PC infecté : demande de contrôle

[bruce lee]

post de chanoly3:

 

salut,

 

 

voilà le problème : j'ai entrepris de désinfecter le pc de mon amie avec votre aide (lol) .

ca commence très fort, après un scan PANDA, 425 virus sans compter les logiciels espions !!!

 

ensuite impossible d'ouvrir ANTIVIR en mode sans échec, comme mentionné dans le tuto pr nettoyage

 

 

Je suis donc perdue. est-il possible de faire le scan en sans échec avec AVAST !!

 

 

voici tout de même le rapport HITJACKTHIS :

 

 

Logfile of HijackThis v1.99.1

Scan saved at 17:05:26, on 13/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Apps\ActivBoard\nhksrv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\snmp.exe

C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe

C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe

C:\WINDOWS\NsUpdate.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\Real\RealPlayer\RealPlay.exe

C:\Apps\ActivBoard\TrayMon.exe

C:\Apps\ActivBoard\OSD.exe

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Hotbar\bin\Hbinst.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\PROGRA~1\MICROS~4\System\urlmap.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\MsiExec.exe

C:\Documents and Settings\delaplace sandrine\Bureau\sécurité\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aliceadsl.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.aol.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Alice ADSL

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: SurfairyBHO Class - {BB9AAAF3-4F8D-48B5-A565-FF3E58433DC2} - C:\Program Files\Surfairy\SurfairyHlp.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NI.UWA6P_0001_N56M1011] "C:\Documents and Settings\David\Local Settings\Temporary Internet Files\Content.IE5\1S9BHI84\WinAntiVirusPro2006ScannerInstall[1].exe" -nag

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\RunServices: [WinProfile] sndcfg16.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm

O9 - Extra button: Suggestions - {2223664C-1942-4276-9A2D-E8D8F547C5D2} - res://EffiPeled (file missing)

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Alice ADSL - {45C3FF2A-37E0-446B-ABAD-4653F8A49502} - http://www.aliceadsl.fr (file missing) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://www.aliceadsl.fr

O16 - DPF: {04CCFF26-7D52-4E42-BF6A-F8ECE0896EB7} - http://scripts.downloadv3.com/binaries/EGD...ESS_1071_XP.cab

O16 - DPF: {04F414E9-E352-4BC3-963D-7BFE5A5F31A9} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1064_XP.cab

O16 - DPF: {0878F049-D33E-45E0-A157-C36A6683CF25} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1063_XP.cab

O16 - DPF: {0D1011B3-89C8-4F8E-8693-BB970E2E81E0} - http://scripts.downloadv3.com/binaries/EGD...9_ASPIV4_XP.cab

O16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/s...net32_FR_XP.cab

O16 - DPF: {3DAD912E-D2B9-4323-B7C9-7F2C5CC0C57B} - http://scripts.downloadv3.com/binaries/EGD...ESS_1070_XP.cab

O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll

O16 - DPF: {946B0485-8F8C-4C35-A6E7-D2115E3B0B4F} (HTMLAccess Class) - http://fr4-download.video-party.com/downlo...ccessXP1043.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A31D9A13-4C45-4DFB-8827-BA4F402D9C95} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1063_XP.cab

O16 - DPF: {BFC9677B-8006-4336-9D49-2C797AEFCB9E} - http://akamai.downloadv3.com/binaries/EGDA...ESS_1058_XP.cab

O16 - DPF: {E114CD5B-17CE-4807-890E-7B1EDF9F2E5E} - http://scripts.downloadv3.com/binaries/EGD...ESS_1066_XP.cab

O16 - DPF: {E1D20694-74D9-472D-AF03-08C26173A67F} - http://scripts.dlv4.com/binaries/egaccess4..._1063_em_XP.cab

O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_FR_XP.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

 

 

 

 

 

 

Merci de venir à mon aide, ou plutot à la sienne.

Modifié le 13 août 2006 par bruce lee

[chanoly3]

donc, me revoilà sur le bon sujet !!!

 

je fais quoi maintenant BRUCE ?

 

merci

[bruce lee]

re,

 

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

 

Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

 

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

Sous Scriptline to execute copie/colle cette ligne :

 

c:\bfu\EGDACCESS.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

 

redemare le PC et post un nouveau log hijackthis

[chanoly3]

bonjour,

 

 

 

voilà le nouveau rapport hijackthis que tu m'as demandé :

 

 

Logfile of HijackThis v1.99.1

Scan saved at 10:40:08, on 14/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Apps\ActivBoard\nhksrv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\snmp.exe

C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\MsiExec.exe

C:\Documents and Settings\delaplace sandrine\Bureau\sécurité\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aliceadsl.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.aol.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Alice ADSL

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: SurfairyBHO Class - {BB9AAAF3-4F8D-48B5-A565-FF3E58433DC2} - C:\Program Files\Surfairy\SurfairyHlp.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NI.UWA6P_0001_N56M1011] "C:\Documents and Settings\David\Local Settings\Temporary Internet Files\Content.IE5\1S9BHI84\WinAntiVirusPro2006ScannerInstall[1].exe" -nag

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\RunServices: [WinProfile] sndcfg16.exe

O4 - HKCU\..\Run: [update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm

O9 - Extra button: Suggestions - {2223664C-1942-4276-9A2D-E8D8F547C5D2} - res://EffiPeled (file missing)

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Alice ADSL - {45C3FF2A-37E0-446B-ABAD-4653F8A49502} - http://www.aliceadsl.fr (file missing) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://www.aliceadsl.fr

O16 - DPF: {04CCFF26-7D52-4E42-BF6A-F8ECE0896EB7} - http://scripts.downloadv3.com/binaries/EGD...ESS_1071_XP.cab

O16 - DPF: {04F414E9-E352-4BC3-963D-7BFE5A5F31A9} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1064_XP.cab

O16 - DPF: {0878F049-D33E-45E0-A157-C36A6683CF25} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1063_XP.cab

O16 - DPF: {0D1011B3-89C8-4F8E-8693-BB970E2E81E0} - http://scripts.downloadv3.com/binaries/EGD...9_ASPIV4_XP.cab

O16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/s...net32_FR_XP.cab

O16 - DPF: {3DAD912E-D2B9-4323-B7C9-7F2C5CC0C57B} - http://scripts.downloadv3.com/binaries/EGD...ESS_1070_XP.cab

O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll

O16 - DPF: {946B0485-8F8C-4C35-A6E7-D2115E3B0B4F} (HTMLAccess Class) - http://fr4-download.video-party.com/downlo...ccessXP1043.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A31D9A13-4C45-4DFB-8827-BA4F402D9C95} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1063_XP.cab

O16 - DPF: {BFC9677B-8006-4336-9D49-2C797AEFCB9E} - http://akamai.downloadv3.com/binaries/EGDA...ESS_1058_XP.cab

O16 - DPF: {E114CD5B-17CE-4807-890E-7B1EDF9F2E5E} - http://scripts.downloadv3.com/binaries/EGD...ESS_1066_XP.cab

O16 - DPF: {E1D20694-74D9-472D-AF03-08C26173A67F} - http://scripts.dlv4.com/binaries/egaccess4..._1063_em_XP.cab

O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_FR_XP.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

 

 

 

 

 

 

Merci

[bruce lee]

bonjour chanoly3,

 

 

Si durant la procedure ci bas, il y a des etapes que tu n'as pas reussi a faire, merci de

continuer la procedure jusqu'au bout et de les signaler dans ta prochaine reponse.

 

 

1/Télécharge http://www.ewido.net/en/download/ Ewido anti-spyware

 

Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.

 

Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"

 

Ferme Ewido. Ne pas le lancer tout de suite.

 

 

2/ telecharge et installe:

 

_zone alarm que tu peux télecharger ici http://www.zonelabs.com/store/content/cata...&lid=nav_za

_tuto pour zone alarm ici http://forum.telecharger.01net.com/microhe...messages-1.html

 

 

3/ ouvre le bloc note(demarrer\tous les programmes\accessoires\bloc notes)

 

4/copie ce qui est en citation (sans le mot citation) :

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"NI.UWA6P_0001_N56M1011"=-

 

[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\jrpgtx]

 

[-HKLM\Software\Microsoft\Windows\CurrentVersion\Run|jrpgtx]

 

 

-Enregistrez ce fichier reg dans : Bureau

-Nom du fichier : winantivirus.reg

-Type du fichier : tous les fichiers

-cliquez sur Enregistrer

-quittez le Bloc Notes

 

 

5/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

6/

demarrer/panneau de configuration/ajouts et suppresions de programmes et verifie la presence de:

 

Surfairy

 

si ce programme est present desinstalle le.

 

 

7/demarer executer services.msc repere France Telecom Routing Table Service

 

dans le champs Type de démarrage met le sur désactivé puis

Appliquer puis ok .

 

 

8/lance hijackthis en cliquant sur do a scan system only coche ces lignes:

 

O2 - BHO: SurfairyBHO Class - {BB9AAAF3-4F8D-48B5-A565-FF3E58433DC2} - C:\Program Files\Surfairy\SurfairyHlp.dll

O4 - HKLM\..\Run: [NI.UWA6P_0001_N56M1011] "C:\Documents and Settings\David\Local Settings\Temporary Internet Files\Content.IE5\1S9BHI84\WinAntiVirusPro2006ScannerInstall[1].exe" -nag

O4 - HKLM\..\RunServices: [WinProfile] sndcfg16.exe

O16 - DPF: {04CCFF26-7D52-4E42-BF6A-F8ECE0896EB7} - http://scripts.downloadv3.com/binaries/EGD...ESS_1071_XP.cab

O16 - DPF: {04F414E9-E352-4BC3-963D-7BFE5A5F31A9} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1064_XP.cab

O16 - DPF: {0878F049-D33E-45E0-A157-C36A6683CF25} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1063_XP.cab

O16 - DPF: {0D1011B3-89C8-4F8E-8693-BB970E2E81E0} - http://scripts.downloadv3.com/binaries/EGD...9_ASPIV4_XP.cab

O16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/s...net32_FR_XP.cab

O16 - DPF: {3DAD912E-D2B9-4323-B7C9-7F2C5CC0C57B} - http://scripts.downloadv3.com/binaries/EGD...ESS_1070_XP.cab

O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll

O16 - DPF: {946B0485-8F8C-4C35-A6E7-D2115E3B0B4F} (HTMLAccess Class) - http://fr4-download.video-party.com/downlo...ccessXP1043.cab

O16 - DPF: {A31D9A13-4C45-4DFB-8827-BA4F402D9C95} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1063_XP.cab

O16 - DPF: {BFC9677B-8006-4336-9D49-2C797AEFCB9E} - http://akamai.downloadv3.com/binaries/EGDA...ESS_1058_XP.cab

O16 - DPF: {E114CD5B-17CE-4807-890E-7B1EDF9F2E5E} - http://scripts.downloadv3.com/binaries/EGD...ESS_1066_XP.cab

O16 - DPF: {E1D20694-74D9-472D-AF03-08C26173A67F} - http://scripts.dlv4.com/binaries/egaccess4..._1063_em_XP.cab

O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_FR_XP.cab

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

9/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

10/supprime ce qui est en gras:

 

C:\Program Files\ Surfairy<== tout le dossier

C:\Documents and Settings\David\Local Settings\Temporary Internet Files\Content.IE5\1S9BHI84\ WinAntiVirusPro2006ScannerInstall[1].exe<== le fichier

c:\WINDOWS\system32\ jrpgtx.dat<== le fichier

C:\windows\system32\ jrpgtx.exe<== le fichier

c:\WINDOWS\system32\ jrpgtx_nav.dat<== le fichier

c:\WINDOWS\system32\ jrpgtx_navps.dat<== le fichier

c:\WINDOWS\Prefetch\ JRPGTX.EXE-0B2DF8DD.pf<== le fichier

c:\WINDOWS\system32\ msplock32.dll<== le fichier

 

 

11/Utilisation du fichier: winantivirus.reg précedemment créé

- double cliquez sur le fichier (Bureau) / Acceptez l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / validez le message disant que la fusion est terminée.

 

 

12/ Du mode Sans Échec, lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.

 

Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.

 

Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

 

 

13/redemarre en mode normal

 

14/poste le rapport d'ewido ainsi qu'un nouveau log hijackthis.

 

bon courage, et si tu as la moindre question n'hesite surtout pas

 

@+

Modifié le 14 août 2006 par bruce lee

[chanoly3]

re,

 

 

tout d'abord impossible de supprimer :

 

O4 - HKLM\..\Run: [NI.UWA6P_0001_N56M1011] "C:\Documents and Settings\David\Local Settings\Temporary Internet Files\Content.IE5\1S9BHI84\WinAntiVirusPro2006ScannerInstall[1].exe" -nag

 

 

ensuite, je n'ai pas trouvé les fichiers suivants :

 

 

c:\WINDOWS\system32\ jrpgtx.dat<== le fichier

C:\windows\system32\ jrpgtx.exe<== le fichier

c:\WINDOWS\system32\ jrpgtx_nav.dat<== le fichier

c:\WINDOWS\system32\ jrpgtx_navps.dat<== le fichier

c:\WINDOWS\system32\ msplock32.dll<== le fichier.

 

 

 

 

 

Puis après 2 heures de scan ewido en sans échec, impossible de sauver le rapport !!!

 

 

 

Que faire ?

 

 

Merci

[bruce lee]

re,

 

tout d'abord impossible de supprimer :

 

O4 - HKLM\..\Run: [NI.UWA6P_0001_N56M1011] "C:\Documents and Settings\David\Local Settings\Temporary Internet Files\Content.IE5\1S9BHI84\WinAntiVirusPro2006ScannerInstall[1].exe" -nag

 

Que veux tu dire par "impossible de supprimer"?

 

 

Il me faudrait un rapport de blacklight, je te remets la manip:

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

@+

Modifié le 14 août 2006 par bruce lee

[chanoly3]

bonsoir,

 

alors ce que je voulais dire dans

 

 

 

 

"tout d'abord impossible de supprimer :

 

O4 - HKLM\..\Run: [NI.UWA6P_0001_N56M1011] "C:\Documents and Settings\David\Local Settings\Temporary Internet Files\Content.IE5\1S9BHI84\WinAntiVirusPro2006ScannerInstall[1].exe" -nag "

 

 

c'est que une fois même une fois coché puis supprimé il est toujours présent !! (sais pas si c'est clair pour toi, mais pour moi NON =

 

 

 

voilà le raport blbeta :

 

 

08/14/06 21:43:15 [info]: BlackLight Engine 1.0.42 initialized

08/14/06 21:43:15 [info]: OS: 5.1 build 2600 (Service Pack 2)

08/14/06 21:43:15 [Note]: 7019 4

08/14/06 21:43:15 [Note]: 7005 0

08/14/06 21:43:32 [Note]: 7006 0

08/14/06 21:43:32 [Note]: 7011 3760

08/14/06 21:43:32 [Note]: 7026 0

08/14/06 21:43:32 [Note]: 7026 0

08/14/06 21:43:32 [Note]: 7024 3

08/14/06 21:43:32 [info]: Hidden process: C:\windows\system32\ihpdlq.exe

08/14/06 21:43:32 [Note]: FSRAW library version 1.7.1019

08/14/06 21:55:26 [info]: Hidden file: c:\WINDOWS\Prefetch\IHPDLQ.EXE-37DB8C21.pf

08/14/06 21:55:26 [Note]: 10002 1

08/14/06 21:56:05 [info]: Hidden file: c:\WINDOWS\system32\msplock32.dll

08/14/06 21:56:05 [Note]: 10002 1

08/14/06 21:56:11 [info]: Hidden file: c:\WINDOWS\system32\ihpdlq.dat

08/14/06 21:56:11 [Note]: 10002 1

08/14/06 21:56:12 [info]: Hidden file: C:\windows\system32\ihpdlq.exe

08/14/06 21:56:12 [Note]: 10002 1

08/14/06 21:56:12 [info]: Hidden file: c:\WINDOWS\system32\ihpdlq_nav.dat

08/14/06 21:56:12 [Note]: 10002 1

08/14/06 21:56:12 [info]: Hidden file: c:\WINDOWS\system32\ihpdlq_navps.dat

08/14/06 21:56:12 [Note]: 10002 1

08/14/06 21:58:14 [Note]: 7007 0

 

 

 

 

bonne nuit et merci.

[bruce lee]

-Télécharge la dernière version de Killbox ici=>

 

http://www.downloads.subratam.org/KillBox.zip

 

-Redémarre en mode sans échec pour ne pas être gêné par un résident.

 

-Lance Pocketkillbox,choisis l'option Delete on reboot

 

-la case single file est coché par default, il te faut cliquer sur all files

 

Copie ensite le chemin des fichiers entiers, en gras ci-bas, et colle le dans la boîte Full Path of File to Delete :

 

C:\windows\system32\ihpdlq.exe

C:\WINDOWS\Prefetch\IHPDLQ.EXE-37DB8C21.pf

C:\WINDOWS\system32\msplock32.dll

C:\WINDOWS\system32\ihpdlq.dat

C:\WINDOWS\system32\ihpdlq_nav.dat

C:\WINDOWS\system32\ihpdlq_navps.dat

 

 

-Cliquer sur la croix blanche sur fond rouge:

 

« File will be Deleted on Next Reboot » répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » répondre OUI

 

supprime ce qui est en gras:

 

C:\ !KillBox <== tout le dossier

 

 

refais un nouveau scan avec blacklight et poste le rapport.

 

@+

[chanoly3]

bonjour,

 

 

voici le rapport :

 

 

 

08/15/06 11:23:09 [info]: BlackLight Engine 1.0.42 initialized

08/15/06 11:23:09 [info]: OS: 5.1 build 2600 (Service Pack 2)

08/15/06 11:23:21 [Note]: 7019 4

08/15/06 11:23:21 [Note]: 7005 0

08/15/06 11:23:34 [Note]: 7006 0

08/15/06 11:23:35 [Note]: 7011 2324

08/15/06 11:23:35 [Note]: 7026 0

08/15/06 11:23:36 [Note]: 7026 0

08/15/06 11:23:56 [Note]: FSRAW library version 1.7.1019

08/15/06 11:39:12 [Note]: 7007 0