Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Je suis contaminé...

jich

Par jich
dans Analyses et éradication malwares

 Partager

Messages recommandés

jich Member

jich

Posté(e)
Posté(e) (modifié)

Salut a tous,

 

je viens vous demandez de l'aide car je suis infecté par (je pense) plusieurs troyan ou vers que je n'arrive pas a enlever...

 

Le contexte:

J'ai windows xp (sp1) et zone alarm avec antivirus. En complement j'utilise ad aware.

 

Les symptomes:

J'ai malencontreusement stopper mon firewall 20 secondes, j'ai été immédiatement puni...

 

Bref depuis, un certain mc-110-12-... essaie de se connecter ainsi qu'un updmangr jusque là inconnu... De plus za trouve Win32.Thoog.CH mais semble ne rien pouvoir faire et adaware trouve aussi du monde.

 

 

J'ai donc fait:

 

CITATION

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com/ . Une fois passé en mode sans echec, installer et paramétrer Antivir. Il est impératif de le configurer correctement afin de faire le meilleur scan possible --> voir la procédure ici (imprimez la) : http://speedweb1.free.fr/frames2.php?page=tuto5

 

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- désinstallation d'Antivir

 

-- terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

- Redémarrer le PC en mode normal

 

- installation et utilisation d'HijackThis

 

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

Phase 4

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

 

auteur : megataupe

 

 

 

 

Et voici le rapport HijackThis

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 12:02:13, on 16/06/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Mixer.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\utils\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

F:\utilitaires\WinLibre\openoffice\program\soffice.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\update\updmangr.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\ZoneLabs\isafe.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\geebx.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\utils\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB001" /M "Stylus C86"

O4 - HKLM\..\Run: [mswap] rundll32.exe C:\WINDOWS\System32\mswap.dll,start

O4 - HKLM\..\Run: [Microsoft ® Windows Update Manager Tool] C:\WINDOWS\update\updmangr.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: OpenOffice.org 1.1.3.lnk = F:\utilitaires\WinLibre\openoffice\program\quickstart.exe

O4 - Startup: Raccourci vers CleanTemps.cmd.lnk = F:\utilitaires\CleanTemps.cmd

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - F:\jeux\Titan Poker\casino.exe

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - F:\jeux\Titan Poker\casino.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{AC4D864F-83E0-4C7C-B68E-2C456F0BF0AF}: NameServer = 82.237.73.60

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: geebx - C:\WINDOWS\SYSTEM32\geebx.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe

O23 - Service: NetTime (NetTimeSvc) - Subjective Software - F:\utilitaires\WinLibre\NetTime\NeTmSvNT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Windows Update Manager Tool (UpdateManagerTool) - Unknown owner - C:\WINDOWS\update\updmangr.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

 

Je sais pas trop quoi en pensez...

 

Merci d'avance!!!

Modifié par jich
Lien vers le commentaire
Partager sur d’autres sites

tornado Full Patch Member

tornado

Posté(e)
Posté(e) (modifié)

Salut jich et bienvenue sur le forum sécurité de zéb,

 

 

Ton rapport montre en effet des signes d'infections...

 

Une question : Connais tu ce programme ?

 

=> CleanTemps.cmd

 

 

Bon, sinon, ton pc est infecté par le trojan Vundo, qui nécessite un outil spécial pour son éradication :

 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

  • Double-clique VundoFix.exe afin de le lancer.
  • Coche Run VundoFix as a task.
  • Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
  • Clique sur le bouton Scan for Vundo.
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo.
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
  • Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
  • Démarre ton PC à nouveau.
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

On s'occupera des autres infections dans une prochaine procédure...

 

 

 

 

A+ :P

 

 

 

PS: Pense à désinstaller Antivir, car tu possèdes déjà l'antivirus de zonealarm (cela peut créer des conflits)

Modifié par tornado
Lien vers le commentaire
Partager sur d’autres sites
jich Member

jich

Posté(e)
  • Auteur
Posté(e)

Oki merci,

 

cleantemps est connu, c'est un petit utilitaire, mais je l'utilise plus vraiment j'en ai profité pour l'enlever...

 

Sinon j'ai désinstallé antivir (c'était un oubli).

 

 

J'ai fixé Vundo rapport:

 

 

VundoFix V4.2.18

 

Checking Java version...

 

Java version is 1.5.0.6

 

Scan started at 16:47:06 28/03/2006

 

Listing files found while scanning....

 

 

C:\WINDOWS\system32\ghhkj.bak1

C:\WINDOWS\system32\ghhkj.ini

C:\WINDOWS\system32\jkhhg.dll

 

VundoFix V4.2.18

 

Checking Java version...

 

Java version is 1.5.0.6

 

Scan started at 16:48:02 28/03/2006

 

Listing files found while scanning....

 

 

C:\WINDOWS\system32\ghhkj.bak1

C:\WINDOWS\system32\ghhkj.ini

C:\WINDOWS\system32\jkhhg.dll

Attempting to delete C:\WINDOWS\system32\ghhkj.bak1

C:\WINDOWS\system32\ghhkj.bak1 Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\ghhkj.ini

C:\WINDOWS\system32\ghhkj.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\jkhhg.dll

C:\WINDOWS\system32\jkhhg.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

VundoFix V4.2.18

 

Checking Java version...

 

Java version is 1.5.0.6

 

Scan started at 17:05:02 28/03/2006

 

Listing files found while scanning....

 

C:\WINDOWS\System32\ssqpq.dll

C:\WINDOWS\System32\ssqpq.dll

 

Attempting to delete C:\WINDOWS\System32\ssqpq.dll

C:\WINDOWS\System32\ssqpq.dll Could not be deleted.

 

Attempting to delete C:\WINDOWS\System32\ssqpq.dll

C:\WINDOWS\System32\ssqpq.dll Could not be deleted.

 

Performing Repairs to the registry.

Done!

 

VundoFix V4.2.18

 

Checking Java version...

 

Java version is 1.5.0.6

 

Scan started at 17:24:02 28/03/2006

 

Listing files found while scanning....

 

C:\WINDOWS\System32\vturs.dll

C:\WINDOWS\System32\vturs.dll

 

Attempting to delete C:\WINDOWS\System32\vturs.dll

C:\WINDOWS\System32\vturs.dll Could not be deleted.

 

Attempting to delete C:\WINDOWS\System32\vturs.dll

C:\WINDOWS\System32\vturs.dll Could not be deleted.

 

Performing Repairs to the registry.

Done!

 

VundoFix V4.2.84

 

Running as SYSTEM

from c:\windows\system32\VundoFix.exe

 

Checking Java version...

 

Java version is 1.5.0.6

 

Scan started at 13:53:08 16/06/2006

 

Listing files found while scanning....

 

C:\WINDOWS\system32\geebx.dll

 

Attempting to delete C:\WINDOWS\system32\geebx.dll

C:\WINDOWS\system32\geebx.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

 

 

 

Nouveau rapport HijackThis! (v1.99.0.1 car j'arrive pas à télécharger la nouvelle):

 

Logfile of HijackThis v1.99.1

Scan saved at 14:06:00, on 16/06/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\Mixer.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\utils\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\tcpsvcs.exe

F:\utilitaires\WinLibre\openoffice\program\soffice.exe

C:\WINDOWS\update\updmangr.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\ZoneLabs\isafe.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\utils\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB001" /M "Stylus C86"

O4 - HKLM\..\Run: [mswap] rundll32.exe C:\WINDOWS\System32\mswap.dll,start

O4 - HKLM\..\Run: [Microsoft ® Windows Update Manager Tool] C:\WINDOWS\update\updmangr.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: OpenOffice.org 1.1.3.lnk = F:\utilitaires\WinLibre\openoffice\program\quickstart.exe

O4 - Startup: Raccourci vers CleanTemps.cmd.lnk = F:\utilitaires\CleanTemps.cmd

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - F:\jeux\Titan Poker\casino.exe

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - F:\jeux\Titan Poker\casino.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{AC4D864F-83E0-4C7C-B68E-2C456F0BF0AF}: NameServer = 82.237.73.60

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe

O23 - Service: NetTime (NetTimeSvc) - Subjective Software - F:\utilitaires\WinLibre\NetTime\NeTmSvNT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Windows Update Manager Tool (UpdateManagerTool) - Unknown owner - C:\WINDOWS\update\updmangr.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

Voilà et encore merci...

Lien vers le commentaire
Partager sur d’autres sites
jich Member

jich

Posté(e)
  • Auteur
Posté(e) (modifié)

La nouvelle recherche Vundofix ne donne rien...

 

Le rapport est vide...

 

VundoFix V4.2.84

 

Running as SYSTEM

from c:\windows\system32\VundoFix.exe

 

Checking Java version...

 

Java version is 1.5.0.6

 

Scan started at 15:39:03 16/06/2006

 

Listing files found while scanning....

 

 

No infected files were found.

 

 

 

 

HijackThis! donne :

 

Logfile of HijackThis v1.99.1

Scan saved at 15:41:26, on 16/06/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\Mixer.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\utils\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\tcpsvcs.exe

F:\utilitaires\WinLibre\openoffice\program\soffice.exe

C:\WINDOWS\update\updmangr.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\ZoneLabs\isafe.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\utils\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB001" /M "Stylus C86"

O4 - HKLM\..\Run: [mswap] rundll32.exe C:\WINDOWS\System32\mswap.dll,start

O4 - HKLM\..\Run: [Microsoft ® Windows Update Manager Tool] C:\WINDOWS\update\updmangr.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: OpenOffice.org 1.1.3.lnk = F:\utilitaires\WinLibre\openoffice\program\quickstart.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - F:\jeux\Titan Poker\casino.exe

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - F:\jeux\Titan Poker\casino.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{AC4D864F-83E0-4C7C-B68E-2C456F0BF0AF}: NameServer = 82.237.73.60

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe

O23 - Service: NetTime (NetTimeSvc) - Subjective Software - F:\utilitaires\WinLibre\NetTime\NeTmSvNT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Windows Update Manager Tool (UpdateManagerTool) - Unknown owner - C:\WINDOWS\update\updmangr.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

 

Voilà, j'ai lancé plusieurs fois Vundofix pour voir mais rien de trouvé...

Modifié par jich
Lien vers le commentaire
Partager sur d’autres sites
tornado Full Patch Member

tornado

Posté(e)
Posté(e)

Re,

 

 

Bon visiblement, vundofix a légèrement buggé... il indiquait qu'il ne parvenait pas à supprimer certains fichiers, mais il a quand même dû les supprimer.

 

Et bon signe, ton rapport Hijackthis ne montre plus de traces de Vundo :P

 

Je prépare une procédure pour le reste des infections... réponse dans 15 min ~

 

 

 

A+ :P

Lien vers le commentaire
Partager sur d’autres sites
tornado Full Patch Member

tornado

Posté(e)
Posté(e)

Re,

 

 

 

La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande de l'imprimer ou de la copier dans un fichier texte.

Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur :

 

 

- "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure

- Dans types, choisis "Page web complète"

- Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple)

- Ouvre-le et choisis "Enregistrer sous"

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver :P

 

 

 

 

Télécharge et installe les logiciels suivants au préalable

 

- Ewido anti-malware --> http://www.ewido.net/en/download/

 

- A l'installation, décoche les "deux cases" dans la fenêtre "additional options" (protection en temps réel)

- Fais la mise à jour

 

- ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

- Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://www.zebulon.fr/articles/base-de-registre-3.php (comme indiqué précédemment)

 

-----------------------------------------------------------------------------------------------------------------------------

 

1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

 

2/ Va dans Démarrer > Exécuter et taper Services.msc puis OK

 

Choisir le mode "Etendu" (onglets inférieurs)

Grâce à la barre de défilement (à droite) rechercher le service suivant:

 

Windows Update Manager Tool

 

Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).

Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter,

puis dérouler le Type de Démarrage pour le modifier en Désactivé

Cliquer sur Appliquer puis OK

 

Lancer Hijackthis, choisir Open the Misc.Tools section

la fenêtre "Configuration va s'ouvrir

cliquer sur Delete a NT service...

la fenêtre "Delete a Windows NT service" va s'ouvrir

Entrer dans la zone de dialogue :

 

UpdateManagerTool

 

Note : assure-toi de ne mettre d'espace, ni avant, ni après !

cliquer OK

 

Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer.

Cliquer NO

 

 

3/ Lance hijackthis, " do a system scan only " , puis coche les lignes suivantes :

 

 

O4 - HKLM\..\Run: [mswap] rundll32.exe C:\WINDOWS\System32\mswap.dll,start

O4 - HKLM\..\Run: [Microsoft ® Windows Update Manager Tool] C:\WINDOWS\update\updmangr.exe

 

 

- Clique sur le bouton "fix checked"

 

 

4/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

 

Et clique sur Ok

 

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

 

5/ Recherche et supprime les fichiers/dossiers en gras via l'explorateur Windows (si ils existent encore)

 

- C:\WINDOWS\System32\mswap.dll

- C:\WINDOWS\update\updmangr.exe

 

 

 

- Vide la corbeille

 

 

6/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16 powertools

 

 

Easycleaner

 

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

 

 

ATF-cleaner

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

  • Clique Firefox au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

  • Clique Opera au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

 

Jv16 powertools

 

- Mettre le logiciel en français Preferences > Language > Français > OK.

 

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

 

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

 

- Cliquer sur "Continuer" puis sur "Démarrer".

 

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"

puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

 

(si il ya quelque chose qui t'échappe, sers toi du tuto de la page web :P )

 

 

7/ Fais un scan avec Ewido:

 

- Lance un "scan complet"

- Dès la première alerte, signalant un objet infecté, coche la case " Effectuer cette action avec toutes les infections"

- A la fin du scan, sauve le rapport

- Vide la quarantaine

 

 

8/ Répète l'étape 6/ , mais sers toi uniquement de Jv16 cette fois

 

 

 

9/ Redémarre en mode normal, poste le rapport d'ewido ainsi qu'un nouveau rapport hijackthis

 

 

 

 

 

 

Du boulot en perspective...bonne chance :-P . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure.

 

A+

Lien vers le commentaire
Partager sur d’autres sites
jich Member

jich

Posté(e)
  • Auteur
Posté(e)

J'ai suivi ta procédure mais les liens vers easycleaner et Jv16 powertools ne fonctionnant pas je les ai cherché ailleurs...

 

Mais la version de Jv16 powertools que j'ai trouvé n'est pas la même du coup ça colle pas et j'ai pas pu faire les étapes 6 et 9...

 

J'ai tout de même fait le scan ewidoo pour te montrer le résultat:

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 18:53:14, 16/06/2006

+ Somme de contrôle: BD319A81

 

+ Résultats du scan:

 

:mozilla.6:C:\Documents and Settings\la fontaine\Application Data\Mozilla\Firefox\Profiles\1k4hedix.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

:mozilla.15:C:\Documents and Settings\la fontaine\Application Data\Mozilla\Firefox\Profiles\1k4hedix.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.16:C:\Documents and Settings\la fontaine\Application Data\Mozilla\Firefox\Profiles\1k4hedix.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.17:C:\Documents and Settings\la fontaine\Application Data\Mozilla\Firefox\Profiles\1k4hedix.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.21:C:\Documents and Settings\la fontaine\Application Data\Mozilla\Firefox\Profiles\1k4hedix.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

:mozilla.28:C:\Documents and Settings\la fontaine\Application Data\Mozilla\Firefox\Profiles\1k4hedix.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder

:mozilla.29:C:\Documents and Settings\la fontaine\Application Data\Mozilla\Firefox\Profiles\1k4hedix.default\cookies.txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder

:mozilla.30:C:\Documents and Settings\la fontaine\Application Data\Mozilla\Firefox\Profiles\1k4hedix.default\cookies.txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder

:mozilla.36:C:\Documents and Settings\la fontaine\Application Data\Mozilla\Firefox\Profiles\1k4hedix.default\cookies.txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder

:mozilla.37:C:\Documents and Settings\la fontaine\Application Data\Mozilla\Firefox\Profiles\1k4hedix.default\cookies.txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder

:mozilla.38:C:\Documents and Settings\la fontaine\Application Data\Mozilla\Firefox\Profiles\1k4hedix.default\cookies.txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder

:mozilla.47:C:\Documents and Settings\la fontaine\Application Data\Mozilla\Firefox\Profiles\1k4hedix.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder

:mozilla.48:C:\Documents and Settings\la fontaine\Application Data\Mozilla\Firefox\Profiles\1k4hedix.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder

:mozilla.49:C:\Documents and Settings\la fontaine\Application Data\Mozilla\Firefox\Profiles\1k4hedix.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder

:mozilla.50:C:\Documents and Settings\la fontaine\Application Data\Mozilla\Firefox\Profiles\1k4hedix.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder

:mozilla.60:C:\Documents and Settings\la fontaine\Application Data\Mozilla\Firefox\Profiles\1k4hedix.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder

:mozilla.61:C:\Documents and Settings\la fontaine\Application Data\Mozilla\Firefox\Profiles\1k4hedix.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder

:mozilla.62:C:\Documents and Settings\la fontaine\Application Data\Mozilla\Firefox\Profiles\1k4hedix.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder

:mozilla.63:C:\Documents and Settings\la fontaine\Application Data\Mozilla\Firefox\Profiles\1k4hedix.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder

:mozilla.64:C:\Documents and Settings\la fontaine\Application Data\Mozilla\Firefox\Profiles\1k4hedix.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder

:mozilla.65:C:\Documents and Settings\la fontaine\Application Data\Mozilla\Firefox\Profiles\1k4hedix.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder

C:\Documents and Settings\la fontaine\dotrm.dll -> Adware.Virtumonde : Nettoyer et sauvegarder

C:\Documents and Settings\la fontaine\ww32.exe/dotrm.dll -> Adware.Virtumonde : Nettoyer et sauvegarder

C:\Documents and Settings\la fontaine\ww32.exe/dotdr.exe -> Downloader.Adload.ap : Nettoyer et sauvegarder

C:\WINDOWS\system32\ddabb.dll -> Adware.Virtumonde : Nettoyer et sauvegarder

C:\WINDOWS\system32\hqghumea.dll -> Backdoor.Agent.vc : Nettoyer et sauvegarder

C:\WINDOWS\system32\mlljk.dll -> Adware.Virtumonde : Nettoyer et sauvegarder

C:\WINDOWS\system32\mswap.dll -> Backdoor.Agent.vc : Nettoyer et sauvegarder

C:\WINDOWS\system32\ssqrr.dll -> Adware.Virtumonde : Nettoyer et sauvegarder

C:\WINDOWS\system32\ssttu.dll -> Adware.Virtumonde : Nettoyer et sauvegarder

C:\WINDOWS\system32\vtstt.dll -> Adware.Virtumonde : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

 

 

Et un Hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 18:57:54, on 16/06/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

F:\utilitaires\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\Mixer.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\utils\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

F:\utilitaires\WinLibre\openoffice\program\soffice.exe

C:\WINDOWS\System32\ZoneLabs\isafe.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\utils\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB001" /M "Stylus C86"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: OpenOffice.org 1.1.3.lnk = F:\utilitaires\WinLibre\openoffice\program\quickstart.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - F:\jeux\Titan Poker\casino.exe

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - F:\jeux\Titan Poker\casino.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{AC4D864F-83E0-4C7C-B68E-2C456F0BF0AF}: NameServer = 82.237.73.60

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe

O23 - Service: ewido security suite control - ewido networks - F:\utilitaires\ewido anti-malware\ewidoctrl.exe

O23 - Service: NetTime (NetTimeSvc) - Subjective Software - F:\utilitaires\WinLibre\NetTime\NeTmSvNT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

 

Voilà, donc comment puis je obtenir le bon jv16 Powertools? (version)

 

Je dois tout refaire ou commencer à l'étape 6?

 

 

Merci...

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...