Virus Win32 détecté sous Windows XP par avastFermé

Question

Bonjour à tous, voila je suis sous windows XP et mon antivirus avast 4.7 PRO n'arrête pas de me détecter la présence du virus trojan WIN32, je mets au fur et à mesure en quarantaine mais cela ne règle pas le problême,mon ordi plante constamment, les programmes bloquent etc... j'ai fait un Logfile avec HijackThis que je vous donne. Merci à vous de me trouver une solution pour virer ce virus défastateur. Vous êtes ma dernière chance, Bennnito

Logfile of HijackThis v1.99.1
Scan saved at 16:48:26, on 21/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Adobe\Version Cue\ControlPanel\VersionCueTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Program Files\Arcade\PCMService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\palmOne\Hotsync.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\acer\eRecovery\Monitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Benjamin\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00A7863B-DDC7-0034-A0C8-07530F512758} - C:\WINDOWS\system32\mttqnzh.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0B38AA6B-CFD5-481D-894F-D8354C3788E4} - C:\WINDOWS\system32\dscglgim.dll
O2 - BHO: (no name) - {182B90A3-F372-438A-800C-6814B4DE417B} - C:\WINDOWS\system32\hggdbba.dll (file missing)
O2 - BHO: (no name) - {2B5E25BC-C1B2-92D8-02F0-081D435BC4F0} - C:\WINDOWS\system32\mmzarpe.dll
O2 - BHO: (no name) - {3F47CEB7-3C27-74D8-053F-046090C17FFF} - C:\WINDOWS\system32\fzitqie.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - C:\Documents and Settings\Benjamin\516113452.dll
O2 - BHO: (no name) - {62B2F83B-3884-4670-A34C-67E33B9DA9BD} - C:\WINDOWS\system32\syoiyatj.dll (file missing)
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6monr.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {B69BF0EA-E0AD-4906-B252-364B070B29EB} - C:\WINDOWS\system32\Restore\ahrdcac.dll (file missing)
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Program Files\Safety Bar\SafetyBar.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [ovuflnf.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ovuflnf.dll,onbcyhg
O4 - HKLM\..\Run: [kvnhgyc.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\kvnhgyc.dll,uonaovf
O4 - HKLM\..\Run: [cwhwdoc.dll] C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Benjamin\Local Settings\Application Data\cwhwdoc.dll",fgijoic
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CloneCDTray] C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [Intel system tool] C:\WINDOWS\system32\svehost.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RealPlayer] "C:\Program Files\Real\RealPlayer\realplay.exe" /RunUPGToolCommandReBoot
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Nphb] "C:\WINDOWS\system32\SCURIT~1\dexplore.exe" -vt yazb
O4 - HKCU\..\Run: [Idwjnkz] "C:\Documents and Settings\Benjamin\Application Data\A?pPatch\r?gedit.exe"
O4 - HKCU\..\Run: [Brave-Sentry] C:\Program Files\BraveSentry\BraveSentry.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\palmOne\Hotsync.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab50997.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{16BB4D6F-477C-415F-810F-5BA9362F285B}: NameServer = 210.131.249.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{473A2208-4C7F-42DA-9173-03F2E29408C5}: NameServer = 210.131.249.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FAE03F8-21B7-4AA8-A7F1-D7F5B04BB5D5}: NameServer = 210.131.249.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{C44463CC-F5B1-4EEF-87B5-271083CAE3F5}: NameServer = 210.131.249.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{16BB4D6F-477C-415F-810F-5BA9362F285B}: NameServer = 210.131.249.33
O17 - HKLM\System\CS2\Services\Tcpip\..\{16BB4D6F-477C-415F-810F-5BA9362F285B}: NameServer = 210.131.249.33
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll
O20 - Winlogon Notify: ahrdcac - C:\WINDOWS\system32\Restore\ahrdcac.dll (file missing)
O20 - Winlogon Notify: hggdbba - hggdbba.dll (file missing)
O20 - Winlogon Notify: wineil32 - wineil32.dll (file missing)
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - (no file)
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000272 (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

Utilisateur anonyme · Answer

avec avast met toi sous l'antivirus et planifie une analyse complete (vas dans avancé tu fait scanner egalement  les archives ) il va te demander de redémarer ton pc .En redémarant , avast vas se lancer avant meme que windows démarre , et il va supprimer tous lé virus ; enfin moi cela a marché car j'ai deja eu ce probleme
bonne journée ++

vaillant92 · Answer

j'ai eu le cas une foi - j'ai carrément mis supprimer sous avast et je n'ai plus de probleme -

Bennnito · Answer

Je n'arrive pas à régler avast 4.7 pour faire une analyse complète comme tu m'as indiqué DANTE 33. merci de m'aider

Utilisateur anonyme · Answer

je sui au boulot je rentre dans 30 min , je te donnerais la réponse exacte dans 40 min tu auras la procédure exacte

moK´s@ · Answer

re,

La ca va pas suffir notre ami est tres infécté...

avec hijack this coche les lignes suivantes :

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Program Files\Safety Bar\SafetyBar.dll (file missing)
O4 - HKLM\..\Run: [ovuflnf.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ovuflnf.dll,onbcyhg
O4 - HKLM\..\Run: [kvnhgyc.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\kvnhgyc.dll,uonaovf
O4 - HKLM\..\Run: [cwhwdoc.dll] C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Benjamin\Local Settings\Application Data\cwhwdoc.dll",fgijoic
O4 - HKLM\..\Run: [Intel system tool] C:\WINDOWS\system32\svehost.exe
O4 - HKCU\..\Run: [Idwjnkz] "C:\Documents and Settings\Benjamin\Application Data\A?pPatch\r?gedit.exe"
O4 - HKCU\..\Run: [Brave-Sentry] C:\Program Files\BraveSentry\BraveSentry.exe
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - (no file)
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000272 (file missing)
Quitte tes applications et ton navigateur et fixe /check les lignes ci dessus

2
Télécharge Pocket KillBox sur ton bureau.
http://www.downloads.subratam.org/KillBox.exe


Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".
copie les lignes ci dessous :

C:\WINDOWS\system32\ovuflnf.dll,onbcyhg
C:\WINDOWS\system32\kvnhgyc.dll,uonaovf
C:\Documents and Settings\Benjamin\Local Settings\Application Data\cwhwdoc.dll",fgijoic
C:\WINDOWS\system32\svehost.exe
C:\Documents and Settings\Benjamin\Application Data\A?pPatch\r?gedit.exe
C:\Program Files\BraveSentry\BraveSentry.exe

Sur PocketKillBox --> menu "File" --> "Paste from Clipboard"

Tu peux vérifier dans le menu déroulant que les fichiers sot bien présent.
- coche la case "Unregister dll before deleting" (si tu en as la possibilité)
- clique sur le bouton "All files"
- clique ensuite sur la croix rouge

Au deux messages qui vont s'afficher, tu réponds par "YES"
L'ordinateur doit redémarrer, sinon, fais le toi-même, quoiqu'il arrive.

3
demarrer>executer>services.msc et regarde si tu voie le service :

COM+ Messages si tu le voie arrete le.

4

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer
* Clique sur le bouton Scan for Vundo
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

et repost un log hijackthis , 

@+

Utilisateur anonyme · Answer

moi je pense que avast peut réglere le probleme ... d'ailleur quand tu vas sur des site de comparaison , il est toujour numéro 1 , bref considéré comme le meilleur antivirus gratuit du moment (meme meilleur que certain payant)

moK´s@ · Answer

salut dante 33

Pour vundo tu fais comment avec avast? 

lol

Utilisateur anonyme · Answer

tu lance avast  en scan de démarage tu redémarre ton pc et avast vas se lancer avant meme que windows ne démarre et scanner tous tes fichiers , vundo vas-donc virer avant meme de se lancer
voila , il n'y a rien de marrant

Utilisateur anonyme · Answer

de plus hijackthis tt le monde en parle; j'ai eu un pb , il ne me l'a pas corrigé : j'ai installé avast home (que j'ai en pro maintenant) et je n'ai plus eu de probleme c'est pourquoi je le conseille a tt le monde

moK´s@ · Answer

re,

ok, time will tell...

Puis non je trouve pas ca marrant mais si il y a des outils créer pour supprimer des infections précises, vaut mieux les utiliser. 

Je ne discute pas les performances d´avast; mais les infections de type "vundo" sont parfois corriace a supprimer meme avec le vundo fix qu´il faut parfois passer plusieurs fois...

C´est tout

@+

Utilisateur anonyme · Answer

je part du boulot je te fait un résumé complet en arrivant

Bennnito · Answer

j'ai fais ce que m'a dit mok's et je vous poste les logs VUNDO et HITJACKTHIS aprés la manip décrite par mok's

VundoFix V6.4.1

Checking Java version...

Sun Java not detected
Scan started at 18:39:09 21/05/2007

Listing files found while scanning....

C:\Program Files\VSAdd-in\VSAdd-in.dll
C:\WINDOWS\system32\aaoiwwry.dll
C:\WINDOWS\system32\hbofttle.dll
C:\WINDOWS\system32\hggdbba.dll
C:\WINDOWS\system32\hgpfsbke.dll
C:\WINDOWS\system32\knermbau.dll
C:\WINDOWS\system32\kuvlnduv.dll
C:\WINDOWS\system32\kvnhgyc.dll
C:\WINDOWS\system32\mmzarpe.dll
C:\WINDOWS\system32\mttqnzh.dll
C:\WINDOWS\system32
nfbvadt.dll
C:\WINDOWS\system32\oinkkkuj.dll
C:\WINDOWS\system32\osecmoww.dll
C:\WINDOWS\system32\qagxddrt.dll
C:\WINDOWS\system32\Restore\ahrdcac.dll
C:\WINDOWS\system32\Restore\cacdrha.bak1
C:\WINDOWS\system32\Restore\cacdrha.bak2
C:\WINDOWS\system32\Restore\cacdrha.ini
C:\WINDOWS\system32\vtuvtsr.dll
C:\WINDOWS\system32\vudnlvuk.ini
C:\WINDOWS\system32\wfgtxwdt.dll
C:\WINDOWS\system32\xbllwejp.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\aaoiwwry.dll
C:\WINDOWS\system32\aaoiwwry.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\hbofttle.dll
C:\WINDOWS\system32\hbofttle.dll Has been deleted




Logfile of HijackThis v1.99.1
Scan saved at 19:02:30, on 21/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Adobe\Version Cue\ControlPanel\VersionCueTray.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Program Files\Arcade\PCMService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\palmOne\Hotsync.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\acer\eRecovery\Monitor.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Benjamin\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00A7863B-DDC7-0034-A0C8-07530F512758} - C:\WINDOWS\system32\mttqnzh.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0B38AA6B-CFD5-481D-894F-D8354C3788E4} - C:\WINDOWS\system32\dscglgim.dll
O2 - BHO: (no name) - {2B5E25BC-C1B2-92D8-02F0-081D435BC4F0} - C:\WINDOWS\system32\mmzarpe.dll (file missing)
O2 - BHO: (no name) - {3F47CEB7-3C27-74D8-053F-046090C17FFF} - C:\WINDOWS\system32\fzitqie.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - C:\Documents and Settings\Benjamin\52116830.dll
O2 - BHO: (no name) - {62B2F83B-3884-4670-A34C-67E33B9DA9BD} - C:\WINDOWS\system32\syoiyatj.dll (file missing)
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6monr.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {B69BF0EA-E0AD-4906-B252-364B070B29EB} - C:\WINDOWS\system32\Restore\ahrdcac.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CloneCDTray] C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RealPlayer] "C:\Program Files\Real\RealPlayerealplay.exe" /RunUPGToolCommandReBoot
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Nphb] "C:\WINDOWS\system32\SCURIT~1\dexplore.exe" -vt yazb
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\palmOne\Hotsync.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab50997.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{16BB4D6F-477C-415F-810F-5BA9362F285B}: NameServer = 210.131.249.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{473A2208-4C7F-42DA-9173-03F2E29408C5}: NameServer = 210.131.249.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FAE03F8-21B7-4AA8-A7F1-D7F5B04BB5D5}: NameServer = 210.131.249.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{C44463CC-F5B1-4EEF-87B5-271083CAE3F5}: NameServer = 210.131.249.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{16BB4D6F-477C-415F-810F-5BA9362F285B}: NameServer = 210.131.249.33
O17 - HKLM\System\CS2\Services\Tcpip\..\{16BB4D6F-477C-415F-810F-5BA9362F285B}: NameServer = 210.131.249.33
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll
O20 - Winlogon Notify: ahrdcac - C:\WINDOWS\system32\Restore\ahrdcac.dll (file missing)
O20 - Winlogon Notify: hggdbba - hggdbba.dll (file missing)
O20 - Winlogon Notify: wineil32 - wineil32.dll (file missing)
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

Merci de me répondre

Utilisateur anonyme · Answer

(quand je te marque clique droit sur avast ca veux dire clique droit sur l'icone en bas a droite)

re bon alors deja tu met a jour avast 
clique droit sur avast mise à jour/mise a jour du programme
quand cela est fait
clique droit sur avast mise à jour / mise à jour de la base virale

quand cela est fait clique droit sur avast /démarere avast antivirus
tu as avast antivirus (annule le scan de démarage) ensuite tu a un bouton dans avast (comme ejecter sur un lecteur cd) tu clique dessus

tu clique sur planifier un scan au démarage
tu vérifie que scanner tous les diques locaux est coché
tu coches scan des archives
tu coches  options avancées 
la premeire boite, tu séléctionnes "supprimer le fichier infecté"
le deuxieme boite , tu séléctionnes "autoriser à détruire ou à déplacer"
ensuite tu clique sur le bouton planifier
tu clique sur oui
et le pc va redémarere tout seul (parfois cela te dit que ca risque d'abimer des fichiers, tu t'en fou tu fais ok) et la tu laisse le scann se faire t'en a pour une bonne demi heure (voir plus) quand cela sera fait ton pc sera désinfecté 
bonne journée ++

moK´s@ · Answer

re,

* Relance Vundofix
* Ne clique pas sur "Scan for a vundo"
* Clique droit au milieu de la fenêtre
* Clique sur Add more files ?
* Copie/colle les fichiers ci-dessous ( un par case) :

C:\WINDOWS\System32\dscglgim.dll
C:\WINDOWS\System32\fzitqie.dll

* Clique sur Add files
* Ensuite clique sur Close Windows
* Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
* Si l'outils demande un redémarrage, accepte
* Poste le rapport Vundofix
puis un nouveau hijack this

Bennnito · Answer

voici en premier un rapport apparu aprés redemarrage et le rapport Hijackthis

L2mfix 051206
Creating Account.
La commande s'est termin‚e correctement.

Adding Administrative privleges. 
Checking for L2MFix account(0=no 1=yes): 
1
 Granting SeDebugPrivilege to L2MFIX   ... successful
 
Running From:
C:\WINDOWS\system32
 
Killing Processes! 
  Killing 'smss.exe'
\SystemRoot\System32\smss.exe (564)
  Killing 'winlogon.exe'
winlogon.exe    (656)
  Killing 'explorer.exe'
C:\WINDOWS\Explorer.EXE (1904)
  Killing 'rundll32.exe'
"C:\WINDOWS\system32\Rundll32.exe" SiSPower.dll,ModeAgent (580)
Restoring Sedebugprivilege:
 Granting SeDebugPrivilege to Administrateurs   ... successful
 
Scanning First Pass. Please Wait!
 
First Pass Completed 
 
Second Pass Scanning 
 
Second pass Completed!
Desktop.ini sucessfully removed
 

HIJACKTHIS:
Logfile of HijackThis v1.99.1
Scan saved at 20:42:02, on 21/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32
otepad.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Adobe\Version Cue\ControlPanel\VersionCueTray.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Program Files\Arcade\PCMService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\palmOne\Hotsync.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\acer\eRecovery\Monitor.exe
C:\Documents and Settings\Benjamin\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00A7863B-DDC7-0034-A0C8-07530F512758} - C:\WINDOWS\system32\mttqnzh.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0B38AA6B-CFD5-481D-894F-D8354C3788E4} - C:\WINDOWS\system32\dscglgim.dll (file missing)
O2 - BHO: (no name) - {2B5E25BC-C1B2-92D8-02F0-081D435BC4F0} - C:\WINDOWS\system32\mmzarpe.dll (file missing)
O2 - BHO: (no name) - {3F47CEB7-3C27-74D8-053F-046090C17FFF} - C:\WINDOWS\system32\fzitqie.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - C:\Documents and Settings\Benjamin\52116830.dll
O2 - BHO: (no name) - {62B2F83B-3884-4670-A34C-67E33B9DA9BD} - C:\WINDOWS\system32\syoiyatj.dll (file missing)
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6monr.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {B69BF0EA-E0AD-4906-B252-364B070B29EB} - C:\WINDOWS\system32\Restore\ahrdcac.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CloneCDTray] C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RealPlayer] "C:\Program Files\Real\RealPlayerealplay.exe" /RunUPGToolCommandReBoot
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Nphb] "C:\WINDOWS\system32\SCURIT~1\dexplore.exe" -vt yazb
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\palmOne\Hotsync.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab50997.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{16BB4D6F-477C-415F-810F-5BA9362F285B}: NameServer = 210.131.249.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{473A2208-4C7F-42DA-9173-03F2E29408C5}: NameServer = 210.131.249.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FAE03F8-21B7-4AA8-A7F1-D7F5B04BB5D5}: NameServer = 210.131.249.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{C44463CC-F5B1-4EEF-87B5-271083CAE3F5}: NameServer = 210.131.249.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{16BB4D6F-477C-415F-810F-5BA9362F285B}: NameServer = 210.131.249.33
O17 - HKLM\System\CS2\Services\Tcpip\..\{16BB4D6F-477C-415F-810F-5BA9362F285B}: NameServer = 210.131.249.33
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll
O20 - Winlogon Notify: ahrdcac - C:\WINDOWS\system32\Restore\ahrdcac.dll (file missing)
O20 - Winlogon Notify: hggdbba - hggdbba.dll (file missing)
O20 - Winlogon Notify: wineil32 - wineil32.dll (file missing)
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

MERCI

moK´s@ · Answer

re,

* Relance Vundofix
* Ne clique pas sur "Scan for a vundo"
* Clique droit au milieu de la fenêtre
* Clique sur Add more files ?
* Copie/colle les fichiers ci-dessous ( un par case) :

C:\Documents and Settings\Benjamin\52116830.dll 
C:\WINDOWS\system32\ipv6monr.dll
C:\WINDOWS\System32\a3dxq.dll 

* Clique sur Add files
* Ensuite clique sur Close Windows
* Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
* Si l'outils demande un redémarrage, accepte
* Poste le rapport Vundofix
+ un rapport hijack this

Bennnito · Answer

Au redemarrage aprés la manip windows m'a signaler qu'il a réparer une erreur sérieuse
j'ai le log VUNDOFIX:


Beginning removal...

 Attempting to delete C:\WINDOWS\System32\dscglgim.dll 
C:\WINDOWS\System32\dscglgim.dll  Has been deleted!

 Attempting to delete C:\WINDOWS\System32\fzitqie.dll 
C:\WINDOWS\System32\fzitqie.dll  Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete C:\Documents and Settings\Benjamin\52116830.dll
C:\Documents and Settings\Benjamin\52116830.dll Has been deleted!

 Attempting to delete C:\WINDOWS\System32\a3dxq.dll
C:\WINDOWS\System32\a3dxq.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ipv6monr.dll
C:\WINDOWS\system32\ipv6monr.dll Has been deleted!

Performing Repairs to the registry.
Done!

MERCI

Bennnito · Answer

Voici aussi le rapport HITJACKTHIS

Logfile of HijackThis v1.99.1
Scan saved at 21:08:04, on 21/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Adobe\Version Cue\ControlPanel\VersionCueTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Program Files\Arcade\PCMService.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\acer\eRecovery\Monitor.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\palmOne\Hotsync.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Benjamin\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00A7863B-DDC7-0034-A0C8-07530F512758} - C:\WINDOWS\system32\mttqnzh.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0B38AA6B-CFD5-481D-894F-D8354C3788E4} - C:\WINDOWS\system32\dscglgim.dll (file missing)
O2 - BHO: (no name) - {2B5E25BC-C1B2-92D8-02F0-081D435BC4F0} - C:\WINDOWS\system32\mmzarpe.dll (file missing)
O2 - BHO: (no name) - {3F47CEB7-3C27-74D8-053F-046090C17FFF} - C:\WINDOWS\system32\fzitqie.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - C:\Documents and Settings\Benjamin\52116830.dll (file missing)
O2 - BHO: (no name) - {62B2F83B-3884-4670-A34C-67E33B9DA9BD} - C:\WINDOWS\system32\syoiyatj.dll (file missing)
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6monr.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {B69BF0EA-E0AD-4906-B252-364B070B29EB} - C:\WINDOWS\system32\Restore\ahrdcac.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CloneCDTray] C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RealPlayer] "C:\Program Files\Real\RealPlayer\realplay.exe" /RunUPGToolCommandReBoot
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Nphb] "C:\WINDOWS\system32\SCURIT~1\dexplore.exe" -vt yazb
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\palmOne\Hotsync.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab50997.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{16BB4D6F-477C-415F-810F-5BA9362F285B}: NameServer = 210.131.249.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{473A2208-4C7F-42DA-9173-03F2E29408C5}: NameServer = 210.131.249.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FAE03F8-21B7-4AA8-A7F1-D7F5B04BB5D5}: NameServer = 210.131.249.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{C44463CC-F5B1-4EEF-87B5-271083CAE3F5}: NameServer = 210.131.249.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{16BB4D6F-477C-415F-810F-5BA9362F285B}: NameServer = 210.131.249.33
O17 - HKLM\System\CS2\Services\Tcpip\..\{16BB4D6F-477C-415F-810F-5BA9362F285B}: NameServer = 210.131.249.33
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: ahrdcac - C:\WINDOWS\system32\Restore\ahrdcac.dll (file missing)
O20 - Winlogon Notify: hggdbba - hggdbba.dll (file missing)
O20 - Winlogon Notify: wineil32 - wineil32.dll (file missing)
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

MERCI

moK´s@ · Answer

re ,

Maintenant ton rapport hijack this parait propre enfin apres avoir fixés les lignes suivantes :

Avec hijack this coche les lignes suivantes:
O2 - BHO: (no name) - {00A7863B-DDC7-0034-A0C8-07530F512758} - C:\WINDOWS\system32\mttqnzh.dll (file missing) 
O2 - BHO: (no name) - {0B38AA6B-CFD5-481D-894F-D8354C3788E4} - C:\WINDOWS\system32\dscglgim.dll (file missing)
O2 - BHO: (no name) - {2B5E25BC-C1B2-92D8-02F0-081D435BC4F0} - C:\WINDOWS\system32\mmzarpe.dll (file missing)
O2 - BHO: (no name) - {3F47CEB7-3C27-74D8-053F-046090C17FFF} - C:\WINDOWS\system32\fzitqie.dll (file missing) 
O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - C:\Documents and Settings\Benjamin\52116830.dll (file missing)
O2 - BHO: (no name) - {62B2F83B-3884-4670-A34C-67E33B9DA9BD} - C:\WINDOWS\system32\syoiyatj.dll (file missing)
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6monr.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll (file missing) 
O2 - BHO: (no name) - {B69BF0EA-E0AD-4906-B252-364B070B29EB} - C:\WINDOWS\system32\Restore\ahrdcac.dll (file missing) 
O20 - Winlogon Notify: ahrdcac - C:\WINDOWS\system32\Restore\ahrdcac.dll (file missing)
O20 - Winlogon Notify: hggdbba - hggdbba.dll (file missing)
O20 - Winlogon Notify: wineil32 - wineil32.dll (file missing) 

Quitte ton navigateur et tes application et fixe/check les lignes si dessus.

Tu n´as pas de par feu :

https://kerio.probb.fr/t4-tlcharger-sunbelt-kerio-personal-firewall

tutoriels :

https://kerio.probb.fr/f2-sunbelt-kerio-personal-firewall

Comme tu étais tres infecté le mieux maintenant c´est de faire un scan en ligne puis un scan pour les trojants :

scan en ligne kaspersky :

https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr  désactiver avast pendant le scan car kaspersky n´aime pas avast

ou celui la :

https://www.bitdefender.fr/
et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.

tuto en image

http://pageperso.aol.fr/rginformatique/mapage/defender.htm

accèpte l´active x

scan pour les trojants et spyware :

* télécharge AVG Anti-Spyware (ewido)

https://www.avg.com/en-ww/free-antivirus-download
http://www.infos-du-net.com/telecharger/Ewido-Security-Suite,0301-734.html
* tu l'installes

* lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente
si tu n'arrives pas à le mettre à jour prends ici les màj
http://downloads.ewido.net/avgas-signatures-full-current.exe

Sur la page "analyse":
•- tu choisis d'abord l'onglet "paramètres".
- sous « Comment réagir » clic sur « Actions recommandées » et dans le menu déroulant, choisir « Supprimer »

poste les rapports 

Bon courrage...

@+

Bennnito · Answer

Mok's, lorsque j'utilise KillBOx pour cette ligne, le programme me dit qu'il l'effacera aprés redemarrage et avant de s'éteindre il y a un message d'erreur qui me dit: PendingFileRenameOperations Registry Data has been Removed by External Process.
Que dois-je faire? attends instructions
Merci

moK´s@ · Answer

re,

Quand tu redemarre va dans kill box et tu click sur l´onglet  remove item puis dans l´arborescence tu click sur Remove PendingFileRenameOperations...

Dis moi quoid...

Bennnito · Answer

MOK'S j'ai bien suivi tes étapes, voici le premier rapport de SDFix ainsi que le Rapport de AVG, j'ai fait un scan Spybot, il m'a trouvé des choses dont un élément Win32 que j'ai fait supprimer.
Voici les 2 rapports:

SDFix:

SDFix: Version 1.84

Run by Benjamin - 22/05/2007 - 20:45:36,75

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\Benjamin\Bureau\SDFix

Safe Mode:
Checking Services: 






Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service 
Restoring Missing SharedAccess Service 

Rebooting...


Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\Documents and Settings\Benjamin\Application Data\Install.dat - Deleted
C:\WINDOWS\antiv.exe - Deleted
C:\WINDOWS\system32\dlh9jkd1q5.exe - Deleted



Removing Temp Files...

ADS Check:

Checking if ADS is attached to system32 Folder 
C:\WINDOWS\system32
No streams found.

Checking if ADS is attached to svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.

Rapport AVG:
--------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	21:20:01 22/05/2007

 + Résultat de l'analyse:	



C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP129\A0051092.dll -> Adware.Softomate : Nettoyé.
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP129\A0051089.exe -> Downloader.Agent.bls : Nettoyé.
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP128\A0038821.EXE -> Downloader.Agent.es : Nettoyé.
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP128\A0039795.exe -> Downloader.Agent.es : Nettoyé.
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP129\A0051086.exe -> Downloader.Small.cpg : Nettoyé.
C:\!KillBox\spoolsv32.exe -> Hijacker.Agent.hz : Nettoyé.
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP128\A0044952.dll -> Hijacker.Agent.hz : Nettoyé.
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP129\A0051090.dll -> Hijacker.Small.kj : Nettoyé.
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP129\A0051146.sys -> Not-A-Virus.SpamTool.Win32.Agent.af : Nettoyé.
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP129\A0051088.exe -> Proxy.Xorpix.ba : Nettoyé.
:mozilla.6:C:\Documents and Settings\Benjamin\Application Data\Mozilla\Firefox\Profiles\hk798p0d.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Benjamin\Cookies\benjamin@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Benjamin\Cookies\benjamin@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Benjamin\Cookies\benjamin@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
:mozilla.21:C:\Documents and Settings\Benjamin\Application Data\Mozilla\Firefox\Profiles\hk798p0d.default\cookies.txt -> TrackingCookie.Realmedia : Nettoyé.
:mozilla.22:C:\Documents and Settings\Benjamin\Application Data\Mozilla\Firefox\Profiles\hk798p0d.default\cookies.txt -> TrackingCookie.Realmedia : Nettoyé.
:mozilla.23:C:\Documents and Settings\Benjamin\Application Data\Mozilla\Firefox\Profiles\hk798p0d.default\cookies.txt -> TrackingCookie.Realmedia : Nettoyé.
:mozilla.24:C:\Documents and Settings\Benjamin\Application Data\Mozilla\Firefox\Profiles\hk798p0d.default\cookies.txt -> TrackingCookie.Realmedia : Nettoyé.
:mozilla.29:C:\Documents and Settings\Benjamin\Application Data\Mozilla\Firefox\Profiles\hk798p0d.default\cookies.txt -> TrackingCookie.Sitestat : Nettoyé.
C:\Documents and Settings\Benjamin\Cookies\benjamin@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Benjamin\Cookies\benjamin@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\!KillBox\svehost.exe -> Trojan.Agent.kq : Nettoyé.
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP128\A0044929.exe -> Trojan.Agent.kq : Nettoyé.
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP128\A0044933.exe -> Trojan.Agent.kq : Nettoyé.
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP129\A0051081.exe -> Trojan.Small : Nettoyé.
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP129\A0051082.exe -> Trojan.Small : Nettoyé.
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP129\A0051083.exe -> Trojan.Small : Nettoyé.
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP129\A0051087.exe -> Worm.Nuwar.gen : Nettoyé.
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP128\A0044919.exe -> Worm.Zhelatin.da : Nettoyé.
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP128\A0044920.exe -> Worm.Zhelatin.da : Nettoyé.
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP128\A0044921.exe -> Worm.Zhelatin.da : Nettoyé.
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP129\A0051084.exe -> Worm.Zhelatin.da : Nettoyé.
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP129\A0051085.exe -> Worm.Zhelatin.da : Nettoyé.


Fin du rapport

MERCI MOK'S

moK´s@ · Answer

re,

¤Désactive ta restauration système:
Clic droit sur poste de travail puis,
propriété, tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique

Pour la suite, on verras demain, je vais me coucher...

Ps :repost un nouveau hijackthis en le renomant en scan.exe par exemple

@+

moK´s@ · Answer

salut,

avec hijackthis coche : (désolé mais ton screen saver est un malware)

O4 - HKCU\..\Run: [Salvapantallas Mallorcasemueve web link] "C:\Program Files\Mallorcasemueve\Protector de Pantalla\FWLink.exe"

quitte tes applications et navigateur et fix/check.

Par le panneau de configuration >ajout et suppression de programme desinstal Mallorcasemueve\Protector de Pantalla.

Est ce que spybot t´avais trouvé des trucs?

florian.walther · Answer

Fais une analyse complète de l'ordinateur !! Vérifie que Avast est sous scan minutieux
télécharge aussi 
ccleaner
adware se 
sybot

moK´s@ · Answer

bennnito,

je vais me mettre devant un film avant le dodo, j´habite a helsinki et il est deja 22h ici ( une heure de +), demain levé 7h alors je repasserais demain en fin d´apres midi...

Bonne soirée a toi, a dem1

C!@0`

Regis59 · Answer

Salut

Quels soucis restent ils?

A+

moK´s@ · Answer

bennito,

Comment ce porte le pc?

@+

Bennnito · Answer

Voici Mok's le nouveau rapport SCAN BAT aprés desinstallation messenger plus et utilisation de toolbar_uninstall.exe: Rapport fait à 19:09:03,76 le 24/05/2007 Le volume dans le lecteur C s'appelle ACER Le num‚ro de s‚rie du volume est 320D-180E R‚pertoire de C:\Documents and Settings\Default User\Application Data 07/01/2006 03:39 Identities 07/03/2005 20:16 62 desktop.ini 07/03/2005 20:16 Microsoft 07/03/2005 20:16 .. 07/03/2005 20:16 . 1 fichier(s) 62 octets 4 R‚p(s) 7318142976 octets libres Le volume dans le lecteur C s'appelle ACER Le num‚ro de s‚rie du volume est 320D-180E R‚pertoire de C:\Documents and Settings\All Users\Application Data 20/04/2007 16:08 Nero 21/03/2007 19:10 Google 05/10/2006 19:23 Windows Genuine Advantage 04/10/2006 17:25 Spybot - Search & Destroy 22/09/2006 17:35 pixelStorm 17/02/2006 18:28 DataViz 17/02/2006 18:16 HotSync 15/02/2006 18:59 BVRP Software 01/02/2006 17:17 Ulead Systems 20/01/2006 23:49 2898 QTSBandwidthCache 20/01/2006 18:40 Apple Computer 07/03/2005 20:45 Adobe 07/03/2005 20:16 62 desktop.ini 07/03/2005 20:16 Microsoft 07/03/2005 20:16 . 07/03/2005 20:16 .. 2 fichier(s) 2960 octets 14 R‚p(s) 7318142976 octets libres Le volume dans le lecteur C s'appelle ACER Le num‚ro de s‚rie du volume est 320D-180E R‚pertoire de C:\Documents and Settings\Benjamin\Application Data 21/03/2007 21:03 A?pPatch 05/10/2006 17:06 Mozilla 29/06/2006 18:46 AdobeUM 20/03/2006 18:00 Arcsoft 17/02/2006 18:37 Real 17/02/2006 18:21 Leadertech 17/02/2006 18:12 HotSync 02/02/2006 00:09 Ulead Systems 01/02/2006 17:19 Help 24/01/2006 18:42 Adobe 20/01/2006 19:18 Ahead 20/01/2006 18:48 Google 20/01/2006 18:43 Apple Computer 20/01/2006 18:03 Macromedia 14/01/2006 23:35 CyberLink 07/01/2006 03:40 62 desktop.ini 07/01/2006 03:40 Microsoft 07/01/2006 03:40 .. 07/01/2006 03:40 . 07/01/2006 03:40 Identities 1 fichier(s) 62 octets 19 R‚p(s) 7318142976 octets libres ****************************************** Recherche des taches planifiées dans C:\WINDOWS asks Le volume dans le lecteur C s'appelle ACER Le num‚ro de s‚rie du volume est 320D-180E R‚pertoire de C:\WINDOWS\Tasks 07/03/2005 20:29 6 SA.DAT 07/03/2005 20:23 .. 07/03/2005 20:23 . 01/01/1980 00:00 65 desktop.ini 2 fichier(s) 71 octets 2 R‚p(s) 7ÿ318ÿ142ÿ976 octets libres ****************************************** Recherche dans Program files Pas de dossiers relatifs à Lop ****************************************** Recherche d'infections connues C:\WINDOWS\system32\csrss.exe [b]Wareout possible ![/b] [#ff0000][b]faux-positif si csrss.exe ![/#f][/b] *************** Fin du rapport **************** MERCI

moK´s@ · Answer

ok cool,

regarde si tu as encore des probleme avec les pages sur le net...

fait tourner ccleaner pour les fichiers temporaires et les erreures, et  supprime tout...

telecharge celui la, c´est aussi pour les fichiers temporaires  mais un peut plus puissant que c cleaner :

Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
fais le marcher

telecharge : celui la aussi nettoie le registre, complementaire a ccleaner

http://www.01net.com/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/4894.html

tu va sur option>nettoyage du registre>methode> et coche manuel
puis outils>nettoyage du registre>tout faire, tu le laisse scanner et tu selectionne tout et click sur supprimer et en fin sur terminer et quitter...

fait un scan avg et poste le rapport

@+

Regis59 · Answer

Tu as corrigé ceci:

C:\WINDOWS\system32\csrss.exe [b]Wareout possible ![/b] [#ff0000][b]faux-positif si csrss.exe ![/#f][/b]

moK´s@ · Answer

salut regis,

non je l´ ai pas corrigé, car j´ai jugé que les lignes 017 étaient ok.
C´est pas ca que ca voulait dire?

Merci,

Regis59 · Answer

Essaie de passer le fix wareout pour verif

a+

moK´s@ · Answer

bennnito,

On va encore verifier un truc d´apres les conseils de régis59;

Télécharge FixWareout d'un de ces deux sites sur le bureau:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

*Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis! dans ta prochaine réponse.

@+

Regis59 · Answer

;)

Bonne soirée a vous 2.

moK´s@ · Answer

Salut regis,

Ca´m´parais ok :-)

Bonne soirée...

@+

Virus Win32 détecté sous Windows XP par avast

36 réponses

Newsletters