Virus infecté par drive cleanerRésolu/Fermé

Question

Bonjour, depuis quelques jours je suis infecté par drive cleaner et pas moyen de s'en débarrasser. Comme j'ai lu que chaque cas était personnel je joins donc mon rapport Hijacthis à ma demande. Merci par avance à tous.

footeux63 · Accepted Answer

OK pour ça bon ben je te laisse en te souhaitant une bonne journée car je vois que tu es occupé par d'autres dépannages, merci encore
et à un de ces jours sûrement (lol)............

Cousin_Avi · Answer

Bah poste le ici ton rapport HijackThis !

footeux63 · Answer

Voilà c'est fait, je te remercie de m'accorder un peu de ton temps


Logfile of HijackThis v1.99.1
Scan saved at 18:18:26, on 27/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0007)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\CTSvcCDA.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\system32\LVComS.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe
C:\Program Files\Fichiers communs\AOL\1165765788\ee\AOLSoftware.exe
C:\Program Files\Lexmark X6100 Series\lxbfbmon.exe
C:\Program Files\Fichiers communs\AOL\1165765788\ee\aolsoftware.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Skype\Plugin Manager\SkypePM.exe
C:\Program Files\Fichiers communs\AOL\Topspeed\3.0\aoltpsd3.exe
C:\Program Files\AOL 9.0\waol.exe
C:\Program Files\AOL 9.0\shellmon.exe
C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = C:\Program Files\AOL Toolbar\welcome.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1036
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1165765788\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\system32\ababvwgb.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=https://fr.yahoo.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111693286980
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A51C9BA-CAAE-40B0-9939-CB2851C3A3BA}: NameServer = 205.188.146.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: PDScheduler (PDSched) - Pinnacle Systems - (no file)
O23 - Service: ScriptBlocking Service (SBService) - Creative Technology Ltd. - (no file)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Cousin_Avi · Answer

Bonjour,

Télécharge Clean.zip[url]http://www.malekal.com/download/clean.zip[/url] (de Malekal),  
Décompresse-le sur ton bureau (Clique-Droit/Extraire tout), tu dois obtenir un dossier Clean.
Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 1 puis patiente. Poste ensuite le contenu du rapport

footeux63 · Answer

Voici le résultat

27/05/2007 a 18:37:13,66 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
C:\WINDOWS\system32\mcrh.tmp FOUND 
 
*** Recherche des fichiers dans C:\Program Files 
"C:\Program Files\Viewpoint\" FOUND 
*** Fin du rapport !

Cousin_Avi · Answer

Redémarre en mode sans échec
Lance clean.cmd et execute la commande 2  : nettoyage des fichiers infectieux.
Ensuite fait un scan hijackthis et reposte le.

footeux63 · Answer

J'avais un virus vundo que j'ai viré et j'ai remarqué qu'à chaque fois que je vais dans regedit et après que IE se soit ouvert j'ai dans HKEY LOCAL MACHINE /SOFTWARE/ MICROSOFT /UNIQDATA. J'ai beau supprimer ce dernier il se replace à chaque fois.

footeux63 · Answer

ok je reviens dans un instant

Cousin_Avi · Answer

Ok donc alors on reprend : 
Lance clean.cmd en mode sans échec fait  la commande 2 : nettoyage des fichiers infectieux. 

Redémarre normal et  télécharge GenProc de Jean-Chretien1 et Narco4 sur ton bureau
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre.

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
poste les rapports car parfois il faut ajouter des consignes à la manip pour que cela fonctionne parfaitement

footeux63 · Answer

voici le résultat après le mode sans échec et le hijackthis, je passe à la phase dès maintenant

Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 27/05/2007 a 18:56:45,74 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
 
*** Suppression des fichiers dans C:\Program Files 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport ! 

Logfile of HijackThis v1.99.1
Scan saved at 18:55:26, on 27/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0007)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = C:\Program Files\AOL Toolbar\welcome.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1036
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1165765788\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.fr
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111693286980
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: PDScheduler (PDSched) - Pinnacle Systems - (no file)
O23 - Service: ScriptBlocking Service (SBService) - Creative Technology Ltd. - (no file)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

footeux63 · Answer

voila le résultat après GenProc donc si je comprends bien, je passe à la phase où il me demande de tétécharger etc ... et je te recontacte après, c'est ça .....

Rapport GenProc 0.53 [1] effectué le 27/05/2007 à 19:12:25,00 - SystemRoot = C:\WINDOWS 

# Etape 1/ Télécharge :  
  
- CCleaner http://www.filehippo.com/download_ccleaner.html ("Download Latest Version", sur la droite).
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout. 
 
- lopxpMH2 http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip sur ton bureau.
Dézippe-le (clic droit  -> "Extraire ici") et double clique sur le fichier lopxpMH.bat. 

Dans ta prochaine réponse, poste :
- le contenu du rapport qui va s'ouvrir ;
- un nouveau rapport GenProc.

Cousin_Avi · Answer

Voila fait ce qui est demandé ;)

footeux63 · Answer

voila le rapport après le passage de cc cleaner et lopxpMH2 Rapport lopxpMH2 version 2.0 fait à 19:21:15,38 le 27/05/2007 C:\unzipped3 ****************************************** ## Répertoires Application Data Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FCFC-C7CB Répertoire de C:\Documents and Settings\Administrateur\Application Data 14/10/2005 09:59 . 14/10/2005 09:59 .. 14/10/2005 09:59 Microsoft 14/10/2005 09:59 62 desktop.ini 1 fichier(s) 62 octets 3 Rép(s) 39 493 840 896 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FCFC-C7CB Répertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data 14/10/2005 09:59 . 14/10/2005 09:59 .. 14/10/2005 09:59 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 39 493 836 800 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FCFC-C7CB Répertoire de C:\Documents and Settings\Administrateur.DELATTRE\Application Data 19/05/2006 19:30 . 19/05/2006 19:30 .. 19/05/2006 19:30 Microsoft 19/05/2006 19:30 62 desktop.ini 1 fichier(s) 62 octets 3 Rép(s) 39 493 836 800 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FCFC-C7CB Répertoire de C:\Documents and Settings\Administrateur.DELATTRE\Local Settings\Application Data 19/05/2006 19:30 . 19/05/2006 19:30 .. 19/05/2006 19:30 Microsoft 19/05/2006 19:34 40 504 GDIPFONTCACHEV1.DAT 1 fichier(s) 40 504 octets 3 Rép(s) 39 493 836 800 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FCFC-C7CB Répertoire de C:\Documents and Settings\Administrateur.DELATTRE.000\Application Data 13/09/2006 13:45 . 13/09/2006 13:45 .. 29/09/2006 12:14 AOL 13/09/2006 13:45 Microsoft 29/09/2006 12:02 You've Got Pictures Screensaver 13/09/2006 13:45 62 desktop.ini 1 fichier(s) 62 octets 5 Rép(s) 39 493 836 800 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FCFC-C7CB Répertoire de C:\Documents and Settings\Administrateur.DELATTRE.000\Local Settings\Application Data 13/09/2006 13:45 . 13/09/2006 13:45 .. 13/09/2006 13:45 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 39 493 836 800 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FCFC-C7CB Répertoire de C:\Documents and Settings\All Users\Application Data 19/03/2005 11:12 . 19/03/2005 11:12 .. 20/06/2006 13:24 Adobe 30/12/2006 18:04 Adobe Systems 22/06/2005 20:00 Ahead 23/03/2005 19:32 AOL 24/06/2006 16:00 AOL Downloads 11/09/2006 12:08 Apple Computer 24/03/2005 14:31 CyberLink 13/02/2006 21:46 InstallShield 19/03/2005 11:12 Microsoft 05/02/2007 21:11 Microsoft Help 08/05/2005 09:22 MSN6 23/03/2005 19:33 QuickTime 03/02/2007 13:58 Skype 19/02/2006 09:55 Sonic 24/03/2005 19:26 Spybot - Search & Destroy 12/04/2005 19:54 Ulead Systems 23/03/2005 19:34 Viewpoint 14/06/2006 20:57 Yahoo! Companion 19/03/2005 11:12 62 desktop.ini 11/09/2006 12:12 1 739 QTSBandwidthCache 2 fichier(s) 1 801 octets 20 Rép(s) 39 493 832 704 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FCFC-C7CB Répertoire de C:\Documents and Settings\Default User\Application Data 19/03/2005 11:12 . 19/03/2005 11:12 .. 19/03/2005 11:12 Microsoft 19/03/2005 11:12 62 desktop.ini 1 fichier(s) 62 octets 3 Rép(s) 39 493 832 704 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FCFC-C7CB Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data 19/03/2005 11:12 . 19/03/2005 11:12 .. 0 fichier(s) 0 octets 2 Rép(s) 39 493 832 704 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FCFC-C7CB Répertoire de C:\Documents and Settings\ERIC\Application Data 19/03/2005 13:36 . 19/03/2005 13:36 .. 24/03/2005 19:47 Adobe 30/03/2005 19:01 AdobeUM 18/07/2005 13:22 Ahead 19/06/2006 14:16 Aim 23/03/2005 19:34 AOL 11/09/2006 12:12 Apple Computer 21/04/2006 19:57 ATI 20/02/2006 21:23 Backup MyPC 19/02/2006 09:04 Backup MyPC Deluxe 29/10/2005 17:53 Google 25/03/2005 00:27 Help 17/05/2007 19:51 InstallShield 24/03/2005 14:10 Lavasoft 12/04/2005 14:22 Leadertech 24/03/2005 13:56 Macromedia 04/12/2005 16:28 Media Player Classic 19/03/2005 13:36 Microsoft 24/03/2005 10:18 Microsoft Web Folders 29/10/2005 13:30 Mozilla 08/05/2005 09:22 MSN6 02/01/2007 17:41 Opera 04/09/2005 19:26 Real 04/11/2005 17:56 Roxio 31/05/2005 13:02 SecuROM 03/02/2007 14:06 Skype 25/03/2005 13:39 Sun 29/09/2006 18:11 Talkback 12/04/2005 19:54 Ulead Systems 21/02/2006 20:55 uTorrent 20/05/2005 19:01 vlc 19/03/2005 13:36 62 desktop.ini 1 fichier(s) 62 octets 32 Rép(s) 39 493 832 704 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FCFC-C7CB Répertoire de C:\Documents and Settings\ERIC\Local Settings\Application Data 19/03/2005 13:36 . 19/03/2005 13:36 .. 26/06/2006 11:47 {3248F0A6-6813-11D6-A77B-00B0D0150030} 24/03/2005 19:47 Adobe 20/05/2005 12:08 Ahead 24/06/2006 16:12 AOL 11/09/2006 12:11 Apple Computer 03/12/2005 09:10 ApplicationHistory 21/04/2006 19:57 ATI 17/09/2005 20:18 BVRP Software 03/01/2006 21:00 Google 25/03/2005 00:27 Help 17/04/2005 12:00 Identities 13/05/2006 16:19 IM 19/03/2005 13:36 Microsoft 05/02/2007 21:12 Microsoft Help 27/05/2006 18:04 Mozilla 10/03/2006 16:45 toaster 02/02/2006 20:56 2 096 audioCache8_UNI.db 24/03/2005 13:07 46 592 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 03/12/2005 09:10 127 fusioncache.dat 21/03/2005 10:15 49 656 GDIPFONTCACHEV1.DAT 19/03/2005 21:17 1 973 442 IconCache.db 5 fichier(s) 2 071 913 octets 18 Rép(s) 39 493 828 608 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FCFC-C7CB Répertoire de C:\Documents and Settings\LocalService\Application Data 19/03/2005 13:31 . 19/03/2005 13:31 .. 19/03/2005 13:31 Microsoft 03/02/2006 13:38 Mozilla 19/02/2006 10:01 Roxio 14/12/2006 12:41 Talkback 12/05/2006 18:50 Webroot 0 fichier(s) 0 octets 7 Rép(s) 39 493 828 608 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FCFC-C7CB Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data 19/03/2005 13:31 . 19/03/2005 13:31 .. 28/11/2006 20:51 AOL 19/03/2005 13:31 Microsoft 14/12/2006 12:40 Mozilla 16/05/2006 22:08 38 144 GDIPFONTCACHEV1.DAT 1 fichier(s) 38 144 octets 5 Rép(s) 39 493 828 608 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FCFC-C7CB Répertoire de C:\Documents and Settings\NetworkService\Application Data 19/03/2005 13:31 . 19/03/2005 13:31 .. 19/03/2005 13:31 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 39 493 828 608 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FCFC-C7CB Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data 19/03/2005 13:31 . 19/03/2005 13:31 .. 19/03/2005 13:31 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 39 493 828 608 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FCFC-C7CB Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data 19/03/2005 11:38 . 19/03/2005 11:38 .. 05/02/2007 13:54 ATI 05/02/2007 13:53 Macromedia 19/03/2005 11:38 Microsoft 19/03/2005 11:38 62 desktop.ini 1 fichier(s) 62 octets 5 Rép(s) 39 493 828 608 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FCFC-C7CB Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data 19/03/2005 11:38 . 19/03/2005 11:38 .. 05/02/2007 13:53 ApplicationHistory 05/02/2007 13:54 ATI 21/03/2005 10:15 Microsoft 05/02/2007 13:53 137 fusioncache.dat 1 fichier(s) 137 octets 5 Rép(s) 39 493 828 608 octets libres ****************************************** Recherche des taches planifiées dans C:\WINDOWS asks C:\WINDOWS\Tasks\At1.job †ê?ü¸#Lž ¶>ò»F ä < s ! ! C : \ W I N D O W S \ s y s t e m 3 2 \ w u n a u c l t . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . 0 × ÿ SG,r‘&RiÛîFûßx‡‘ýFk»¾!°4.½US‡B7x-÷?¼Q+‚bVKšÇnD*±þ€76 × C:\WINDOWS\Tasks\At2.job ;%ÙA¸þGB—CØg/¨tPF ä < s !× y ! C : \ W I N D O W S \ s y s t e m 3 2 \ w u n a u c l t . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . 0 × ÿ ‹¤ÕûM öJïôïÓž÷ç7ÎSND>wØ¼‘àh¡øu67xNyŒ†;üß˜W“¡×þÆA «‡t[ C:\WINDOWS\Tasks\At3.job s !× . ! C : \ W I N D O W S \ s y s t e m 3 2 \ w u n a u c l t . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . 0 × ÿ Þ(`_èÔö~÷À«F”áz¹¦Q¤…N†+/SÌcsßçnmíj®á)Ì’†ÞbœYT#ÃFæ ©¨¤qs‰ C:\WINDOWS\Tasks\At4.job s !× ë ! C : \ W I N D O W S \ s y s t e m 3 2 \ w u n a u c l t . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . 0 × ÿ !¡´›{àï|6£ý=ü5'áèkÂU…áÿo 1q¾_v‹Æ‡l¹¤™<„çg½›¨FÙ+ÝƒCiéÄŒ9Ö C:\WINDOWS\Tasks\At5.job s !× ! C : \ W I N D O W S \ s y s t e m 3 2 \ w u n a u c l t . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . 0 × ÿ žXØ˜ÍßU }˜mÏ¥Æ’2ÍÅþþ€êT<‘Ö¨'Æ…m/ñ%H{Á«Hòm#4ÝXðt‹—P[P-R C:\WINDOWS\Tasks\At6.job s ! ! C : \ W I N D O W S \ s y s t e m 3 2 \ w u n a u c l t . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . 0 × ÿ –½È^mŽ—ˆ.Þ³Û%]Ÿwê‚úB~|H-ý ÕbÜC‘3á ÇÎ‘‚fÍó"ïæ½JŽ rÆP C:\WINDOWS\Tasks\At7.job mþ-LA³ßÔhÄÜ%sF ä < s !× 1 ! C : \ W I N D O W S \ s y s t e m 3 2 \ w u n a u c l t . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . 0 × ÿ žVâæk9å ‡zÕZŒ9$Å;ý_pT“ G2T?pŒ‰ri,1°ç8¾ÉñsìCñN×¿8Û3R\` C:\WINDOWS\Tasks\At8.job Þ¼c$ÆoI”ãl£ìF ä < s ! ! C : \ W I N D O W S \ s y s t e m 3 2 \ w u n a u c l t . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . 0 × š-®TíM £¥Ž&œ8îN‘-Œ.u9 åÓïÀhHö‰\p¦V‘=¹àNuõôïˆffïÚåÒD¿ C:\WINDOWS\Tasks\At9.job s !× ! C : \ W I N D O W S \ s y s t e m 3 2 \ w u n a u c l t . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . 0 × ÿ u§ÍÏâZV“’óß.»ðž¦H©BÁšKÑ‹´¼Z€ÈŒ &áöÃ\|¯ ˆuG®SõLJº\½!x¨l C:\WINDOWS\Tasks\XoftSpySE.job s €! ' C : \ P r o g r a m F i l e s \ X o f t S p y S E \ X o f t S p y . e x e - t C : \ P r o g r a m F i l e s \ X o f t S p y S E \ E R I C $ E x é c u t e X o f t S p y S E à l h e u r e p r é v u e . 0 × ****************************************** ## Répertoires de C:\Program Files Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FCFC-C7CB Répertoire de C:\Program Files 27/05/2007 19:18 . 27/05/2007 19:18 .. 15/10/2005 20:11 ABBYY FineReader 5.0 Sprint 02/01/2007 17:53 Adobe 02/09/2006 13:32 Ahead 07/02/2006 14:13 Alcohol Soft 19/06/2006 11:39 Alwil Software 09/02/2007 15:45 AOL 15/04/2007 18:36 AOL 9.0 10/12/2006 17:55 AOL Compagnon 17/12/2006 22:51 AOL Toolbar 10/12/2006 15:31 AOLbox 14/11/2005 19:42 arniWORX 11/10/2006 19:27 Ashampoo 20/10/2005 12:20 AviSynth 2.5 27/05/2007 19:18 CCleaner 19/03/2005 11:29 ComPlus Applications 01/02/2006 23:39 Creative 06/03/2007 20:59 CyberLink 28/07/2006 17:48 DAEMON Tools 10/11/2005 11:50 DivX 10/11/2005 11:51 DivX_311alpha 28/07/2006 15:19 Elaborate Bytes 27/05/2007 17:18 eMule 07/02/2007 23:58 Fichiers communs 21/12/2006 20:16 Grisoft 27/05/2007 18:55 HijackThis 12/10/2006 17:58 internet explorer 15/04/2007 18:53 Java 28/05/2006 13:26 jv16 PowerTools 2006 16/05/2006 20:24 Lavasoft 27/04/2006 08:14 Learn2.com 29/01/2007 18:23 Learning Essentials 17/04/2007 13:10 Lexmark X6100 Series 26/12/2006 20:20 Logitech 27/05/2007 10:25 Macrovision 02/09/2006 13:07 Media Player Classic 28/01/2007 18:23 MeuhMeuhTV 11/02/2007 10:48 Microsoft Etudes 19/03/2005 11:34 microsoft frontpage 07/02/2007 23:58 Microsoft Office 05/02/2007 21:28 Microsoft Works 10/11/2005 11:50 Morgan 27/03/2005 11:19 Movie Maker 27/05/2007 16:21 Mozilla Firefox 19/03/2005 11:29 MSN Gaming Zone 24/06/2006 15:04 MSN Messenger 27/01/2007 19:08 Multi_Media 27/03/2005 11:13 NetMeeting 29/10/2005 15:37 Ontrack 17/12/2006 15:46 Outlook Express 02/04/2005 14:21 PCLinq2 Hi-Speed USB Bridge Cable 28/01/2007 14:03 Pinnacle 02/09/2006 13:34 Power IE 13/09/2006 19:49 QuickTime 23/03/2005 19:33 Real 28/07/2005 16:22 Real Alternative 24/03/2005 15:00 RegSeeker 10/11/2005 11:49 Rippackv3 19/09/2005 20:30 Services en ligne 29/09/2006 14:50 Sierra On-Line 22/06/2006 18:17 SiSoftware 03/02/2007 13:58 Skype 17/02/2006 13:57 Sonic 02/09/2006 13:31 Spybot - Search & Destroy 26/12/2006 17:09 ToniArts 26/12/2006 19:28 Trust 02/02/2006 13:56 Ulead Systems 13/02/2006 13:11 VideoLAN 27/05/2007 19:02 Viewpoint 19/06/2006 16:40 Windows Installer Clean Up 23/03/2005 20:05 Windows Media Components 31/03/2007 09:59 Windows Media Connect 2 31/03/2007 20:41 Windows Media Player 27/03/2005 11:13 Windows NT 01/03/2007 12:39 Winrar 26/01/2007 12:51 winzip 19/03/2005 11:34 xerox 27/05/2007 14:42 xoftspy 27/05/2007 16:07 XoftSpySE 12/06/2006 19:50 Yahoo! 0 fichier(s) 0 octets 81 Rép(s) 39 493 820 416 octets libres ****************************************** ## Popups autorisées * Internet Explorer ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow aol REG_BINARY 0000 * Mozilla Firefox (1 autorisé 2 interdit) ---------- C:\DOCUMENTS AND SETTINGS\ERIC\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\P4IAC54U.DEFAULT\HOSTPERM.1 host popup 1 www.anpe.fr ****************************************** ## Registre * [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] Search Bar REG_SZ http://www.google.com/toolbar/ie8/sidebar.html ****************************************** ## Zones de sécurité * HKCU Domains (4) * P3P History (5) ****************************************** ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif" *************** Fin du rapport ****************

Cousin_Avi · Answer

Tu as utilisé CC Cleaner en long en large et en travers ?
Si oui reposte un rapport HijackThis.

FOOTEUX63 · Answer

voilà j'ai passé 3 x ccleaner mais après nettoteur, dans le module erreur faut-il réparer les erreurs ou pas ? je ne l'ai pas fait.

Logfile of HijackThis v1.99.1
Scan saved at 19:40:28, on 27/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0007)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Fichiers communs\AOL\1165765788\ee\AOLSoftware.exe
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\WINDOWS\system32\LVComS.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\CTSvcCDA.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Fichiers communs\AOL\1165765788\ee\aolsoftware.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AOL 9.0\waol.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\AOL 9.0\shellmon.exe
C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\AOL\Topspeed\3.0\aoltpsd3.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = C:\Program Files\AOL Toolbar\welcome.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1036
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1165765788\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=https://fr.yahoo.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111693286980
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A51C9BA-CAAE-40B0-9939-CB2851C3A3BA}: NameServer = 205.188.146.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: PDScheduler (PDSched) - Pinnacle Systems - (no file)
O23 - Service: ScriptBlocking Service (SBService) - Creative Technology Ltd. - (no file)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Cousin_Avi · Answer

As-Tu toujours des problèmes

FOOTEUX63 · Answer

apparemment non les fenêtres à la C.. ne s'ouvre plus .... Je te remercie mais comme je suis curieux tu peux m'en dire un peu plus sur les manips. En gros on intervient avec les différentes méthodes pour nettoyer la base de registre ou pas ???

FOOTEUX63 · Answer

ben j'ai parlé trop vite vite ça vient de se réouvrir à l'instant.

Cousin_Avi · Answer

Tu as juste un problème avec Drive Cleaner ?
Télécharge SmitFraudFix (de S!ri) 
http://siri.urz.free.fr/Fix/SmitfraudFix.php
Lancez SmitFraudFix.exe il vous créera un dossier SmitFraudFix avec 12 fichiers.

    * Recherche:
          o Double cliquer sur SmitfraudFix.exe
          o Sélectionner 1 et pressez Entrée dans le menu pour créer un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque système C:\rapport.txt

Cousin_Avi · Answer

Merde j'avait oublié ça ¬_¬"

Télécharge Blacklight https://www.f-secure.com/en (F-Secure), clique sur " I ACCEPT " en bas de la page :
Clique sur le premier " Download " afin de télécharger le programme
Sauvegarde le sur ton Bureau
Double-clique fsbl.exe et accepte la licence; clique Scan puis Next.
 
A la fin du scan, NE TOUCHE A RIEN !
 
Tu verras un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Nous devons analyser ce rapport, ferme donc le BlackLight.
 
Poste le rapport sur le forum.

FOOTEUX63 · Answer

ok donc je fais d'abord blacklight puis je passerai à SmitFraudFix après t'avoir envoyé le rapport d'analyse, c'est ça ?

Cousin_Avi · Answer

Oui commence par blackLight et  poste le rapport.

Cousin_Avi · Answer

Avant SmitFraudFix passe 
Fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe (Merci Il_Mafioso ;)
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
 
Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
 
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

FOOTEUX63 · Answer

Voilà la résultat :
05/27/07 20:38:51 [Info]: BlackLight Engine 1.0.61 initialized
05/27/07 20:38:51 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/27/07 20:38:52 [Note]: 7019 4
05/27/07 20:38:52 [Note]: 7005 0
05/27/07 20:39:22 [Note]: 7006 0
05/27/07 20:39:22 [Note]: 7011 1996
05/27/07 20:39:22 [Note]: 7026 0
05/27/07 20:39:22 [Note]: 7026 0
05/27/07 20:39:31 [Note]: FSRAW library version 1.7.1021
05/27/07 20:45:14 [Note]: 7007 0

FOOTEUX63 · Answer

Voilà le résultat
Search Navipromo version 2.0.2 commencé le 27/05/2007 à 20:51:13,30
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\ERIC\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 05/27/07 at 20:51:18.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .....................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 05/27/07 at 20:56:29 (return code = 0).


*** Recherche fichiers *** 


C:\WINDOWS\Downloaded Program Files\EGDACCESS.inf trouvé !
C:\WINDOWS\Downloaded Program Files\sysiasvc32.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:

C:\WINDOWS\system32\eeggh.bak1 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\eeggh.bak2 trouvé ! infection Vundo possible non traité par cet outil !

2)Recherche Heuristique :
* 
C:\WINDOWS\system32\kclrwjvmez.dat trouvé !
C:\WINDOWS\system32\lurjcpfb.dat trouvé !
C:\WINDOWS\system32\vldpcjnrb.dat trouvé !
C:\WINDOWS\system32\zcyern.dat trouvé !
** 
C:\WINDOWS\system32\kclrwjvmez.dat trouvé !
C:\WINDOWS\system32\lurjcpfb.dat trouvé !
C:\WINDOWS\system32\vldpcjnrb.dat trouvé !
C:\WINDOWS\system32\zcyern.dat trouvé !
*** 
**** 
C:\WINDOWS\system32\lurjcpfb_navps.dat trouvé !
C:\WINDOWS\system32\vldpcjnrb_navps.dat trouvé !
***** 
C:\WINDOWS\system32\kclrwjvmez_nav.dat trouvé !
C:\WINDOWS\system32\lurjcpfb_nav.dat trouvé !
C:\WINDOWS\system32\vldpcjnrb_nav.dat trouvé !
C:\WINDOWS\system32\zcyern_nav.dat trouvé !
****** 
******* 
******** 
 
 
*** Analyse Terminé le 27/05/2007 à 20:56:58,33 ***

footeux63 · Answer

SmitFraudFix v2.188

Rapport fait à 21:36:11,38, 27/05/2007
Executé à partir de C:\Documents and Settings\ERIC\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\Tasks\At?.job PRESENT !
C:\WINDOWS\Tasks\At??.job PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ERIC


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ERIC\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» 


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32-xpdt



»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Cousin_Avi · Answer

Très bien ton problème sera réglé demain matin, désolé d'avoir mis autant de temps et désolé de ne pouvoir répondre se soir, rendez vous demain aux alentours de 10h ;)

footeux63 · Answer

ok pour ça sans problème et à demain.

footeux63 · Answer

bonjour, ça à l'air de s'être calmé pour l'instant aucune ouverture de fenêtre ce matin à la connexion d'AOL? c'est peur-être bon signe ...

Cousin_Avis · Answer

Me revoila.

#  Nettoyage:

    * Redemarrer l'ordinateur en mode sans echec (au démarrage de l'ordinateur, tapoter F8)
    * Double cliquer sur SmitfraudFix.exe
    * Sélectionner 2 et pressez Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
    * A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
    * Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu.
    * Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt poste le ici.

footeux63 · Answer

ok j'y vais et je reviens dans quelques instants. Pas d'attaque depuis ce matin à l'ouverture.

footeux63 · Answer

Rapport après paasage SmitFraud plus Hijackthis

SmitFraudFix v2.188

Rapport fait à 10:31:37,15, 28/05/2007
Executé à partir de C:\Documents and Settings\ERIC\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost



»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


Logfile of HijackThis v1.99.1
Scan saved at 10:41:49, on 28/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0007)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\CTSvcCDA.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Fichiers communs\AOL\1165765788\ee\AOLSoftware.exe
C:\WINDOWS\system32\LVComS.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\AOL\1165765788\ee\aolsoftware.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\AOL 9.0\waol.exe
C:\Program Files\AOL 9.0\shellmon.exe
C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
C:\Program Files\Fichiers communs\AOL\Topspeed\3.0\aoltpsd3.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = C:\Program Files\AOL Toolbar\welcome.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {150E3039-870E-4BCF-83C3-858A350AF48A} - C:\WINDOWS\system32\hggee.dll (file missing)
O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - C:\WINDOWS\system32\sesxjjfv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: (no name) - {A18C2FBE-ACF1-4D4D-BD18-7B5105F99AAe} - C:\WINDOWS\system32	bruoxjf.dll (file missing)
O2 - BHO: (no name) - {EA3DE8FF-6C36-4833-9CBF-F10EF18044D7} - C:\WINDOWS\system32\ddcyabx.dll (file missing)
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1036
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1165765788\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\system32\pncvbkbx.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=https://fr.yahoo.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111693286980
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A51C9BA-CAAE-40B0-9939-CB2851C3A3BA}: NameServer = 205.188.146.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: hggee - C:\WINDOWS\system32\hggee.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: PDScheduler (PDSched) - Pinnacle Systems - (no file)
O23 - Service: ScriptBlocking Service (SBService) - Creative Technology Ltd. - (no file)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Cousin_Avi · Answer

Télécharger sur le Bureau.  
VundoFix : http://www.atribune.org/ccount/click.php?id=4
 
= Double-clic VundoFix.exe.  
= Clic OK
=Attendre le redemarrage de Vundofix  
=Clic Scan for Vundo
= le scan est assez long , à la fin
=Clic Remove Vundo
= Puis yes
= Le Bureau disparaît un moment lors de la suppression des fichiers.  
=Message shutdown
=clic OK
=Redémarrage auto  
=copier le rapport qui est dans C:\vundofix.txt

footeux63 · Answer

ok voici le rapport avec passage de la bête .....
VundoFix V6.4.1

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Java version is 1.5.0.11

Scan started at 10:50:34 28/05/2007

Listing files found while scanning....

C:\WINDOWS\system32\ababvwgb.dll
C:\WINDOWS\system32\bgwvbaba.ini
C:\WINDOWS\system32\eeggh.bak1
C:\WINDOWS\system32\eeggh.bak2
C:\WINDOWS\system32\eeggh.ini
C:\WINDOWS\system32\hggee.dll
C:\WINDOWS\system32\pncvbkbx.dll
C:\WINDOWS\system32\xbkbvcnp.ini

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\ababvwgb.dll
C:\WINDOWS\system32\ababvwgb.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\bgwvbaba.ini
C:\WINDOWS\system32\bgwvbaba.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\eeggh.bak1
C:\WINDOWS\system32\eeggh.bak1 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\eeggh.bak2
C:\WINDOWS\system32\eeggh.bak2 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\eeggh.ini
C:\WINDOWS\system32\eeggh.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\pncvbkbx.dll
C:\WINDOWS\system32\pncvbkbx.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\xbkbvcnp.ini
C:\WINDOWS\system32\xbkbvcnp.ini Has been deleted!

Performing Repairs to the registry.
Done!

Cousin_Avi · Answer

Comme tu peux le voir on a fait du tri ^^
Donc un dernier truc : Télécharge Clean.zip http://www.malekal.com/download/clean.zip (de Malekal),  
Décompresse-le sur ton bureau (Clique-Droit/Extraire tout), tu dois obtenir un dossier Clean.
Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 1 puis patiente. Poste ensuite le contenu du rapport.

footeux63 · Answer

voici le rapport après passage cleancmd

 28/05/2007 a 11:14:01,80 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
 
*** Recherche des fichiers dans C:\Program Files 
"C:\Program Files\Viewpoint\" FOUND 
*** Fin du rapport !

Cousin_Avi · Answer

Ok redémarre en mode sans échec et dans clean fait l'option 2 pour nettoyer les fichiers infectieux.

footeux63 · Answer

C'est parti...............

footeux63 · Answer

Voici le rapport

Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 28/05/2007 a 11:33:08,53 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
 
*** Suppression des fichiers dans C:\Program Files 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport !

Cousin_Avi · Answer

Toujours des problèmes ?

footeux63 · Answer

non plus rien depuis ce matin donc mon problème est résolu. Je n'ai pas de mot pour te remercier d'avoir bien voulu me consacrer quelques heures ..... Merci encore pour tous. Si jamais mes problèmes revenaient il faudra que je refasse en entier la manip que tu m'as indiquée ???

Cousin_Avi · Answer

De rien, j'aurais du mettre moins de temps =/ mais bon, donc si les problèmes reviennent recrée un nouveau sujet car chaque cas est different puisqu'il existe des centaines de spywares différents ^^

apf1 · Answer

idem g un problème avec des fenêtres drivecleaner et plein d'autres pop up bien énervants. QUelqu'un peut-il m'aider ?

Regis59 · Answer

Bonjour,

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

A bientôt

Virus infecté par drive cleaner

44 réponses

Discussions similaires

Newsletters