proble mede firewall

[melo]

Salut,

j ai déja posté mon problème mais je m'étais trompé de forum.

Alors voila j ai pris un trojan et par la suite mon firewall ne marche plus, je peux ni l activer ni y acceder.

J ai donc suivi toute la prcédure indiqué sur différents autres post (antivir ...) mais je sais pas lire le rapport d'hijackthis.

Si quelqu un pouvait m aider ca serai sympa et me dire ce que je dois faire

merci d avance

Je vous joint le rapport

 

Logfile of HijackThis v1.99.1

Scan saved at 15:34:36, on 02/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Multimedia Card Reader\shwicon2k.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\WINDOWS\system32\LVComS.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [i downloaded pirated Software from P2P ] C:\WINDOWS\system32\0106.exe

O4 - HKLM\..\Run: [012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678912345678] C:\Program Files\user32.exe

O4 - HKLM\..\Run: [sysTray] c:\Program Files\ybqpfwnm.exe

O4 - HKLM\..\RunServices: [windows] hkey.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\Suchspur.dll/Suchspur.HTM

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O17 - HKLM\System\CCS\Services\Tcpip\..\{CFEEBE0B-50B4-4128-9562-250ECC57DB28}: NameServer = 192.168.1.1,90.60.2.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

[tornado]

Bonsoir melo et bienvenue sur le forum sécurité de zébulon,

 

 

Ton rapport montre des signes d'infections. Mais on va remédier à ça, donc tu peux être tranquille

 

Pour commencer, on va rechercher puis éliminer les traces du trojan smitfraud :

 

=================================================================

 

Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézipper la totalité de l'archive smitfraudfix.zip

 

 

Utilisation ----- option 1 - Recherche :

 

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

Poster le rapport sur le forum.

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

http://www.beyondlogic.org/consulting/proc...processutil.htm

 

 

Utilisation ----- option 2 -Nettoyage :

 

Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ou tuto Symantec).

Double cliquer sur smitfraudfix.cmd

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

Redémarrer en mode normal et poster le rapport sur le forum.

 

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1

Attention que l'option 2 de l'outil supprime le fond d'écran !

 

=======================================================

 

 

Au final, j'ai besoin de 3 rapports, à coller dans ton prochain post :

 

- celui de l'étape Recherche (option 1)

- celui de l'étape Nettoyage (option 2)

- Un nouveau rapport Hijackthis, généré en mode normal, après application de l'option 2

 

 

A+

 

 

 

NB : De quel Firewall parles-tu ?

Modifié le 2 juillet 2006 par tornado

[melo]

merci tonado de ta réponse.

Je parle du pare feu windows (bien que je pense vhanger au vue des posts ce sur ce forum).

Voila les 3 rapports

 

le premier:

 

SmitFraudFix v2.66

 

Rapport fait à 10:48:03,65, 03/07/2006

Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\Nouveau dossier\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

C:\uniq PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

le deuxième:

SmitFraudFix v2.66

 

Rapport fait à 11:02:07,68, 03/07/2006

Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\Nouveau dossier\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

et enfin le rapport d hijack this:

 

Logfile of HijackThis v1.99.1

Scan saved at 11:06:03, on 03/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Multimedia Card Reader\shwicon2k.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\WINDOWS\system32\LVComS.exe

C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\PROGRA~1\Wanadoo\Watch.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [i downloaded pirated Software from P2P ] C:\WINDOWS\system32\0106.exe

O4 - HKLM\..\Run: [012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678912345678] C:\Program Files\user32.exe

O4 - HKLM\..\RunServices: [windows] hkey.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\Suchspur.dll/Suchspur.HTM

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O17 - HKLM\System\CCS\Services\Tcpip\..\{CFEEBE0B-50B4-4128-9562-250ECC57DB28}: NameServer = 192.168.1.1,90.60.2.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

 

merci d'avance

[tornado]

Re,

 

Les traces de Smitfaud ont disparu du rappot Hijackthis ... mais il va falloir s'occuper à présnet des autres infections.

 

Je prépare une procédure de désinfection, réponse d'ici 20 min environ

 

 

 

A+

Modifié le 3 juillet 2006 par tornado

[tornado]

Re,

 

 

Avant qu'on commence la désinfection, j'aimerais que tu fasses anlayser ce fichier => C:\WINDOWS\system32\Suchspur.dll

 

... par l'intermédiaire de ces 2 sites :

=> http://virusscan.jotti.org/ (clique sur Parcourir , sélectionne Suchspur.dll, clique sur Ouvrir, puis sur Submit )

=> http://www.virustotal.com/en/indexf.html (clique sur Parcourir , sélectionne Suchspur.dll, clique sur Ouvrir, puis sur Send )

 

Au final, tu obtiens un rapport pour chaque scan. Copie-les un à un et colle-les dans ton prochain post.

 

Je parle du pare feu windows (bien que je pense vhanger au vue des posts ce sur ce forum).

 

Profite du mode normal (la procédure dans mon prochain post devra se faire en mode sans échec) pour installer un vrai pare-feu. En effet, celui d'xp n'est pas suffisant, il ne filtre pas en sortie... cela signifie qu'un malware ayant infecté ton sytème peut se connecter au net et par exemple, transmettre des informations personnelles.

Je t'invite donc à installer un pare-feu efficace, tel que Kerio, qui est gratuit, simple d'accès, et s'associe bien avec ton antivirus Avast :

 

- Pour le télécharger, c'est ici --> http://telechargement.zebulon.fr/82-kerio-...all-423912.html

- Tu peux t'aider de ce tuto pour le configurer --> http://www.vulgarisation-informatique.com/kerio.php

 

 

De cette manière, on évitera tout nouvelle réinfection, car tu n'avais plus aucun pare-feu tout en naviguant sur le net

 

 

 

A+

Modifié le 3 juillet 2006 par tornado

[melo]

J ai pris kerio comme fire wall

 

Par contre je ne trouve pas le fichier en question, il mpe dis qu il est introuvable!!!

 

est ce normal?

 

a+

[tornado]

Re,

 

 

Est-ce que tu as vérifié que l'affichage des dossiers fichiers/dossiers cachés et système est activé, de cette manière ?

 

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer le bouton : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

 

Et clique sur Ok

 

 

Si non, fais-le et retente les différentes analyses.

 

 

 

A+

[melo]

re

 

tous les fichiers étaient affichés, j ai vérifié mais toujours aucune trace de ce fichier

 

a+

[tornado]

Re,

 

 

Bon ce n'est pas grave... on va quand même fixer la ligne correspondante dans Hijackthis, par précaution.

 

 

La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande d'enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur :

 

 

- "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure

- Dans types, choisis "Page web complète"

- Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple)

- Ouvre-le et choisis "Enregistrer sous"

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (ou .htm) (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver

 

 

Autre solution : Tu peux également copier la procédure dans un fichier texte (avec la visiblité en moins), ou bien même l'imprimer (si tu as de l'encre à "gaspiller" )

 

======================================================================

 

 

Etape 1 : Téléchargement / installation des outils nécessaires

 

=> Télécharge et installe les logiciels suivants, en suivant les instructions (si il y a)

 

- Ewido anti-malware --> http://www.ewido.net/en/download/

 

- Pour commencer, installe Ewido en suivant les instructions données par le logiciel

- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.

- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"

- Ferme Ewido. Ne pas le lancer tout de suite.

 

Le tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html

 

- Starter --> http://telechargement.zebulon.fr/185-starter.html

- ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://speedweb1.free.fr/frames2.php?page=optimiser1 (situé en milieu de page)

 

 

Etape 2 : Redémarrage en mode sans échec

 

On va utiliser le mode sans échec pour éradiquer le reste des infections, car la plupart des malwares ne "démarrent pas" dans ce mode, ce qui facilite leur éradication :

 

- Redémarre l'ordinateur normalement pour commencer. Ensuite, au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapoter sur la touche [F8] ou [F5] (le faire plusieurs fois pour un meilleur taux de réussite ) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

- Le tuto si tu bloques sur quelque chose => http://www.informatruc.com/mode_sans_echec.php

 

 

Etape 3 : Désactivation du service espion de FT

 

Va dans Démarrer > Exécuter et taper Services.msc puis OK

Choisir le mode "Etendu" (onglets inférieurs)

Grâce à la barre de défilement (à droite) recherche le service suivant:

 

France Telecom Routing Table Service

 

Quand le service est trouvé, pointe dessus, double-clique (bouton gauche).

Dans la fenêtre suivante qui apparait, sous l'onglet Général clique sur le bouton Arrêter,

puis déroule le Type de Démarrage pour le modifier en Désactivé

Clique sur Appliquer puis OK

 

 

Etape 4 : Utilisation d'Hijackthis/Suppression des lignes infectieuses

 

- Lance Hijackthis, clique sur le bouton "do a system scan only", et coche les lignes suivantes (il se peut que certaines lignes aient pu disparaître après les étapes précédentes. Dans ce cas, n'en tiens pas compte) :

 

 

O4 - HKLM\..\Run: [i downloaded pirated Software from P2P ] C:\WINDOWS\system32\0106.exe

O4 - HKLM\..\Run: [0123456789012345678901234567890123456789012345678901234567890123456789012345678

90123456789012345678901234567890123456789012345678901234567890123456789012345678

90123456789012345678901234567890123456789012345678901234567890123456789012345678

9012345678912345678] C:\Program Files\user32.exe

O4 - HKLM\..\RunServices: [windows] hkey.exe

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

 

O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\Suchspur.dll/Suchspur.HTM

 

 

- Clique sur le bouton "Fix checked"

 

 

Etape 5 : Modification de l'affichage des fichiers/dossiers

 

(à part si tu l'as déjà fait)

 

A présent, on va modifier l'affichage des fichier et des dossiers, car la plupart du temps, les malwares "s'emparent" du statut de fichiers cachés ou fichier système pour mieux se cacher :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer le bouton : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

Et clique sur Ok

 

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

 

Etape 6 : Suppression des fichiers infectieux

 

Depuis l'explorateur Windows :

 

=> Supprime les fichiers suivants, si ils existent encore (en gras) :

 

- C:\WINDOWS\system32\0106.exe

 

- C:\Program Files\user32.exe

- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

 

- hkey.exe

 

NB: Les fichiers n'indiquant pas leurs chemins sont probablement situés dans les répertoires C:\ , C:\Windows ou dans C:\Windows\system32 . Tu peux également faire une recherche avec l'outil de Windows, en vérifiant d'avoir coché toutes ces cases dans les options avancées.

 

 

=> Vide la corbeille

 

 

Etape 7 : Utilisation de starter

 

On va maintenant vérifier si certaines clés de registre (clés de "démarrage") ont bien disparu à l'aide d'un logiciel qui s'apparente à une sorte de Msconfig avancé et amélioré :

 

- Lance Starter depuis le raccourci du bureau

 

- Dans le panneau section de gauche :

 

* Rend toi d'abord dans Registre --> Utilisateur courant --> Run

Dans le panneau de droite, fais un clic droit sur le fichier hkey.exe, et choisis Supprimer

 

* Va cette fois-ci dans Registre --> Tous les utilisateurs --> Run et supprime de la même manière la valeur correspondant à hkey.exe.

Et toujours dans Tous les utilisateurs, va dans Runservices et supprime la valeur du fichier incriminé (toujours hkey.exe)

 

* Enfin, va dans Registre --> Utilisateur courant def --> Run et supprime, toujours de la même façon, la valeur du fichier hkey.exe

 

NB: Il se peut que tu ne trouves pas hkey.exe dans l'une des trois sous-parties. Si c'est le cas, ne t'inquiète pas . C'est juste à titre de vérification.

 

* Fais exactement la même chose pour le fichiers suivants

 

- 0106.exe

- user32.exe

 

 

Etape 8 : Nettoyage des fichiers temporaires + registre

 

On va maintenant nettoyer ton système (avec les différents outils téléchargés), pour supprimer les éventuelles traces de malwares dans les dossiers temporaires (très fréquent) et les traces dans le registre, laissées par la suppression des fichiers. A noter que je te fais passer plusieurs outils, car ils sont complémentaires :

 

=> Avec Easycleaner (pour les fichiers temporaires et le registre)

 

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

 

 

=> Avec ATF-cleaner (pour le nettoyage des fichiers temporaires uniquement)

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

 

 

=> Jv16 powertools (pour le nettoyage du registre uniquement)

 

- Mettre le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"

puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

 

(si il ya quelque chose qui t'échappe, sers toi du tuto de la page web )

 

 

Etape 9 : Scan avec Ewido

 

On va maintenant scanner ton système avec un anti-trojan/anti-spyware très performant, pour se débarasser des infections non repérées par Hijackthis :

• Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
   
  
• Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
   
  
• Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
  

Etape 10 : Nettoyage du registre

 

On va à nouveau nettoyer ton registre avec Jv16, car la suppression des fichiers détectés par Ewido y a probablement laissé des traces :

 

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"

puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

 

 

Etape 11 : Redémarrage en mode normal

 

- Redémarre en mode normal via le menu Démarrer > Arrêter l'ordinateur > Redémarrer (ne touche plus à F8 ou F5)

 

 

Etape 12 : Scan Panda + Scan Blacklight

 

* Scan Panda

 

Ne pouvant être effectué en mode sans échec, on va compléter le scan Ewido par un scan antivirus en ligne , celui de panda => http://www.pandasoftware.fr/Activescan/Activescan.html

 

- Met une adresse mail bidon pour éviter de recevoir de la pub de Panda (ou crée une adresse jetable --> http://www.jetable.org/fr/index )

- Installe l'activex

- Suis les instructions

- Choisis un scan "Disques locaux"

- A la fin du scan, clique sur "sauver le rapport"

- Sauvegarde-le dans un endroit sûr comme le bureau (j'en ai besoin)

 

Le tuto si tu bloques sur quelque chose --> http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

* Scan Blacklight

 

Ensuite, on va vérifier si des rootkits ("malwares cachés") n'ont pas infecté ton système (c'est une infection de plus en plus courante) :

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans Un fichier texte (mets le sur le bureau par exemple). NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

 

Etape 13 : Nouveau rapport Hijackthis

 

Génère un nouveau rapport Hijackthis (via "Do a system scan and save a logfile), copie-le, et colle-le dans ta prochaine réponse

 

=======================================================================

 

 

Je récapitule pour les rapports que tu dois coller dans ta prochaine réponse :

 

- Le contenu de C:\vundofix.txt

- Le rapport d'Ewido

- Le rapport de Panda (activescan.txt)

- Le rapport de Blacklight (préalablement sauvegardé dans un fichier .txt)

- Le nouveau rapport Hijackthis (généré en mode normal)

 

 

Du boulot en perspective...bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure.

 

A+

Modifié le 4 juillet 2006 par tornado

[melo]

re,

voila j ai fait toute la procédure a part le scan panda avast detecte un virus (win32) lors de l installation d activex.

Je te donne tous les autres rapports.

Je n ai pas trouvé non plus C:/vundofix.txt désolé

 

rapport ewido:

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

 

+ Created at: 21:48:08 05/07/2006

 

+ Scan result:

 

 

 

C:\Program Files\dr.exe -> Downloader.Adload.bo : Cleaned with backup (quarantined).

C:\Program Files\serial.dat/dr.exe -> Downloader.Adload.bo : Cleaned with backup (quarantined).

C:\Program Files\serial.zip/dr.exe -> Downloader.Adload.bo : Cleaned with backup (quarantined).

C:\Program1.exe -> Downloader.Adload.bo : Cleaned with backup (quarantined).

C:\WINDOWS\dr.exe -> Downloader.Adload.bo : Cleaned with backup (quarantined).

C:\documents.exe -> Downloader.Adload.bo : Cleaned with backup (quarantined).

C:\my.exe -> Downloader.Adload.bo : Cleaned with backup (quarantined).

C:\Documents and Settings\Propriétaire\Cookies\propriétaire@weborama[2].txt -> TrackingCookie.Weborama : Cleaned.

C:\Program Files\serial.dat/user32.exe -> Trojan.Small : Cleaned with backup (quarantined).

C:\Program Files\serial.zip/user32.exe -> Trojan.Small : Cleaned with backup (quarantined).

C:\Program Files\user32.exe -> Trojan.Small : Cleaned with backup (quarantined).

C:\WINDOWS\user32.exe -> Trojan.Small : Cleaned with backup (quarantined).

 

 

::Report end

 

 

rapport blacklight

 

07/05/06 22:18:19 [info]: BlackLight Engine 1.0.42 initialized

07/05/06 22:18:19 [info]: OS: 5.1 build 2600 (Service Pack 2)

07/05/06 22:18:19 [Note]: 7019 4

07/05/06 22:18:19 [Note]: 7005 0

07/05/06 22:18:21 [Note]: 7006 0

07/05/06 22:18:21 [Note]: 7011 1980

07/05/06 22:18:21 [Note]: 7026 0

07/05/06 22:18:21 [Note]: 7026 0

07/05/06 22:18:25 [Note]: FSRAW library version 1.7.1019

07/05/06 22:18:33 [Note]: 7007 0

 

 

rapport hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 22:18:57, on 05/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Multimedia Card Reader\shwicon2k.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\WINDOWS\system32\LVComS.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\PROGRA~1\Wanadoo\Watch.exe

C:\Program Files\Adobe\Acrobat 5.0\Reader\AcroRd32.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_02\bin\npjpi141_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_02\bin\npjpi141_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CFEEBE0B-50B4-4128-9562-250ECC57DB28}: NameServer = 192.168.1.1,90.60.2.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

 

voila un grand travail mais j y suis arrivé

a+