivirus suivante standard

Analyser les archives vrai

Analyser les bases de messagerie. vrai

Cible de l'analyse Poste de travail

A:\

C:\

D:\

Statistiques de l'analyse

Total d'objets analysés : 93480

Nombre de virus trouvés 2

Nombre d'objets infectés 8

Nombre d'objets suspects 0

Durée de l'analyse 03:49:23

 

Nom de l'objet infecté Nom du virus Dernière action

C:\Documents and Settings\All Users\Documents\SOFT\Worm\kazaap-3.7.exe/stream/data0005/data0002 Infecté: Trojan-Clicker.Win32.VB.gs ignoré

C:\Documents and Settings\All Users\Documents\SOFT\Worm\kazaap-3.7.exe/stream/data0005 Infecté: Trojan-Clicker.Win32.VB.gs ignoré

C:\Documents and Settings\All Users\Documents\SOFT\Worm\kazaap-3.7.exe/stream Infecté: Trojan-Clicker.Win32.VB.gs ignoré

C:\Documents and Settings\All Users\Documents\SOFT\Worm\kazaap-3.7.exe NSIS: infecté - 3 ignoré

C:\Program Files\Overnet\incoming\ACAD OFFICE XP PROFESSIONAL + CRACK + ACTIVATOR.exe Infecté: Trojan-Proxy.Win32.Horst.bd ignoré

C:\Program Files\Overnet\incoming\Office XP Crack Patch Serial Keygen.exe Infecté: Trojan-Proxy.Win32.Horst.bd ignoré

C:\Program Files\Overnet\incoming\office xp_keygen_crack_patch.exe Infecté: Trojan-Proxy.Win32.Horst.bd ignoré

C:\System Volume Information\_restore{0E146069-ED9D-439E-9989-CCF268F6A6C3}\RP126\A0067527.exe Infecté: Trojan-Proxy.Win32.Horst.bd ignoré

Analyse terminée.

 

A+

[Thanos]

salut spreeka

 

Bon les résultats du scan chez Kaspersky en ajoutent une couche

Sérieusement spreeka , débarrasse toi de tout ces cracks et serials qui poluent ton pc!!

Si tu regardes bien : chaque fichier infecté est un crack!!Prends garde à ne pas infecter le pc des amis en envoyant des fichiers vérolés!!tu risques de faire de ton pc un pc zombie!lis ceci pour t'informer=>

http://www.futura-sciences.com/news-guerre...claree_6404.php

 

La morale étant à présent terminée (pour ton bien!) on nettoie =>

 

Étape 1:

 

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit sur le fichier=> extraire tout).

- Tu dois obtenir sur ton bureau,un dossier nommé clean.

 

- as tu bien scanné ton pc avec Ewido en mode sans échec?(important!)

si ce n'est pas le cas, met le à jour et ferme le programme.

 

Étape 2:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 3:

 

* Elimine les fichiers suivants:

 

C:\Documents and Settings\All Users\Documents\SOFT\Worm\kazaap-3.7.exe

 

C:\Program Files\Overnet\incoming\ACAD OFFICE XP PROFESSIONAL + CRACK + ACTIVATOR.exe

 

C:\Program Files\Overnet\incoming\Office XP Crack Patch Serial Keygen.exe

 

C:\Program Files\Overnet\incoming\office xp_keygen_crack_patch.exe

 

note: je serais presque tenté de dire: élimine le dossier C:\Program Files\Overnet\incoming....

(j'imagine que ce le restant de fichiers dans ce dossier sont du même style?)

 

Étape 4:

 

* Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

Étape 5:

 

- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

 

Étape 6:

 

* Lance Ewido et clique sur "scanner" puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut "Supprimer" (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauve le rapport (Fichier/Enregistrer sous...)

 

Étape 7:

 

*Redémarre normalement et poste le rapport d'Ewido ainsi que le rapport généré par clean :

tu le trouvera en faisant un double clic sur le disque C / => ouvre le fichier nommé rapport_clean.txt et copie/colle le contenu ici .

 

Deux remarques:

 

- est ce que tu as installé un logiciel nommé ""SurfinGuard / SurfinShield" ?

 

- Si le scan avec Ewido pose problème, fais un scan avec ce très bon utilitaire (que tu vas garder si tu veux) en mode sans échec après l'avoir mis à jour:

 

-télécharge SpyBot-Search & Destroy:

http://spybot.safer-networking.de/fr/download/index.html

-l'installer et le configurer comme dans ce lien=>

http://www.zebulon.fr/articles/spybot_1.php

(n'installe pas le Teatimer tout de suite! ca gênerait la désinfection!)

 

* Lance Spybot.Sur la page d'accueil , clique sur "Vérifier tout"

Patiente le temps du scan. Lorsque le scan est fini, clique sur "Corriger les problèmes" pour éliminer les espions.

Sauvegarde le résultat du scan comme ceci=>

- Clique sur la liste de malwares trouvés avec le bouton droit de ta souris

- Dans le menu, choisis : "Sauver tout le rapport dans le fichier".

- Une fenêtre s'ouvre, clique sur le bouton "Enregistrer".

-Quitte le programme.

le rapport de Spybot, que tu trouveras dans => C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Logs .Le rapport à poster se nomme Fixes 060411(date du jour) ...txt

 

@+

[spreeka]

Tout d'abord merci pout on aide. Voila, la situation est ainsi maintenant :

 

1. J'ai éliminé les quelques fichiers que tu m'as indiqué

 

2. Je n'arrive pas à télécharger clean.zip du lien indiqué,

 

3. ni Surfinguard qui ne veut pas s'installer après téléchargement

 

4. Ewido se bloque toujours à l'analyse du fichier suivant : [172]VM_7FFE0000 et l'analyse ne s'achève pas

 

5. J'ai effectué le scan Spybot & Destroy, voici le rapport :

 

--- Report generated: 2006-06-01 14:57 ---

 

RealDownloadExpress: Root class (Clé du registre, fixed)

HKEY_LOCAL_MACHINE\Software\Classes\RealDownloadExpress.IE

 

RealDownloadExpress: Root class (Clé du registre, fixed)

HKEY_LOCAL_MACHINE\Software\Classes\RealDownloadExpress.IE.1

 

RealDownloadExpress: Class ID (Clé du registre, fixed)

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{56336BCB-3D8A-11d6-A00B-0050DA18DE71}

 

RealDownloadExpress: Class ID (Clé du registre, fixed)

HKEY_CLASSES_ROOT\TypeLib\{FDF5CDE5-17A6-40B3-A544-A8527AE8B243}

 

MyWay.MyBar: Réglages (Clé du registre, fixed)

HKEY_LOCAL_MACHINE\SOFTWARE\MyWay

 

MyWay.MyBar: Réglages globaux (Clé du registre, fixing failed)

HKEY_LOCAL_MACHINE\Software\MyWay\myBar

 

NewDotNet: Réglages utilisateur (Clé du registre, fixed)

HKEY_USERS\.DEFAULT\Software\new.net

 

NewDotNet: Réglages utilisateur (Clé du registre, fixed)

HKEY_USERS\S-1-5-18\Software\new.net

 

Win32.Agent.xv: Service Système (Clé du registre, fixed)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log

 

Win32.Agent.xv: Service Système (Clé du registre, fixed)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log

 

Win32.Agent.xv: Service Système (Clé du registre, fixed)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log

 

Avenue A, Inc.: Cookie traceur (Firefox: default) (Cookie, fixed)

 

 

DoubleClick: Cookie traceur (Firefox: default) (Cookie, fixed)

 

 

MediaPlex: Cookie traceur (Firefox: default) (Cookie, fixed)

 

 

CoreMetrics: Cookie traceur (Firefox: default) (Cookie, fixed)

 

 

 

--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

 

2005-05-31 blindman.exe (1.0.0.1)

2005-05-31 SpybotSD.exe (1.4.0.3)

2005-05-31 TeaTimer.exe (1.4.0.2)

2006-06-01 unins000.exe (51.41.0.0)

2005-05-31 Update.exe (1.4.0.0)

2006-02-06 advcheck.dll (1.0.2.0)

2005-05-31 aports.dll (2.1.0.0)

2005-05-31 borlndmm.dll (7.0.4.453)

2005-05-31 delphimm.dll (7.0.4.453)

2005-05-31 SDHelper.dll (1.4.0.0)

2006-02-20 Tools.dll (2.0.0.2)

2005-05-31 UnzDll.dll (1.73.1.1)

2005-05-31 ZipDll.dll (1.73.2.0)

2006-05-26 Includes\Cookies.sbi (*)

2006-05-26 Includes\Dialer.sbi (*)

2006-05-26 Includes\Hijackers.sbi (*)

2006-05-26 Includes\Keyloggers.sbi (*)

2004-11-29 Includes\LSP.sbi (*)

2006-05-26 Includes\Malware.sbi (*)

2006-05-26 Includes\PUPS.sbi (*)

2006-05-26 Includes\Revision.sbi (*)

2006-05-26 Includes\Security.sbi (*)

2006-05-26 Includes\Spybots.sbi (*)

2005-02-17 Includes\Tracks.uti

2006-05-26 Includes\Trojans.sbi (*)

 

Voilà, decidemment on ne voit pas encore le bout du tunnel

 

Merci encore pour ton aide

[Thanos]

salut spreeka

 

2. Je n'arrive pas à télécharger clean.zip du lien indiqué,

 

3. ni Surfinguard qui ne veut pas s'installer après téléchargement

Pour clean.zip, c'est bizarre! quand je clique sur le lien le téléchargement se fait automatiquement!

As tu des soucis pour télécharger en général?

 

Pour surfinguard,je ne te demandais pas de le télécharger, mais si tu l'avais déjà sur ton pc!(parce qu'une ligne dans ton rapport hijackthis yfait référence).Inutile de le télécharger, Spybot suffira(+ la prudence ).

 

Je te rassure:on a déjà bien bossé!!Ewido ayant manifestement un problème , je vais te faire scanner ton pc avec cet utilitaire car je soupçonne quelques cochonneries encore présentes!! =>

 

Étape 1:

Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.

Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

 

Étape 2:

Voici comment mettre l'outil à jour :

 

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

 

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

 

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer.

 

Ne pas lancer le scan tout de suite !

 

Étape 3:

Redémarre en mode Sans Échec

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 4:

Du mode Sans Échec, voici comment utiliser le programme :

 

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

 

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

 

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

 

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

 

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

 

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

 

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

 

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

 

Allez courage! Spybot a déjà travaillé pour toi! avec escan on va normalement bien nettoyer.

Le scan peut être un peu long, fais le quand tu n'utilises pas le pc

[spreeka]

Bonjour charles

bon je ne désepère pas à tout nettoyer sur ce PC infecte

 

Bref j'ai fait le scan avec eScan Antivirus Toolkit.

 

Voici le rapport :

 

File C:\System Volume Information\_restore{0E146069-ED9D-439E-9989-CCF268F6A6C3}\RP107\A0048851.exe tagged as not-a-virus:AdWare.Win32.Ucmore.e. No Action Taken.

File C:\System Volume Information\_restore{0E146069-ED9D-439E-9989-CCF268F6A6C3}\RP126\A0067527.exe infected by "Trojan-Proxy.Win32.Horst.bd" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{0E146069-ED9D-439E-9989-CCF268F6A6C3}\RP131\A0069941.exe infected by "Trojan-Proxy.Win32.Horst.bd" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{0E146069-ED9D-439E-9989-CCF268F6A6C3}\RP131\A0069944.exe infected by "Trojan-Proxy.Win32.Horst.bd" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{0E146069-ED9D-439E-9989-CCF268F6A6C3}\RP131\A0069945.exe infected by "Trojan-Proxy.Win32.Horst.bd" Virus. Action Taken: File Deleted.

 

Merci pour tout et a+

[Thanos]

salut speeka

 

Escan n'a rien trouvé de mauvais en fait!! les détections faites concernent la restauration de windows,que je comptait bien te faire désactiver!

Donc pour te débarrasser de ces points de restauration infectés ,c'est très simple=>

 

pour ne pas restaurer un système vérolé en cas de problème, il faut la désactiver comme ceci=>

 

Supprime la restauration système : ( aide visuelle http://service1.symantec.com/SUPPORT/INTER...6?OpenDocument)

Cliquez sur Démarrer.

Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Cliquez sur l'onglet «Restauration du système».

Sélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Cliquez sur Appliquer.

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, cliquez sur Oui.

Cliquez sur OK, redémarrer votre PC.Faites l'opération inverse, et réactivez la restauration:un nouveau point sera automatiquement créé.

 

 

Veux tu bien refaire un dernier scan chez Kaspersky et poster le rapport?De plus, je te demanderais un rapport fait comme ceci=>

Ouvre HijackThis.

Clique sur Open Misc Tools Section

Assure toi que les deux cases de droite sont bien cochées:

* List all minor sections(Full)

* List Empty Sections(Complete)

Clique surGenerate StartupList Log

Click sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copie le et poste le ici.

 

@+ tard