Infection par Win32.Trojandownloader.Zlob

emule emule......


Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4

* Double-clique VundoFix.exe afin de le lancer.
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaitra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
* Démarre ton PC à nouveau.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt



Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT
créé sur le bureau dans ta prochaine réponse

Bonsoir Espion 3004 et merci de tes conseils,
J'ai suivi ta procédure et lancé Vundo Fix. Le scan s'est terminé sur un message m'indiquant l 'absence d'infection. Le micro ne s'est pas fermé. Voici le fichier VundoFix.txt:

VundoFix V6.7.7

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Scan started at 00:22:28 25/01/2008

Listing files found while scanning....

No infected files were found.


Beginning removal...

Peut être est-il utile de t'indiquer qu'outre Lavasoft AdAwre qui me détecte le malware Win32.Trojandownloader.Zlob, AVG Antispyware 7.5 me détecte le malware Adware generic et Spybot Search & Destroy me détecte le malware Smitfraud-C.Toolbar
Ces 3 malwares ne semblent n'en former qu'un seul car ils affectent, me semble-t-il, la même clé du registre. Par contre, aucun de ces logiciels n'éradique le malware et ce, malgré plusieurs tentatives.
J'ai tenté un nettoyage avec SmitfraudFix mais sans résultat.
J'ai nettoyé le registre et les fichiers avec Easy Cleaner et CCleaner sans résultat non plus.
A noter toutefois que grace à Spyboot qui permet d'atteindre la clé infectée, j'avais pu la supprimer Cette clé est toutefois réapparue à l'ouverture du micro, elle se régénère automatiquement.

Comte tenu du résultat VundoFix, je n'ai pas lancé VirtumondeBeGone.
Fauit-il le faire?
D'avance merci pour ton aide.

Salut Victorial

Je m’interpose juste le temps de te faire faire quelques manip. Question de nettoyer et faire respirer ton Pc et pour que Espion3004 puisse mieux voir les résultats… Qui peuvent s’avérer fausse quelque fois…

Pour ce qui est de la manip. de VirtumundoBegone, il y a toujours une raison de faire des manip comme on nous l’a indiqué même si les résultats ne sont pas ce que nous nous attendions. Malgré ce que toi tu vois des rapports que tu as, nous, nous pouvons y voir autres choses!

Au départ Easy Cleaner et CCleaner sont des programmes de nettoyage pas des Anti Virus/Spyware. Par contre j'ai une question qui peut parraître bête mais... Redémarre tu ton Pc entre chaque scan? C'est ce qu'il faut faire entre chaque scan pour permettre un nettoyage à fond. Et pour ne pas que cela interfère les résultats des autres scan qui suiveront!

Pour commencer une mise à jour à faire…
Adobe est rendu à la Version 8 et tu as la Version 7. Voici le lien… http://www.adobe.com/fr/products/acrobat/readstep2.html

Maintenant…

Je ne veux pas te faire peur Victorial, mais à l’heure actuel ton Pc est une vraie passoire…

Trop c’est comme pas assez! Tu dois choisir… Un seul et unique Anti Virus!
AntiVir - Symantec/Norton - Pando

Je ne travaille pas avec mais comme tu l’as déjà, je te suggère fortement de garder Pando. Supérieur à AntiVir qui est bien, mais surtout meilleur que Norton!!! Tout est meilleur que Norton…! (Perso!)

La même chose du côté des Anti Spyware… Un seul et unique Anti Spyware!
Windows Defender - Lavasoft/AdAware - AVG

J’ai déjà travaillé avec AdAware, Très bon/excellent même, mais depuis que j’ai découvert AVG… Il n’y a pas grand chose de mieux à date… (Mon Avis Perso!) Et pour Windows Defender… Heu… C’est du Windows! Ça te va comme réponse? ;o)

Ok. Donc une fois tes choix fait, fait comme ici-bas… Désinstalle tout tes logiciels avant de redémarrer ton Pc… Tu risques de trouver ça chi@/$t sinon...

Clic Démarré – Panneau de control – Ajout/Supp – Et tu désinstalles ceux que tu ne veux pas garder. Une fois fait, Reste ici il y a d’autres logiciels à désinstaller…

Maintenant recherche celui-ci… --->Java\jre1.5.0_06<--- Il faut que cela soit EXACTEMENT le même. Attend il y en a d’autre à désinstaller…

Recherche tout ce qui a le terme ‘’toolbar’’ Et désinstalle les (Toutes toolbar/Barre de recherche rajouté à un navigateur internet n’est pas sécuritaire Plus tu en as, mions sécuritaire tu es sur le net!) – C’est tout!

Si tu veux être mieux protéger quand tu ‘’surf’’ garde IE pour certains sites… Mais si tu n’as pas encore FireFox c’est le temps de l’installer…
http://www.mozilla-europe.org/fr/products/firefox/ Sérieusement plus stable, plus sécure et un vrai Popup Blocker! Plus besoin de Toolbar dorénavant!

Et si tu ne sais pas comment configurer IE7 pour Blocker les Popups, laisse le moi savoir et je t’écrirais la procédure…;o)

Maintenant tu peux tout fermer tu vas faire autre chose…

Clic Démarré – Poste de Travail – Disque C : - Program Files – Java --- Dans celui-ci, tu gardes seulement celui qui est inscrit ceci ---> jre1.6.0_03 <--- Tout le reste tu supprimes… Maintenant regarde pour Google ---> Supprimes le fichier au complet…

Maintenant… Tout dépend des logiciels que tu as décidé de garder comme Anti Virus/Spyware…

AntiVir - Symantec/Norton – Pando ---> Pour les Anti Virus. Supprime seulement ceux que tu as désinstallé.

Windows Defender - Lavasoft/AdAware – AVG ---> Pour les Anti Spywares. Supprime seulement ceux que tu as désinstallé. C’est tout, tu peux tout fermer …

Alors maintenant ouvre HiJackThis et Clic sur le 2ième bouton **Seulement un Scan**

Maintenant chaque ligne que tu vois en bas et qui est dans le rapport devant toi… Coche la ligne…

***Attentions… Certaines peuvent ne plus être là…!***

Pour Celle-ci, Si tu as gardé Pando, ne la coche pas!!!
À moins que tu es garder un autre logiciel et qu’elle y est encore, à ce moment là, seulement, tu peux la cocher. Et ce sera la même chose pour les autres logiciels de protection!
O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Program Files\Pando Networks\Pando\PandoIEPlugin.dll

Pour celles ci, toutes sans exception… Même Pando! Si elles y sont encore!
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Pando Toolbar BHO - {E3EA4FD1-CADE-4ae5-84F7-086EEE888BE4} - C:\Program Files\PandoBar\bar\1.bin\PANDOBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
files\google\googletoolbar2.dll
O3 - Toolbar: Pando Toolbar - {E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4} - C:\Program Files\PandoBar\bar\1.bin\PANDOBAR.DLL

Pour celles ci, ce sont des programmes qui démarrent en même temps que Windows et c’est ce qui ralenti le démarrage de Windows… Et peux causer une entrée pour un intrus!!! Surtout à la quantité d’Anti Virus que tu as!

Encore une fois, ici, les programmes que tu vas cocher dépendent des Anti Virus/Spyware que tu as gardé… Alors Porte ATTENTION aux lignes qui suivent!

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft
Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [ScanSoft PDF Professional 3.0-reminder] "C:\Program Files\ScanSoft\PDF Professional 3.0\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Application Data\ScanSoft\PDF Professional\3\Ereg\ereg.ini"
O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Program Files\ScanSoft\PDF Professional 3.0\\RegistryController.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

Celle-ci peut ne plus y être…
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"

Celle-ci peut ne plus y être…
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk =
C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

Celles-ci ce sont les scans en ligne que tu as fait… Tu peux les supprimer maintenant!
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Contrôleur de DownloadManager) - http://dlm.tools.akamai.com/dlmanager/vers...vex-2.0.6.2.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotion...anner371420.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.ca

Celles ci dépendent des logiciels que tu as gardé…

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

Celles ci peuvent ne plus y être…
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

Attention avec celle ci… As tu gardé Norton?

O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe

Maintenant refait un ‘’double check up’’ pour être sûr. Et ensuite click le bouton … **Fixé**. Voilà c’est terminé.

Redémarre ton Pc et fait un scan avec VirtumundoBegone. Enregistre le rapport.

Redémarre encore ton Pc et fait un scan de HJT et enregistre le rapport.

Poste ici dans l’ordre les deux rapports… VirtumundoBegone et HiJackThis!

Delà, Espion3004 devrait être en mesure d’y voir plus clair… Et oui... Il y aura autres procédures à faire par la suite!

Bonne chance et Merci de suivre les Manip…

TropJean ;o)

Bonjour TropJean
Tout d'abord un grand merci pour avoir pris le temps d'analyser mon problème.
Je ne suis qu'un débutant en informatique et mes sources d'info sont Micro Hebdo et Windows News. Dans une étude datant de qq mois, Micro Hebdo classait Antivir parmi les meilleurs antivirus et je l'ai donc choisi car gratuit et performant.
J'étais donc persuadé d'être bien protégé avec ZA, Ad Aware et Antivir d'autant que Ad Aware protège en continu. Je ne sais pas si c'est le cas pour AVG. J'avais chargé Pando pour faire des scans en complément de Antivir mais je ne savais pas qu'il marchait en permanence dans mon PC!. Pour Ad Aware, j'effectue les mises à jour régulièrement, je croyais donc être à jour.

Je vais profiter du WE pour exécuter les nettoyages que tu m'as recommandé et posterai les résultats.

J'ai ouvert "ajout/suppression de pgs" et n'ai pas trouvé Java\jre1.5.0_06i, il n'y a que Java (TM)6 update 3. De même, je n'ai trouvé que 2 tools bars (Google et Pando) et un fichier Google (Google Deskstop Search). Supprimer Google Deskstop Search ne supprime-t-il pas le moteur de recherche Google? Où trouver les fichiers que je dois supprimer?

Bon WE et à bientôt sur le net.

Salut Vic… Tu Permet?

Pour commencer ça fait toujours plaisir d’aider quelqu’un dans le besoin! Pour le fait que en connais peu sur l’informatique… Dis toi que nous commençons tous quelque part et, il ne faut pas refaire les mêmes erreurs deux fois ;o)

Si tu n’as pas changer d’Anti Virus encore, voici quelque chose qui peut sûrement être utile et surtout t’aider pour ton choix… >>Micro Hebdo classait AntiVir parmi les meilleurs antivirus et je l'ai donc choisi car gratuit et performant.<< J’ai découvert ce lien en cherchant plus d’infos sur AntiVir… http://forum.malekal.com/ftopic3528.php Très bonne critique et pour ce qui est des démonstrations, je crois que c’est dur à battre… C’est très clair! Je dis Bravo à Malekal_Morte pour son travail… Cela rejoint très bien la critique que tu as lue sur Micro Hebdo. http://www.01net.com/article/345996.html Si c’est celle-ci!

>J'étais donc persuadé d'être bien protégé avec ZA, Ad Aware et Antivir< Tu peux garder cette combinaisons si tu es alaise avec… Mais Assure toi que les logiciels sont configurés pour les mises à jour automatique!

>Supprimer Google Deskstop Search ne supprime-t-il pas le moteur de recherche Google?< C’est le but!!! Les toolbar, tous sans exception, même s’ils viennent avec un logiciel de protection, c’est la pire menace pour IE et y laisser entrer un intrus!

Alors pourquoi les compagnies de logiciel de protection installent t’ils des toolbar? Tes logiciels sont Gratuit vrai? C’est des Sponsor!

Mais il y a une logique en arrière de tout ça… Toolbar + Log de protect…

1ièrement : Comme il y a régulièrement des failles de sécurité avec IE et que c’est l’une des places les plus exploité par les Malwares en général, une toolbar ne fait que les attirer d’avantage.

Pour une Cie de logiciel de Protection, c’est une façon bien pratique pour eux d’exploiter ces failles et de par le fait même de mettre à jour leurs bases de donnée sur les Malwares détecté!

2ièment : Les toolbar eux même sont dangereuses car elles te surveillent. Tout les sites où tu es allé, (les pubs intempestive sortes d’où tu penses?) sont enregistré (cookie). Tes Mots passe sont t’ils enregistrés avec IE ou l’une de tes toolbar? L’un ou l’autre contient des failles, alors pour la sécurité on repassera… Un autre programme, serai plus sage!

>Où trouver les fichiers que je dois supprimer?< Si tu lis bien mon dernier poste tout est indiqué à la lettre et à la virgule! Mais il faudrait que je saches de quel fichier tu parles car je t’indique plusieurs places où tu dois supprimer des dossiers/fichiers…

Aller, bon WE et bon nettoyage…

TropJean ;o)

Bonjour TropJean,
Ok pour Vic, pas de pb.
Encore merci pour toutes tes explications, elles m’ont aidées à comprendre ce que je faisais. J’ai étudié en détail tes mails du 25 et du 27 janvier et j’ai quelques précisions à apporter concernant les pgs installés et des questions à poser:

• Antivirus : à mon avis, je n’ai qu’Antivir actif dans mon PC. La comparaison des différents antivirus que tu me donnes est bien celle parue dans MicroHebdo. Pour moi, Pando et Ghost ne sont pas des antivirus. Pando est un logiciel d’échange de gros fichiers par mail, de même Symantec/Norton/ Ghost est mon logiciel de sauvegarde de fichiers sur DD. Par contre de temps en temps, je fais des scans en ligne soit chez Symantec soit chez Panda comme recommandé par Micro Hebdo. Qu’en est-il exactement ?
• Anti Spyware: j’ai supprimé Windows Defender. Lavasoft Ad Watch Monitoring est le seul AdAware actif en permanence que je souhaite garder. Par contre, je voudrais lancer de temps en temps des analyses manuelles avec Lavasoft AdAware, AVG et Spybot. J’ai noté qu’ils se complètent bien, par ex Spybot détecte bien « double click ». Je souhaite donc pouvoir continuer de les utiliser en mode manuel. Est-ce possible ou faut-il supprimer définitivement AVG et Spybot,
• J’ai ouvert « Ajout/suppression pgs » mais n’ai pas trouvé Java\jre1.5.0_06, seul Java (TM) 6 update est présent. Si j’ai pu supprimer dans C:/pg file, Java version 1.5.0.9, par contre impossible de supprimer Java\jre1.5.0_06, j’ai un message d’erreur « Accés refusé ». Je crois que c’est possible en le cochant dans l’analyse HijackThis. Est-ce exact?
J’ai ensuite supprimé le dossier Google dans « Ajout/suppression pgs » et dans « C » ainsi que les autres tools bar
• Concernant les mises à jour logicielles, ZA et Antivir sont configurés pour les mises à jour automatique. Par contre pour Ad Aware, je fais les mises à jour à chaque utilisation manuelle mais Ad Watch se met à jour automatiquement.
.
• A la suite, j’ai fermé et relancé mon PC et refait une analyse HijackThis dont voici le résultat :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:07:34, on 27/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Cobian Backup 8\cbService.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Program Files\Pando Networks\Pando\PandoIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ScanSoft PDF Professional 3.0-reminder] "C:\Program Files\ScanSoft\PDF Professional 3.0\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Application Data\ScanSoft\PDF Professional\3\Ereg\ereg.ini"
O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Program Files\ScanSoft\PDF Professional 3.0\\RegistryController.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: Open with ScanSoft PDF Converter 4.0 - res://C:\Program Files\ScanSoft\PDF Professional 4.0\cnvres_eng.dll /100
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Contrôleur de DownloadManager) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.0.6.2.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner371420.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O20 - Winlogon Notify: infosoft32 - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Cobian Backup 8 service (CobBMService) - Luis Cobian - C:\Program Files\Cobian Backup 8\cbService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

Salut Vic

Je voulais que tu saches que j'ai reçu ton message...

Je repasse en revue tes questions et te reviens avec des réponse...

Toute les lignes -04- dans HJT, son des pgs qui démarre en même temps que Windows. Donc, aucun soucis à avoir de ce côté car au moment que tu en auras besoin ils démarreront sans prob.

>En cas d’erreurs, existe-t-il une possibilité de sauvegarder pour restaurer le cas échéant les lignes fixées ? Si oui, comment ?< Théoriquement HJT est déjà configuré pour enregistrer des BackUp... Pour vérifier fait ce qui suit...

Ouvre HJT et clic le 3ièm bouton... (Moi il est en Anglais et c'est écrit... **View The List Of BackUp** Si le tiens est en Français, tu as sûrement une idée de c'est où). - À cet endroit tu as la possibilité de... Supprimer tes BackUp (Tu devrais tjrs supprimer tes backup de 1. tu sauve de l'espace sur ton DD et de 2. Tes Antis Virus/Spyware ne les détecteront pas! de 3. Ils ne te servent plus à rien)

Si tu clic sur le 1er bouton en haut à gauche... **Main**, tu as la possibiliter de configurer HJT comme tu le désire. Si tu regarde la 2ièm ligne c'est pour les BackUp. Le petit carré ce doit être coché pour faire les backup!

Voilà pour HJT, maintenant... Consernant les Anti Virus et Spyware...! AntiVir est une sage décision mais je te reviens pour le reste... Concernant AdAware et AVG... L'un fait ce que l'autre fait... Alors juste un suffit et si tu es alaise avec AdAware reste avec...

C'était ceux que je pouvais répondre plus rapidement! Alors, je te reviens avec la suite des réponses à tes autres questions...

À:/+

TropJean ;o)

Salut Vic

Voici la suite… Désolé pour le temps de réponse, obligation!

>Pando est un logiciel d’échange de gros fichiers par mail< OK! J’ai lus Panda… Ma faute! Désolé :o(
___________________________________

Antivirus – Logiciel de Sauvegarde - Scan en Ligne : Concernant les Anti Virus je crois que le sujet peu être clos … AntiVir reste meilleur qu’Avast pour la sécurité de ton Pc.
____________________________________

Pour les logiciels de sauvegarde, je vois que tu en as deux! Ghost (Norton) et BackUp8 (Cobian). Je ne peux te conseiller dans ce domaine car je ne m’y connais pas, par contre, j’ai fais quelques recherches pour voir – comprendre et savoir…

As-tu payé pour Ghost (Norton)?

Ou, tu es sur le Trial encore? Si c’est le cas, regarde ce que j’ai trouvé d’assez intéressant et gratuit en plus… SyncBack… Tu risques d’être surpris… Tu peux faire tes propres recherches sur Google aussi, si tu veux.
http://www.commentcamarche.net/telecharger/syncback 177 avis opinions.php3#avis

Le pourquoi…? Comme tu as pus le remarquer, je suis loin d’apprécier les produits Symentec/Norton/McAfee pour des raisons perso et aussi pour des constatations de problèmes liés à leurs logiciels et le nombre d’usagé mécontent de leurs produits! Si ça n’aurait été de MS Windows, ces Cie’s n’existeraient pas/plus aujourd’hui!

Alors la même chose ici, sauf que je dois avouer qu’il y des bons arguments concernant Ghost (Norton) et que le dit logiciel serais l’un des meilleurs côté… Payant! Ce qui veut dire qu’après les 30jours d’essais tes Backup ne sont plus valide si tu n’achètes pas leur logiciel!!! Donc, pourquoi payer quand on peut avoir la même chose ou mieux gratuit?

Concernant BackUp8 (Cobian), je n’ai rien à dire, il semble tout aussi excellent que SyncBack… Ou Symentec, mais tu es la seule personne qui connaît ton besoin!
_____________________________________

>Par contre de temps en temps, je fais des scans en ligne soit chez Symantec soit chez Panda comme recommandé par Micro Hebdo. Qu’en est-il exactement ?< C’est excellent, mais je peux te conseiller Bit Defender à la place de Symentec? Ou même, Kaspersky…?

Pour Kaspersky… http://webscanner.kaspersky.fr/
Pour Bit Defender… http://bitdefender.com/

Aucun Anti Virus et/ou Spyware va trouver tout Virus/Spyware… Ils n’ont pas tous la même banque de donner! Voilà pourquoi c’est bon de faire des scans en ligne avec d’autre Anti Virus. Après un bon nettoyage, je fais souvent faire qu’un seul scan en ligne, en faire plus cela devient le choix de la personne concerné!
______________________________________

Anti Spyware: >j’ai supprimé Windows Defender< Heu… Tu l’as fais avant ou après le scan d’HJT?
C:\Program Files\Windows Defender\MsMpEng.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" –hide

Concernant AVG et AdAware – AVG est tout aussi pratique mais pendant 30jours… Le Bouclier Résident (qui est en quelque sorte le AdWatch de AdAware) n’est plus actif et les mises à jour deviennent manuelles…

>Lavasoft AdAware, AVG et Spybot. J’ai noté qu’ils se complètent bien< Ça change en rien d’avoir AVG et AdAware pour faire le même travail. À mon avis AVG est meilleur mise à part les inconvénients d’après 30jours. Mais encore, si tu es bien avec AdAware garde le… Et pour SpyBot il fait partie des procédures de nettoyage, donc un logiciel à avoir et à garder…!

>Je souhaite donc pouvoir continuer de les utiliser en mode manuel. Est-ce possible ou faut-il supprimer définitivement AVG et Spybot,<...

En fait, voici les logiciels de protection dont tous devrait avoir d’installé sur leurs Pc/Laptop… 1. FireWall/PareFeux – 2. Anti Virus – 3. Anti Spyware/Espion…

Dans ton cas : 1. ZoneAlarm – 2. AntiVir – 3. AdAware

4. Un logiciel de nettoyage (CCleaner) La meilleur définition de ce logiciel c’est chez 01net.com tu va l’avoir… http://www.01net.com/... C’est très clair!

5. Un logiciel pour les mouchards/espions (SpyBot S&D). Devine où je t’envois lire sur SpyBot… Je suis sûr que tu l’as deviné…! ;o)
http://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

Alors dans l’ordre… CCleaner – SpyBot – Anti Virus (AntiVir ici) – Anti Spyware (AdAware ici) et pour terminer, un ou plus, scan en ligne… En cas de besoin! En fait, les scans en ligne, je crois qu’ils sont nécessaires quand les Anti Virus/Spyware perso trouvent quelque chose! Mais c’est au choix de l’usagé!

Note : Entre chaque scan un redémarrage de l’ordi est fortement suggéré pour permettre aux logiciels de terminer leurs travails de désinfection et pour que les scans suivants ne détectent pas les même Virus/Spyware que les précédents… Et c’est aussi comme ça que l’on voit, lors de la lecture des rapports, si quelqu’un a bel et bien suivi la procédure que nous lui avons prescrite! ;o)

Et si l’on a attrapé un/plusieurs Virus alors les scans doivent ce faire en Mode Sans Échec… Ce qui suit vient d’ici --> http://www.commentcamarche.net/faq/sujet 5004 windows xp demarrage en mode sans echec

• Pour beaucoup de fichiers et en particulier les fichiers Malwares, il est impossible de les supprimer car ils sont en exécution. Si on fait l'essai, pour la plupart, on obtient un message d'erreur nous indiquant que le fichier est actuellement utilisé par quelqu'un ou par une application.
• En démarrant en mode sans échec, seuls les fichiers nécessaires sont chargés, la suppression de fichiers est maintenant possible du fait de leur inactivité.
________________________________

Java\jre1.5.0_06 : >j’ai un message d’erreur « Accés refusé »< C’est normal il est actif sur ton Pc!

>Je crois que c’est possible en le cochant dans l’analyse HijackThis. Est-ce exact?< Tout à fait! Mais il faut s’assurer qu’il n’est plus ici --> C:/pg file – Java <-- après!
_________________________________

>J’ai ensuite supprimé le dossier Google dans « Ajout/suppression pgs » et dans « C » ainsi que les autres tools bar < Heu… Sûrement après le scan d’HJT…
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
_______________________________

Concernant les mises à jour logicielles : Rien à dire ici… ;o)

Concernant les Backup de HJT : Je crois que je t’ai bien expliqué comment procéder à mon dernier poste… Si tu as des questions, gène toi pas!
________________________________

Alors… On recommence à neuf… Une dernière fois…

Mise à jour d’Adobe V8… http://www.adobe.com/fr/products/acrobat/readstep2.html

Suppression des logiciels suivant (en tenant compte des logiciels que tu gardes) AVG AS – Vérifie comme il faut s’il n’y aurait pas un Google notifier ou autre prog qui à Google d’écrit et d’installé – Même chose pour Windows Defender…

Redémarre en Mode Sans Échec et fait un scan avec 1. CCleaner – Reboot en MSÉ – 2. SpyBot – Reboot en MSÉ – 3. AntiVir (avec rapport) – Reboot en MSÉ – 4. AdAware (avec rapport) – Reboot en MSÉ – 5. HJT (sans rapport)… J’ai révisé ton rapport d’HJT, voici ce que je te suggère de supprimer…

Souvient toi que les -04- ne supprime que leur démarrage au démarrage de Windows… En fait, les seuls nécessaire au démarrage, tu en conviens j’en suis sûr, ce sont ceux de protection et c’est tout!
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

Celle-ci ne devrait plus y être…
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [ScanSoft PDF Professional 3.0-reminder] "C:\Program Files\ScanSoft\PDF Professional 3.0\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Application Data\ScanSoft\PDF Professional\3\Ereg\ereg.ini"
O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Program Files\ScanSoft\PDF Professional 3.0\\RegistryController.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

Après n’oubli pas d’aller dans --> C:/pg file – Java <--
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

Celle ci ne devrait plus y être…
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

Celle ci ne devrait plus y être…
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

Pour celles ci, tu réinstalleras les activeX quand tu retourneras sur ces sites en question…
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Contrôleur de DownloadManager) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.0.6.2.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner371420.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.ca

Celles ci ne devraient plus y être…
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

Pour celle ci, juste toi qui le sait!
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe

Fixe c’est lignes et reboot en Mode Sans Échec et refait un scan avec HJT pour avoir un rapport. Ensuite reboot mais en Mode Normal et vient poster tes rapports dans l’ordre S.T.P. --> AntiVir – AdAware et HJT.
________________________________

Voilà, d’après moi tout devrait être rentré dans l’ordre après tout ça! Et si jamais par précaution tu as envie d’aller faire un scan en ligne, c’est toi qui décides!

>Je te remercie d’avance de me guider pour la fin de ce nettoyage.< Merci à toi de me faire découvrir de nouveau logiciel (Backup et Pando).

Tout le plaisir fut pour moi et si jamais tu as d’autres questions ne te gène jamais pour revenir nous voir… N’oublis pas de mettre (à ton dernier poste) le statut Résolu, Merci!

Prend soin de ton Pc, il te le rendra bien…

Au:/+sir

TropJean ;o)

Bonsoir TropJean,

Je viens de terminer tout le programme de nettoyage défini dans ton mail du 30 janvier.
Tout d’abord, je te renouvelle mes remerciements pour tout le temps que tu m’as consacrés, c’est vraiment sympa. Malheureusement, mon problème initial n’est toujours pas résolu et je suis dans l’impasse.

Voici donc le programme que j’ai déroulé chronologiquement en suivant les conseils de ta réponse du 30 janvier. J’y ai consacré hier et aujourd’hui, compte tenu des temps de scan :

1. Nettoyage avec CCleaner

2. Reboot MSE
3. Lancement Spybot : Détection et nettoyage du spyware SmitFraud Fix Toobar (sans rapport)
4. Reboot MSE
5. Impossible de lancer ANTIVIR en MSE (pas dans la liste des pgs et pas d’icône près de l’icône horloge)

6. Lancement AdAware en MSE et rapport ci-après (pas de détection de malware) :

Ad-Aware SE Build 1.06r1
Logfile Created on: samedi 2 février 2008 23:33:39
Using definitions file:SE1R216 28.01.2008
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List (TAC index: 0):2 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Skip files larger than 1800 KB
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Ignore spanned files when scanning cab archives
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Block pop-ups aggressively
Set : Automatically select problematic objects in results lists
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Show splash screen
Set : Backup current definitions file before updating
Set : Play sound at scan completion if scan locates critical objects


02-02-2008 23:33:39 - Scan started. (Smart mode)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 264
ThreadCreationTime : 02-02-2008 22:31:48
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 440
ThreadCreationTime : 02-02-2008 22:31:55
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 464
ThreadCreationTime : 02-02-2008 22:31:56
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 508
ThreadCreationTime : 02-02-2008 22:31:59
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Système d'exploitation Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Applications Services et Contrôleur
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Tous droits réservés.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 520
ThreadCreationTime : 02-02-2008 22:31:59
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 672
ThreadCreationTime : 02-02-2008 22:32:02
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 732
ThreadCreationTime : 02-02-2008 22:32:04
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 776
ThreadCreationTime : 02-02-2008 22:32:05
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1012
ThreadCreationTime : 02-02-2008 22:32:08
BasePriority : Normal
FileVersion : 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)
ProductVersion : 6.00.2900.3156
ProductName : Système d'exploitation Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Explorateur Windows
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Tous droits réservés.
OriginalFilename : EXPLORER.EXE

#:10 [ad-aware.exe]
FilePath : C:\Program Files\Lavasoft\Ad-Aware SE Professional\
ProcessID : 1212
ThreadCreationTime : 02-02-2008 22:33:20
BasePriority : Normal
FileVersion : 6.2.0.238
ProductVersion : SE 106
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft AB Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0

Deep scanning and examining files...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0

Disk Scan Result for C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0

Disk Scan Result for C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 0



MRU List Object Recognized!
Location: : C:\Documents and Settings\Administrateur\recent
Description : list of recently opened documents


MRU List Object Recognized!
Location: : S-1-5-21-1547161642-362288127-839522115-500\software\microsoft\windows media\wmsdk\general
Description : windows media sdk



Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 2

23:35:56 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:02:17.500
Objects scanned:121449
Objects identified:0
Objects ignored:0
New critical objects:0

FIN DU RAPPORT AD- AWARE



7. Reboot en MSE

8. Lancement de HijackThis. Je note la présence des lignes 04 HKLM AVG Antispyware et de 04 HKLM Google Tool Bar. J’ai revérifié dans C : //Program Files, ils n’y sont pas, ni dans Ajouter/supprimer des programmes.

Dans HijackThis, j’ai fixé toutes les lignes mentionnées dans ton mail, y compris les deux ci-dessus.
9. Reboot après fixation

10. Scan HijackThis en MSE après fixation des lignes, rapport ci après :

SCAN EN MSE APRES FIXATION DES LIGNES INDIQUEES DANS MAIL

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:26:42, on 03/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Program Files\Pando Networks\Pando\PandoIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Program Files\ScanSoft\PDF Professional 3.0\\RegistryController.exe"
O4 - HKLM\..\Run: [ScanSoft PDF Professional 3.0-reminder] "C:\Program Files\ScanSoft\PDF Professional 3.0\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Application Data\ScanSoft\PDF Professional\3\Ereg\ereg.ini"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O8 - Extra context menu item: Open with ScanSoft PDF Converter 4.0 - res://C:\Program Files\ScanSoft\PDF Professional 4.0\cnvres_eng.dll /100
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: infosoft32 - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Cobian Backup 8 service (CobBMService) - Luis Cobian - C:\Program Files\Cobian Backup 8\cbService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

Salut Vic.

Pour commencer, tu peux m’expliquer pourquoi tu désinstalles HJT? Malheureusement il faut le désinstaller et le réinstaller comme il était le 27/01/08… Une fois installée, laisse le où il est S.T.P. tu te donne du trouble pour rien!

1er poste HJT: 22/01/2008
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
2ième poste HJT: 27/01/2008
C:\HijackThis\HijackThis.exe
3ièm poste HJT: 03/02/08
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

Maintenant HJT ne supprime rien du tout ce qui fait que le Virus reste… Donc, voici ce que tu vas faire… Désactive la restauration du disque *C:/* Avant fait un scan avec CCleaner (en mode normal)

Après...

Clic sur Démarrer – Panneau de control (laisse le ouvert jusqu’à la fin) – Système – Dans la fenêtre qui ouvre clic sur le 1er onglet --> Restauration du système – Ici tu as un petit carré que tu dois cocher. Celui où c’est écrit --> Désactiver la restauration du système… – Clic Appliquer - Un popup va apparaitre, clic sur Oui et OK.

Maintenant tu refais la même chose mais pour réactiver la restauration du système, donc tu décoches ce que tu as coché…

Maintenant SmitFraudFix

Télécharge SmitfraudFix ici --> http://www.commentcamarche.net/telecharger/telecharger 230 smitfraudfix

Et va ici --> http://www.pcentraide.com/index.php?showtopic=15045 pour le tutorial… Le scan avec SmitFraudFix (option1 et 2) toujours en mode sans échec…

Enregistre les rapports et poste les ici dans l’ordre… Option 1 – Option 2

Après, fait un point de restauration comme mentionné ici
--> http://www.malekal.com/restauration_systeme.php

Il est dans le très corsé ton virulent malware!

Même si je t’envoierais à la source pour le supprimer tu ne pourras pas le supprimer… Alors si ce ne serait de ce Win32.Trojandownloader.Zlob, HJT pourrait nettoyer ce qu’il ne fait pas à l’heure actuelle!!!

Je continus les recherches et te reviens avec autre chose si ça ne fonctionne pas... Mais ça devrait être la bonne!

À:/+

TropJean ;o)

Bonsoir TropJean,
Merci de ta réponse.J'ai bien pris connaissance de ton message mais j'ai du m'absenter qq jours pour le boulot. Je vais attaquer la procédure demain.
Bonne semaine et à +
Vic

Salut Vic

Pas de trouble...

À:/+

TropJean ;o)

Salut Vic

Je suis de retour... Désolé je n'ai pas pus vérifié mes courriels d'où j'étais!

Bon, dis moi maintenant où tu en es rendu et si tu as encore d'installé VundoFix et VirtumundoBegone ou si tu les as encore sur ton ordi?

Si tu les encore, refais ceci... http://www.commentcamarche.net/forum/affich 4765272 infection par win32 trojandownloader zlob#1

À:/+

TropJean ;o)

Salut Vic

Alors j'en suis ravis... Mais est ce que tu peux me poster un log de HiJackThis juste pour être sûr? En même temps je te donnerais une dernière petite procédure à faire pour ton disque dur et ce sera tout!!

Ça m'a fais plaisir de t'aider... Et si tu es pour recommander CCM et/ou revenir, tu devrais t'enregistrer comme membre ;o)

En passant, n'oublies pas de mettre ton prochain poste comme Résolue... Merci!


À:/+

TropJean ;o)

Bonjour TropJean,
Merci pour ton mail. Ci-joint le scan HiJackThis que je viens de réaliser:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:30:08, on 08/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Cobian Backup 8\cbService.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\eMule\Incoming\emule.exe
C:\Program Files\zvprt40\zvprtsrv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Program Files\Pando Networks\Pando\PandoIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Program Files\ScanSoft\PDF Professional 3.0\\RegistryController.exe"
O4 - HKLM\..\Run: [ScanSoft PDF Professional 3.0-reminder] "C:\Program Files\ScanSoft\PDF Professional 3.0\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Application Data\ScanSoft\PDF Professional\3\Ereg\ereg.ini"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O8 - Extra context menu item: Open with ScanSoft PDF Converter 4.0 - res://C:\Program Files\ScanSoft\PDF Professional 4.0\cnvres_eng.dll /100
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O20 - Winlogon Notify: infosoft32 - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Cobian Backup 8 service (CobBMService) - Luis Cobian - C:\Program Files\Cobian Backup 8\cbService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

Salut Vic

Alors voici ce que tu vas faire. Si le Virus est vraiment supprimé, tu vas pouvoir nettoyer le reste avec HJT et par le fait même supprimer le dossier --> C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe… Tu devras y faire une mise à jour après, ils sont rendu à la 1.6.0_05 et tu as la … _03

Pour commencer tu vas désinstaller HiJackThis et le réinstaller sur ton bureau…

Présentement il est installé là --> C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

Mais il faut qu’il soit installé ici --> C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

Une fois bien réinstallée…

Voici les lignes que tu vas corriger avec HJT… Tu n’as qu’à cocher les lignes indiquées… Cette manip, tu devras la faire en Mode Sans Échec

Ces lignes ci (04), ne sont que pour les empêcher de démarrer en même temps que Windows…
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Program Files\ScanSoft\PDF Professional 3.0\\RegistryController.exe"
O4 - HKLM\..\Run: [ScanSoft PDF Professional 3.0-reminder] "C:\Program Files\ScanSoft\PDF Professional 3.0\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Application Data\ScanSoft\PDF Professional\3\Ereg\ereg.ini"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

Si tu as désinstallé Windows Defender, celle ci ne devrait pas y être! Si elle y est, c’est que le prog n’est pas désinstallé! Coche la aussi...
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

Maintenant clic sur Fix…

Redémarre en Mode Normal et fais ce qui suit…

Clic Démarré – Poste de Travail – Disque C : – Program Files – Java --- Dans celui-ci, tu désinstalles et supprime celui qui est inscrit ceci --->jre1.5.0_06<--- … Maintenant regarde pour Google ---> Supprimes le fichier au complet… Même chose pour Windows Defender…

Refait moi un scan de HJT avec un rapport S.T.P. et poste le moi!

C’est tout… Ton log HJT est bien, mais…!

À:/+

TropJean ;o)