Ben... un virus !

[Malekal_morte]

Rebonjour Denis,

 

Oui désolé, j'ai été un peu occupé.

Ton scan montre des infections (je pense pas que tu sois surpris ).

 

Ton ordinateur n'est pas à jour et donc vulnérable, instlalle ZoneAlarm, cela ne sert à rien de commencer les manipulations que je vais te donner sans l'avoir installé.

[Malekal_morte]

Voici la manipulation à effectuer en entier

Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

 

Menu Démarrer / executer et tape SC delete wins

Menu Démarrer / executer et tape SC delete winsck

 

Sur HijackThis, refais un scan et coches les lignes suivantes :

 

R3 - URLSearchHook: (no name) - {859718F8-8441-ABB0-3CD2-895D4CC214CA} - C:\WINDOWS\System32\nbvslmd.dll (file missing)

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\winsock\csrss.exe

O4 - HKLM\..\Run: [Windows Update Firewall System] winmsfw.exe

O4 - HKLM\..\Run: [security Centers] Sacurity.exe

O4 - HKLM\..\Run: [Windows Update] host.exe

O4 - HKLM\..\Run: [Windows Virtual Assistance] hpms2wtn.exe

O4 - HKLM\..\RunServices: [Windows Update Firewall System] winmsfw.exe

O4 - HKLM\..\RunServices: [security Centers] Sacurity.exe

O4 - HKLM\..\RunServices: [Windows Update] host.exe

O4 - HKLM\..\RunServices: [Windows Virtual Assistance] hpms2wtn.exe

O4 - HKCU\..\Run: [Mprr] "C:\DOCUME~1\ADMINI~1\APPLIC~1\ECURIT~1\spoolsv.exe" -vt yazb

O4 - HKCU\..\Run: [Jnbwzwoq] C:\WINDOWS\?dobe\??ool32.exe

O4 - HKCU\..\Run: [scct] "C:\WINDOWS\ICROSO~1.NET\dllhost.exe" -vt ndrv

O4 - HKCU\..\Run: [Hnoghg] C:\WINDOWS\system32\?ppPatch\t?skmgr.exe

O4 - HKCU\..\Run: [Tomo] "C:\DOCUME~1\ADMINI~1\MESDOC~1\YMBOLS~1\alg.exe" -vt ndrv

O4 - HKCU\..\Run: [Ojllxx] C:\Documents and Settings\Administrateur\Mes documents\s?mbols\w?aclt.exe

O4 - HKCU\..\Run: [Windows Virtual Assistance] hpms2wtn.exe

O4 - HKCU\..\Run: [Aaih] "C:\DOCUME~1\ADMINI~1\MESDOC~1\PPPATC~1\javaw.exe" -vt ndrv

O4 - HKCU\..\Run: [Ocy] C:\WINDOWS\system32\?racle\?ttrib.exe

O4 - HKCU\..\RunServices: [Windows Virtual Assistance] hpms2wtn.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O20 - AppInit_DLLs: C:\WINDOWS\System32\regsvr32.dll C:\WINDOWS\System32\rundll32.dll C:\WINDOWS\System32\wowexec.dll C:\WINDOWS\System32\cmd.dll

 

 

---> puis clic sur le bouton "Fix Checked"

n'hésite pas à consulter l'aide HijackThis

 

- Télécharge et installe ewido

- Mets le à jour à partir du bouton Update, ne scan pas maintenant avec.

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

 

 

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

-- Ensuite, navigue dans tes dossiers pour supprimes les dossiers, si existants :

 

 

C:\WINDOWS\?dobe\

C:\WINDOWS\ICROSO~1.NET\

C:\WINDOWS\system32\?ppPatch\

C:\WINDOWS\system32\?racle\

 

C:\Documents and Settings\Administrateur\ECURIT~1\ <-- abréviation

C:\Documents and Settings\Administrateur\Mes documents\YMBOLS~1\ <-- abréviation

C:\Documents and Settings\Administrateur\Mes documents\s?mbols\ <-- abréviation

C:\Documents and Settings\Administrateur\Mes documents\PPPATC~1\ <-- abréviation

 

 

- Démarre ewido et clique "Complete System Scan"

- Laisse le scan se faire et touche à rien, s'il te propose de supprimer des malwares, dis oui, quand le scan est terminé, clique sur "Save Report" pour enregistrer le rapport et colle le ici

N'hésite pas à consulter l'Aide ewido pour tout problème.

- Tu peux consulter l'Aide ewido

 

-- Redémarre en mode normal

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

-- Copie/Colle ici les rapports :

- ewido

- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt

- ainsi qu'un nouveau log HijackThis

Modifié le 16 juin 2006 par Malekal_morte

[Denis95]

Punaise mon ordi est un vrai sapin de noel !

ça clignote de partout pour de la pub !... bref....

 

Tout se déroule bien sauf que je n'ai pas trouvé:

 

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

 

Puis j'avais téléchargé EWIdo (au cas ou) et non installé. Lorsque j'ai voulu faire la MàJ Ewido n'a pas trouvé le serveur.

Et je me suis aperçu que je n'ai plus accès au net. En bas à gauche, brièvement il me met: "www.404dns.net"

Quelque fois une page blanche Explorer s'affiche et puis ... rien.

 

Je n'ai pas pu télécharger Clean.zip mais j'ai continué la procédure.

 

En mode sans échec je n'ai pas trouvé:

C:\WINDOWS\?dobe\

C:\WINDOWS\ICROSO~1.NET\

C:\WINDOWS\system32\?ppPatch\

C:\WINDOWS\system32\?racle\

C:\Documents and Settings\Administrateur\ECURIT~1\ <-- abréviation

 

Je colle le rapport Kaspersky:

 

Total number of scanned objects 25231

Number of viruses found 6

Number of infected objects 9

Number of suspicious objects 0

Duration of the scan process 00:29:36

 

C:\Documents and Settings\Administrateur\Local Settings\Temp\wincncgà.exe Infected: Trojan-Downloader.Win32.Agent.amt skipped

 

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\4V3NECDH\index[1].chm/index.htm Infected: Trojan-Downloader.JS.Psyme.c skipped

 

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\4V3NECDH\index[1].chm CHM: infected - 1 skipped

 

C:\System Volume Information\_restore{CC4B9E6E-61DB-45C0-9EA6-6DBA32B4EB76}\RP429\A0043186.exe Infected: Trojan-Downloader.Win32.PurityScan.co skipped

 

C:\System Volume Information\_restore{CC4B9E6E-61DB-45C0-9EA6-6DBA32B4EB76}\RP429\A0043187.exe Infected: Trojan-Downloader.Win32.Agent.amt skipped

 

C:\System Volume Information\_restore{F5829607-2AEC-426D-A036-B7EF52CE6255}\RP0\A0000001.dll Infected: Virus.Win32.Sality.k skipped

 

C:\System Volume Information\_restore{F5829607-2AEC-426D-A036-B7EF52CE6255}\RP1\A0002047.exe Infected: Backdoor.Win32.SdBot.aoz skipped

 

C:\WINDOWS\system32\components\flx6.dll Infected: not-virus:Hoax.Win32.Renos.dp skipped

 

C:\WINDOWS\system32\ofcukiz.dll Infected: not-virus:Hoax.Win32.Renos.dp skipped

 

Scan process completed.

 

Puis celui d'Ewido:

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 16:23:31, 17/06/2006

+ Somme de contrôle: ED6FAE13

 

+ Résultats du scan:

 

C:\Documents and Settings\Administrateur\Application Data\ѕecurity\spoolsv.exe -> Downloader.PurityScan.bx : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@2o7[2].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@ads.pointroll[1].txt -> TrackingCookie.Pointroll : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@ads1.revenue[1].txt -> TrackingCookie.Revenue : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@cs.sexcounter[2].txt -> TrackingCookie.Sexcounter : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@data3.perf.overture[1].txt -> TrackingCookie.Overture : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@image.masterstats[1].txt -> TrackingCookie.Masterstats : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@perf.overture[1].txt -> TrackingCookie.Overture : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@questionmarket[2].txt -> TrackingCookie.Questionmarket : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@revenue[1].txt -> TrackingCookie.Revenue : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@tacoda[2].txt -> TrackingCookie.Tacoda : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

C:\WINDOWS\Μicrosoft.NET\c1985f20.exe -> Downloader.PurityScan.bx : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

Et le Nouveau hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 17:14:26, on 17/06/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\ishost.exe

C:\WINDOWS\System32\isnotify.exe

C:\Program Files\Analog Devices\SoundMAX\Smtray.exe

C:\Program Files\Microsoft IntelliType Pro\type32.exe

C:\Program Files\Microsoft IntelliPoint\point32.exe

C:\Norman\bin\ZLH.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\E-Color\True Internet Color\TICIcon.exe

C:\WINDOWS\System32\ismon.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\Norman\Bin\Zanda.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Norman\Nvc\BIN\NIP.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Norman\Nvc\bin\nvcoas.exe

C:\Norman\bin\NJEEVES.EXE

C:\Norman\Nvc\BIN\nipsvc.exe

C:\Norman\Nvc\BIN\NVCSCHED.EXE

C:\Norman\Nvc\bin\cclaw.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {7fcf04b6-6354-47ef-b45e-a48268e92757} - C:\WINDOWS\System32\ixt0.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Program Files\Safety Bar\Safety Bar.dll

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe

O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: 3Deep.lnk = C:\Program Files\E-Color\3Deep\3Deepctl.exe

O4 - Global Startup: SonnReg.lnk = C:\Program Files\E-Color\Registration\SonnReg.exe

O4 - Global Startup: True Internet Color Icon.lnk = C:\Program Files\E-Color\True Internet Color\TICIcon.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1149887603275

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1149887578306

O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotion...canner37870.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe

O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE

O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe

O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINDOWS\system32\netdrvr.exe (file missing)

O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe

O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

Il est évident qu'il ya toujours des zonzon qui se balladent car j'ai toujours des pub pour

les antivirus et une barre de tâches non voulue.

 

Désolé d'être aussi problématique.

 

Ps: maintenant que j'ai mis clean.zip d'avance, faut-il que je recommence tout ? Ou tu me donnes d'autre sinstructions ?

 

merci beaucoup.

[Malekal_morte]

Sur HijackThis, coche ces lignes :

O2 - BHO: (no name) - {7fcf04b6-6354-47ef-b45e-a48268e92757} - C:\WINDOWS\System32\ixt0.dll

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Program Files\Safety Bar\Safety Bar.dll

--> clic sur fix checked

 

Redémarre en mode sans échec

 

Supprime ces fichiers/dossiers :

C:\WINDOWS\System32\ixt0.dll

C:\WINDOWS\System32\ismon.exe

C:\WINDOWS\System32\ishost.exe

C:\WINDOWS\System32\isnotify.exe

C:\WINDOWS\system32\components\flx6.dll

C:\WINDOWS\system32\ofcukiz.dll

 

C:\Program Files\Safety Bar\

 

Redémarre l'ordinateur

 

Copie/colle un nouveau rapport HijackThis.

[Denis95]

Bonjour,

 

Je n'ai pas trouvé:

C:\WINDOWS\system32\ofcukiz.dll

 

Je n'ai plus de souris. Le pointeur reste au milieu. En mode sans échec, je l'ai sans problème.

 

Je n'ai plus d'accès internet. J'ai toujours "www.404dns.net" qui s'affiche en bas à droite. Je crois que c'est zoneAlarm qui me bloque car lorsque je l'ai fermé, j'ai pu me connecter sur le net. Je sais c'est pas bien, mais j'ai essayé de savoir ce qui bloquait.

J'ai vite fermé l'ordi pour ne pas subir des attaques.

 

Du coup je poste du boulot le dernier rapport de Hijackthis.

 

Logfile of HijackThis v1.99.1

Scan saved at 19:58:12, on 18/06/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\issearch.exe

C:\Program Files\Analog Devices\SoundMAX\Smtray.exe

C:\Program Files\Microsoft IntelliType Pro\type32.exe

C:\Program Files\Microsoft IntelliPoint\point32.exe

C:\Norman\bin\ZLH.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\E-Color\True Internet Color\TICIcon.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\Norman\Bin\Zanda.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Norman\Nvc\BIN\NIP.EXE

C:\Norman\bin\NJEEVES.EXE

C:\Norman\Nvc\BIN\nipsvc.exe

C:\Norman\Nvc\BIN\NVCSCHED.EXE

C:\Norman\Nvc\bin\nvcoas.exe

C:\Norman\Nvc\bin\cclaw.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {7fcf04b6-6354-47ef-b45e-a48268e92757} - C:\WINDOWS\System32\ixt0.dll

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe

O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [update] C:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /CALLSCHEDULER /DM="0" /CALLSCHEDULER

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: 3Deep.lnk = C:\Program Files\E-Color\3Deep\3Deepctl.exe

O4 - Global Startup: SonnReg.lnk = C:\Program Files\E-Color\Registration\SonnReg.exe

O4 - Global Startup: True Internet Color Icon.lnk = C:\Program Files\E-Color\True Internet Color\TICIcon.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1149887603275

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1149887578306

O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotion...canner37870.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe

O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE

O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe

O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINDOWS\system32\netdrvr.exe (file missing)

O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe

O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

Désolé, je fais de mon mieux et pourtant j'ai l'impression que rien ne se passe comme prévu.

 

Merci beaucoup.

[Barban]

Salut, sur ce scan que te proposes Malekal avec justesse, ne le fais pas en mode sans échec. Allume normalment ton ordi, lance de nouveau HijackThis et clique sur "do a system scan only". C'est de là que tu pourras fixer les lignes que te proposes de virer Malekal. Ensuite tu suis minutieusement et dans le tempo toutes les procédures. Tu vas certainement devoir démarrer et redémarrer plusieurs fois. Mais le plus important c'est de ne pas sauter les lignes de conseils, sinon tu vas partir en vrille jusqu'à devoir tout réinstaller ce qui est une m.... totale. Vas-y-cool et les cadors de Zebulon seront là pour t'aider. Le blème est que ça prend du temps.

Barban

[Denis95]

Hello.

 

Je suis patient et je ne remet pas en cause les conseils de Malekal. J'essaye de suivre à la lettre ses procédures, mais à chaque fois il y a un truc qui cloche malgré des tutos bien clairs. Du coup, j'ai pas envie qu'on me dise que je fais n'importe quoi, et je donne la moindre info susceptible de l'aider.

 

Je suis trop dans la mouise pour pouvoir la ramener.

J'attend vos instructions Messires.

 

Ps: Aujourd'hui j'ai branché mon HDD sur mon ordi de taff, pour copier le rapport de Hijackthis. Et de temps en temps, l'antivirus Viruscan (celui du bureau) me détecte Downloader-ve et SDbot...

[Malekal_morte]

télécharges et installes :

KillBox

Aide Killbox

 

sélectionne entièrement la liste ci-dessous :

 

C:\WINDOWS\System32\issearch.exe

C:\WINDOWS\System32\ixt0.dll

 

---> et tu fais clic droit / copier

 

Ouvres killbox

- Sélectionne "delete on reboot"

- Clique sur le menu "File" -> "Past from clip board"

- Clique sur la croix rouge et et blanche

- Répond yes et laisse redémarrer ton pc.

N'hésite pas à consulter l'Aide killbox

 

Télécharge et installe service pack 2 pour Windows XP et mettre ton ordinateur à jour à partir de Windows Update (Outils / Windows Updates dans Internet Explorer)

 

Copie/colle un nouveau rapport HijackThis.

[Malekal_morte]

et aussi :

 

-- Télécharge SmitfraudFix

-- Fais un clic droit puis Extraire tout sur le fichier SmitfraudFix.zip, cela va tout décompresser dans un nouveau dossier SmitFraudfix

-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (ne

clique sur aucun autre fichier!!!)

-- Choisis l'option 1 et appuie sur Entrée

-- Réponds o (Oui) aux deux questions suivantes si elles sont posées

-- Un rapport sera généré sauvegarde le dans un dossier

-- Copie/colle le contenu du rapport ici

[Denis95]

Hello,

 

J'ai tout noté et imprimé.

Vu que je n'ai plus de connexion chez moi, j'ai téléchargé (mais non installé) les logiciels demandés à l'aide de mon ordi de taff.

J'installerai tout ce soir.

 

Vu que je n'ai plus de souris en mode normal, puis-je faire la manip en mode sans échec ?? (Seul moyen d'avoir la souris)

J'ai copié les chemins des fichiers à supprimer dans le bloc notes.

 

Merci.