system doctor, drive cleaner ! aidez moi svp!Résolu/Fermé

Question

Bonjour à tous!
Comme certaines  personnes j'ai des fenetres de "drivecleaner" et "systemdoctor" qui apparaissent à chaque fois que je suis sur le net. Impossible de m'en débarrasser!
Si quelqu'un pouvait m'aider?

philae83 · Answer

bonjour, * Télécharge Blacklight https://europe.f-secure.com/exclude/blacklight/index.shtml (de F-Secure) (le premier de la page) Enregistre le sur ton Bureau. Double-clique fsbl.exe Clique sur "I ACCEPT" . clique Scan puis Next<*gras> Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe et * Télécharge HijackThis et poste le rapport stp http://pchelpbordeaux.free.fr/logiciels.html Tutorial http://pchelpbordeaux.free.fr/tuto.html Démo en image http://pageperso.aol.fr/balltrap34/demohijack.htm

fafe38 · Answer

Salut et merci de m'avoir répondu !
Je suis tout de suite tes instructions et je te poste le rapport dans les prochaines minutes !

fafe38 · Answer

Salut j'ai bien suivi tes instructions
voici le rapport de fsbl:

05/02/07 17:17:23 [Info]: BlackLight Engine 1.0.61 initialized
05/02/07 17:17:23 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/02/07 17:17:24 [Note]: 7019 4
05/02/07 17:17:24 [Note]: 7005 0
05/02/07 17:17:40 [Note]: 7006 0
05/02/07 17:17:40 [Note]: 7011 1628
05/02/07 17:17:40 [Note]: 7026 0
05/02/07 17:17:40 [Note]: 7026 0
05/02/07 17:17:45 [Note]: FSRAW library version 1.7.1021
05/02/07 17:24:16 [Note]: 7007 0

fafe38 · Answer

et celui de HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 17:26:02, on 02/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\av_fw\fswsclds.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe
C:\Program Files\Lavalys\EVEREST Ultimate Edition\everest.exe
C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
C:\PROGRA~1\Wanadoo\WOOBRO~1\DownloadManager.exe
C:\Documents and Settings\FAFE\Bureau\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\oxlvmwex.dll",realset
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/importer/MypixUploader.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - https://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/en/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B046F93-7D9D-4B65-A52E-6E86A314A2E1}: NameServer = 193.252.19.3,193.252.19.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{87ED4289-CC98-405E-9883-BA4A0705DE37}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B046F93-7D9D-4B65-A52E-6E86A314A2E1}: NameServer = 193.252.19.3,193.252.19.4
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

philae83 · Answer

bonsoir,

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

et

* lance hijackthis "do a system scan only" puis coche ces lignes :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\oxlvmwex.dll",realset 
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) 
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/importer/MypixUploader.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - https://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/en/check/qdiagh.cab?326 

* ferme les applications ouvertes y compris Internet Explorer et clique sur "fix checked"

puis


double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\oxlvmwex.dll

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

puis

* Fait un scan antivirus en ligne Panda et copie colle le résultat ici
https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm

* tuto en image
https://forum.pcastuces.com/default.asp#haut

à la lettre T

ainsi qu'un nouveau rapport hijackthis

fafe38 · Answer

Re salut !
J ai fait ce que tu m'as demandé
Voici en 1er le rapport de otmoveit:

DllUnregisterServer procedure not found in C:\WINDOWS\system32\oxlvmwex.dll
C:\WINDOWS\system32\oxlvmwex.dll NOT unregistered.
C:\WINDOWS\system32\oxlvmwex.dll moved successfully.
 
Created on 05/02/2007 22:06:12

philae83 · Answer

re

parfait j'attends le reste maintenant. Si jamais je ne reviens pas....ce soir, il y a de l'orage qui s'approche chez moi

fafe38 · Answer

Re désolé mais je te posterai les autres rapport demain( en début d'apres midi) , car l'analyse de activescan s'est bloqué (au bout de 40min) je suis un peu dégouté !
Et vu qu'il se fait tard je ferai tout demain !
Bonne soirée (et merci) !

philae83 · Answer

ok à demain donc 
peut être que le soir pour moi

fafe38 · Answer

Salut, apres une longue analyse d'active scan, je te poste le rapport:


Incident                                                                        Statut                        Analyse                                                                                                                                                                                                                                                         

Outil indésirable:Application/Processor                                         No Désinfecté                 C:\Documents and Settings\FAFE\Bureau
avilog1.zip[Process.exe]                                                                                                                                                                                                 
Outil indésirable:Application/Processor                                         No Désinfecté                 C:\Documents and Settings\FAFE\Bureau\Process.exe                                                                                                                                                                                                               
Spyware:Cookie/RealMedia                                                        No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@247realmedia[2].txt                                                                                                                                                                                                 
Spyware:Cookie/Adtech                                                           No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@adtech[2].txt                                                                                                                                                                                                       
Spyware:Cookie/Advertising                                                      No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@advertising[1].txt                                                                                                                                                                                                  
Spyware:Cookie/Serving-sys                                                      No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@bs.serving-sys[2].txt                                                                                                                                                                                               
Spyware:Cookie/Sextracker                                                       No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@counter2.sextracker[1].txt                                                                                                                                                                                          
Spyware:Cookie/Doubleclick                                                      No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@doubleclick[1].txt                                                                                                                                                                                                  
Spyware:Cookie/Mediaplex                                                        No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@mediaplex[1].txt                                                                                                                                                                                                    
Spyware:Cookie/Serving-sys                                                      No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@serving-sys[1].txt                                                                                                                                                                                                  
Spyware:Cookie/WebtrendsLive                                                    No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@statse.webtrendslive[1].txt                                                                                                                                                                                         
Spyware:Cookie/Weborama                                                         No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@weborama[1].txt                                                                                                                                                                                                     
Spyware:Cookie/Weborama                                                         No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@weborama[2].txt                                                                                                                                                                                                     
Spyware:Cookie/Xiti                                                             No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@xiti[1].txt                                                                                                                                                                                                         
Spyware:Cookie/Xiti                                                             No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@xiti[2].txt                                                                                                                                                                                                         
Adware:Adware/ClockSync                                                         No Désinfecté                 C:\Documents and Settings\FAFE\Mes documents\programme\bsplayer139.829.exe[VVSNInst.exe]                                                                                                                                                                        
Dialer:Dialer.DCG                                                               No Désinfecté                 C:\Program Files\intexus\backup\2.1.1.11360-73\final.exe                                                                                                                                                                                                        
Dialer:Dialer.DCG                                                               No Désinfecté                 C:\Program Files\intexus\final.exe                                                                                                                                                                                                                              
Adware:Adware/WUpd                                                              No Désinfecté                 C:\WINDOWS\Downloaded Program Files\MediaPassX.dll                                                                                                                                                                                                              
Spyware:Spyware/Virtumonde                                                      No Désinfecté                 C:\WINDOWS\system32\cbxywvu.dll                                                                                                                                                                                                                                 
Spyware:Spyware/Virtumonde                                                      No Désinfecté                 C:\WINDOWS\system32\fxycenem.dll                                                                                                                                                                                                                                
Outil indésirable:Application/Processor                                         No Désinfecté                 C:\WINDOWS\system32\Process.exe                                                                                                                                                                                                                                 
Virus:W32/P2P.Padonak.A                                                         Désinfecté                    C:\WINDOWS\system32\wunauclt.exe                                                                                                                                                                                                                                
Spyware:Spyware/Virtumonde                                                      No Désinfecté                 C:\WINDOWS\system32\wvutstt.dll                                                                                                                                                                                                                                 
Spyware:Spyware/Virtumonde                                                      No Désinfecté                 C:\_OTMoveIt\MovedFiles\WINDOWS\system32\oxlvmwex.dll

fafe38 · Answer

Ainsi que le nouveau rapport de Hijckthis :

Logfile of HijackThis v1.99.1
Scan saved at 15:30:07, on 03/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe
C:\Program Files\Securitoo\av_fw\fswsclds.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\FAFE\Bureau\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\fxycenem.dll",realset
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B046F93-7D9D-4B65-A52E-6E86A314A2E1}: NameServer = 193.252.19.3,193.252.19.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{87ED4289-CC98-405E-9883-BA4A0705DE37}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B046F93-7D9D-4B65-A52E-6E86A314A2E1}: NameServer = 193.252.19.3,193.252.19.4
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

philae83 · Answer

bonjour,


* Télécharge VundoFix.exe (par Atribune) sur ton Bureau

http://www.atribune.org/ccount/click.php?id=4

 * Double-clique VundoFix.exe afin de le lancer

* Clique sur le bouton Scan for Vundo

* Lorsque le scan est complété, clique sur le bouton Remove Vundo

* Une invite te demandera si tu veux supprimer les fichiers, clique YES

* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers

* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK

* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

 
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

fafe38 · Answer

Salut j'ai bien suivi tes instruction par contre apres le redemarrage du pc (apres avoir utilise vindofix) une fenetre d'erreur est apparu 
"Erreur de chargement de C:\WINDOWS\system32\fxycenem.dll   Le module spécifié est introuvable"

Je te poste le rapport de vundofix:


VundoFix V6.3.21

Checking Java version...

Java version is 1.4.2.5
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Scan started at 16:09:52 03/05/2007

Listing files found while scanning....

C:\WINDOWS\system32\cbxywvu.dll
C:\WINDOWS\system32\fxycenem.dll
C:\WINDOWS\system32\menecyxf.ini
C:\WINDOWS\system32\pmrqofeb.dll
C:\WINDOWS\system32\rttss.bak1
C:\WINDOWS\system32\rttss.bak2
C:\WINDOWS\system32\rttss.ini
C:\WINDOWS\system32\ssttr.dll
C:\WINDOWS\system32\wvutstt.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\cbxywvu.dll
C:\WINDOWS\system32\cbxywvu.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\fxycenem.dll
C:\WINDOWS\system32\fxycenem.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\menecyxf.ini
C:\WINDOWS\system32\menecyxf.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\rttss.bak1
C:\WINDOWS\system32\rttss.bak1 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\rttss.bak2
C:\WINDOWS\system32\rttss.bak2 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\rttss.ini
C:\WINDOWS\system32\rttss.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ssttr.dll
C:\WINDOWS\system32\ssttr.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\wvutstt.dll
C:\WINDOWS\system32\wvutstt.dll Has been deleted!

Performing Repairs to the registry.
Done!

fafe38 · Answer

et voici le nouveau rapport de Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 16:20:15, on 03/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\av_fw\fswsclds.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\FAFE\Bureau\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {69B2EAFC-5F5D-43D1-8851-BE0DC234186B} - C:\WINDOWS\system32\ssttr.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\fxycenem.dll",realset
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B046F93-7D9D-4B65-A52E-6E86A314A2E1}: NameServer = 193.252.19.3,193.252.19.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{87ED4289-CC98-405E-9883-BA4A0705DE37}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B046F93-7D9D-4B65-A52E-6E86A314A2E1}: NameServer = 193.252.19.3,193.252.19.4
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

philae83 · Answer

re

* lance hijackthis  puis coche ces lignes :

O2 - BHO: (no name) - {69B2EAFC-5F5D-43D1-8851-BE0DC234186B} - C:\WINDOWS\system32\ssttr.dll (file missing) 
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\fxycenem.dll",realset 

* ferme toutes les applications y compris IE et clique sur fix checked

puis refait un scan chez Panda, reposte le nouveaur apport ainsi qu'un rapport hijackthis stp

fafe38 · Answer

Me revoilà , 
J ai fait le scan chez panda
voici le rapport:


Incident                                                                        Statut                        Analyse                                                                                                                                                                                                                                                         

Outil indésirable:Application/Processor                                         No Désinfecté                 C:\Documents and Settings\FAFE\Bureau
avilog1.zip[Process.exe]                                                                                                                                                                                                 
Outil indésirable:Application/Processor                                         No Désinfecté                 C:\Documents and Settings\FAFE\Bureau\Process.exe                                                                                                                                                                                                               
Spyware:Cookie/RealMedia                                                        No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@247realmedia[2].txt                                                                                                                                                                                                 
Spyware:Cookie/Adtech                                                           No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@adtech[2].txt                                                                                                                                                                                                       
Spyware:Cookie/Advertising                                                      No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@advertising[1].txt                                                                                                                                                                                                  
Spyware:Cookie/Atlas DMT                                                        No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@atdmt[2].txt                                                                                                                                                                                                        
Spyware:Cookie/Bluestreak                                                       No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@bluestreak[2].txt                                                                                                                                                                                                   
Spyware:Cookie/Serving-sys                                                      No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@bs.serving-sys[2].txt                                                                                                                                                                                               
Spyware:Cookie/Sextracker                                                       No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@counter2.sextracker[1].txt                                                                                                                                                                                          
Spyware:Cookie/Doubleclick                                                      No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@doubleclick[1].txt                                                                                                                                                                                                  
Spyware:Cookie/Hitbox                                                           No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@hitbox[2].txt                                                                                                                                                                                                       
Spyware:Cookie/Mediaplex                                                        No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@mediaplex[1].txt                                                                                                                                                                                                    
Spyware:Cookie/Serving-sys                                                      No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@serving-sys[2].txt                                                                                                                                                                                                  
Spyware:Cookie/WebtrendsLive                                                    No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@statse.webtrendslive[1].txt                                                                                                                                                                                         
Spyware:Cookie/Weborama                                                         No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@weborama[2].txt                                                                                                                                                                                                     
Spyware:Cookie/Weborama                                                         No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@weborama[3].txt                                                                                                                                                                                                     
Spyware:Cookie/Xiti                                                             No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@xiti[1].txt                                                                                                                                                                                                         
Spyware:Cookie/Xiti                                                             No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@xiti[2].txt                                                                                                                                                                                                         
Spyware:Cookie/Zedo                                                             No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@zedo[2].txt                                                                                                                                                                                                         
Adware:Adware/ClockSync                                                         No Désinfecté                 C:\Documents and Settings\FAFE\Mes documents\programme\bsplayer139.829.exe[VVSNInst.exe]                                                                                                                                                                        
Dialer:Dialer.DCG                                                               No Désinfecté                 C:\Program Files\intexus\backup\2.1.1.11360-73\final.exe                                                                                                                                                                                                        
Dialer:Dialer.DCG                                                               No Désinfecté                 C:\Program Files\intexus\final.exe                                                                                                                                                                                                                              
Spyware:Spyware/Virtumonde                                                      No Désinfecté                 C:\VundoFix Backups\cbxywvu.dll.bad                                                                                                                                                                                                                             
Spyware:Spyware/Virtumonde                                                      No Désinfecté                 C:\VundoFix Backups\fxycenem.dll.bad                                                                                                                                                                                                                            
Spyware:Spyware/Virtumonde                                                      No Désinfecté                 C:\VundoFix Backups\wvutstt.dll.bad                                                                                                                                                                                                                             
Adware:Adware/WUpd                                                              No Désinfecté                 C:\WINDOWS\Downloaded Program Files\MediaPassX.dll                                                                                                                                                                                                              
Outil indésirable:Application/Processor                                         No Désinfecté                 C:\WINDOWS\system32\Process.exe                                                                                                                                                                                                                                 
Spyware:Spyware/Virtumonde                                                      No Désinfecté                 C:\_OTMoveIt\MovedFiles\WINDOWS\system32\oxlvmwex.dll

fafe38 · Answer

et voici le nouveau rapport de hijackthis:


Logfile of HijackThis v1.99.1
Scan saved at 17:40:44, on 03/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\av_fw\fswsclds.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\FAFE\Bureau\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B046F93-7D9D-4B65-A52E-6E86A314A2E1}: NameServer = 193.252.19.3,193.252.19.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{87ED4289-CC98-405E-9883-BA4A0705DE37}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B046F93-7D9D-4B65-A52E-6E86A314A2E1}: NameServer = 193.252.19.3,193.252.19.4
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

philae83 · Answer

re

qu'est-ce que ce programme

intexus

visiblement pas clean
supprime
C:\Program Files\intexus

puis

* Relance Vundofix
 * Ne clique pas sur "Scan for a vundo"
 * Clique droit au milieu de la fenêtre
 * Clique sur Add more files ?
 * Copie/colle les fichiers ci-dessous ( un par case) :

C:\WINDOWS\system32\cbxywvu.dll 
 C:\WINDOWS\system32\fxycenem.dll 

* Clique sur Add files
 * Ensuite clique sur Close Windows
 * Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
 * Si l'outils demande un redémarrage, accepte
 * Poste le rapport Vundofix

puis

* Assure toi d'avoir accès à tous les fichiers

-démarrer

-poste de travail ou autre dossier

-menu outils

-options de dossier

-onglet affichage

puis

- activer la case : Afficher les fichiers et dossiers cachés

- désactiver la case : Masquer les extensions des fichiers dont le type est connu

- désactiver  la case : Masquer les fichier protégés du système d'exploitation

Puis  - Appliquer

* et Supprime le(s) fichier(s) ci dessous si il(s) est (sont) présent(s) :

C:\Documents and Settings\FAFE\Mes documents\programme\bsplayer139.829.exe 
C:\WINDOWS\Downloaded Program Files\MediaPassX.dll 

* Dans l'Explorateur Windows recache les fichiers système afin de ne pas faire d'erreur à l'avenir. Retourne à la fenêtre Paramètres de dossiers et sélectionne Ne pas afficher les fichiers cachés ou les fichiers système

* Télécharge CCleaner.

Installe le dans un répertoire dédié.

Décoche pendant l'installation

--- les deux cases "Ajouter l'option ... "

--- Contrôler les mises à jour

--- Ajouter la Barre d'Outils Yahoo! CCleaner

puis lance le nettoyage complet
ensuite revient avec  le rapport de vundo.

fafe38 · Answer

Voici le rapport de vundofix:


VundoFix V6.3.21

Checking Java version...

Java version is 1.4.2.5
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Scan started at 16:09:52 03/05/2007

Listing files found while scanning....

C:\WINDOWS\system32\cbxywvu.dll
C:\WINDOWS\system32\fxycenem.dll
C:\WINDOWS\system32\menecyxf.ini
C:\WINDOWS\system32\pmrqofeb.dll
C:\WINDOWS\system32\rttss.bak1
C:\WINDOWS\system32\rttss.bak2
C:\WINDOWS\system32\rttss.ini
C:\WINDOWS\system32\ssttr.dll
C:\WINDOWS\system32\wvutstt.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\cbxywvu.dll
C:\WINDOWS\system32\cbxywvu.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\fxycenem.dll
C:\WINDOWS\system32\fxycenem.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\menecyxf.ini
C:\WINDOWS\system32\menecyxf.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\rttss.bak1
C:\WINDOWS\system32\rttss.bak1 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\rttss.bak2
C:\WINDOWS\system32\rttss.bak2 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\rttss.ini
C:\WINDOWS\system32\rttss.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ssttr.dll
C:\WINDOWS\system32\ssttr.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\wvutstt.dll
C:\WINDOWS\system32\wvutstt.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Performing Repairs to the registry.
Done!

fafe38 · Answer

Ensuite j'ai donc suivi tes instructions, mais je n'ai pas trouve le fichier "C:\WINDOWS\Downloaded Program Files\MediaPassX.dll 
" que je dois supprimer!

Ensuite j'ai fait le nettoyage avec ccleaner

Et tu me demande de revenir avec le rapport de vundo
Faut il que je relance vundo?

philae83 · Answer

re

"C:\WINDOWS\Downloaded Program Files\MediaPassX.dll
" que je dois supprimer!

je vais revenir te donner une manip



Et tu me demande de revenir avec le rapport de vundo
Faut il que je relance vundo?

je t'avais donné une manip avec vundo poste 18
l'as tu faite ? 

as tu supprimé intexus  ?

philae83 · Answer

voici la manip à effectuer pour supprimer le contenue de downloaded program files

* Démarrer, Exécuter et taper cmd ; la fenêtre de commandes s'ouvre.

del "C:\WINDOWS\Downloaded Program Files\MediaPassX.dll"

(recopie correctement en tenant compte de l'espace existant entre del et "

sinon cela ne fonctionnera pas

fafe38 · Answer

Re 
Pour mediapassx.dll j ai executer comme tu m'as dit , il marque "fichier non trouvé"

Ensuite j'ai bien supprimé "indexus" comme tu me l'avais dit

Pour le rapport de vundo que je t ai mis au poste "19"
Je l ai fait apres avoir supprimer "indexus"

Ma question est : dois refaire un rapport de vundo apres avoir supprimé "bsplayer" eet "mediapassx" et fais le nettoyage avec ccleaner?

fafe38 · Answer

re 
bonne soiree et à demain (je serai la dans l'apres midi)
et merci encore

philae83 · Answer

bonsoir,

maintenant il faudrait refaire un scan avec Panda pour vérifier ce qu'il trouve encore

tu postes le rapport ensuite
à demain

fafe38 · Answer

Salut , tout d'abord je voulais te dire que depuis hier soir aucune fenetre de "system doctor" ou "drivecleaner"  n'est apparues !
Ainsi que l'ordinateur fonctionne beaucoup mieux ( plus vite!)

Tu m'as supprimé déjà pas mal de "saloperies" et je t'en remercie

Ensuite j'ai bien fait le scan de panda
Voici le rapport:


Incident                                                                        Statut                        Analyse                                                                                                                                                                                                                                                         

Outil indésirable:Application/Processor                                         No Désinfecté                 C:\Documents and Settings\FAFE\Bureau
avilog1.zip[Process.exe]                                                                                                                                                                                                 
Outil indésirable:Application/Processor                                         No Désinfecté                 C:\Documents and Settings\FAFE\Bureau\Process.exe                                                                                                                                                                                                               
Spyware:Cookie/RealMedia                                                        No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@247realmedia[1].txt                                                                                                                                                                                                 
Spyware:Cookie/RealMedia                                                        No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@247realmedia[2].txt                                                                                                                                                                                                 
Spyware:Cookie/Adtech                                                           No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@adtech[2].txt                                                                                                                                                                                                       
Spyware:Cookie/Bluestreak                                                       No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@bluestreak[2].txt                                                                                                                                                                                                   
Spyware:Cookie/Serving-sys                                                      No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@bs.serving-sys[2].txt                                                                                                                                                                                               
Spyware:Cookie/Doubleclick                                                      No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@doubleclick[1].txt                                                                                                                                                                                                  
Spyware:Cookie/Mediaplex                                                        No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@mediaplex[1].txt                                                                                                                                                                                                    
Spyware:Cookie/Serving-sys                                                      No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@serving-sys[1].txt                                                                                                                                                                                                  
Spyware:Cookie/Weborama                                                         No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@weborama[1].txt                                                                                                                                                                                                     
Spyware:Cookie/Xiti                                                             No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@xiti[1].txt                                                                                                                                                                                                         
Spyware:Cookie/Xiti                                                             No Désinfecté                 C:\Documents and Settings\FAFE\Cookies\fafe@xiti[2].txt                                                                                                                                                                                                         
Spyware:Spyware/Virtumonde                                                      No Désinfecté                 C:\VundoFix Backups\cbxywvu.dll.bad                                                                                                                                                                                                                             
Spyware:Spyware/Virtumonde                                                      No Désinfecté                 C:\VundoFix Backups\fxycenem.dll.bad                                                                                                                                                                                                                            
Spyware:Spyware/Virtumonde                                                      No Désinfecté                 C:\VundoFix Backups\wvutstt.dll.bad                                                                                                                                                                                                                             
Outil indésirable:Application/Processor                                         No Désinfecté                 C:\WINDOWS\system32\Process.exe                                                                                                                                                                                                                                 
Spyware:Spyware/Virtumonde                                                      No Désinfecté                 C:\_OTMoveIt\MovedFiles\WINDOWS\system32\oxlvmwex.dll

philae83 · Answer

bonjour, effectivement, tout semble rentré dans l'ordre, néanmoins il faut faire le ménage maintenant ouvre OTMoveIt clique sur "clean up" il va te supprimer tous les logiciels que l'on a utilisé pour nettoyer puis * démarrer-----------panneau de configuration------------système---------- onglet Restauration système-----------coche la case (Désactiver la restauration système)-------------- redémarre l'ordinateur réactive la ensuite * Pour améliorer la sécurité de ton PC prend quelques instants pour lire CECI * Dénonce ton infection pour faire condamner les auteurs. Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection : - Voir les règles du forum : https://malwarecomplaints.info/ - Après t'être enregistré à l'aide du bouton en haut se nommant "Register" Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age" Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age" Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..). La tienne = ****** ---> https://malwarecomplaints.info/ Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..) Indique aussi le nom du Forum qui t'a aidé, CommentCaMarche * met ton sujet en RESOLU stp, merci. bon we à toi

fafe38 · Answer

Re 
J ai bien reçu ton dernier message
Je voulais simplement te dire 1000 fois merci pour l'aide et le temps que tu m'as consacré !
C est vraiment cool que des personnes comme toi aident les internautes à régler leur problemes

Vive Philae83 !!!!!!

Bonne continuation !

philae83 · Answer

Merci, c'est gentil

bon WE 
Prends soin de ton pc :)

System doctor, drive cleaner ! aidez moi svp!

29 réponses

Discussions similaires

Newsletters