besoin d'aide / lecture log hijackthisFermé

Question

Bonjour,

   Je rencontre divers problemes de lenteur, de trojans invirables mais detectés. Aujourd'hui, je remarque que des fois le curseur ne suit plus pendant quelques temps au démarrage. il y a quelques jours j'ai recu un fichier via une bonne connaissance msn, et je l'ai malheureusement ouvert ---> ca devait être un troyen, vu que la détection de probleme est arrivée de suite apres ouverture ( malheureuse du fichier) --> aujourd'hui, j'ai envoyé le même message a une amie ( qui l'a pas ouvert elle..)

Bref, y'en a marre.... j'ai avira antivircomme antivirus, j'ai passé du Ad-aware, du cc cleaner (sans certitude de résultat). Rien.
j'ai aussi fait un msconfig pour virer le wkssvc.exe, mais il est revenu..

je vous laisse mon log hijackthis, si vous pouviez m'aider, ce serait super ! Merci.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:36:50, on 18/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1
opdb.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\MSN Messenger\usnsvc.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=EXPLORER.EXE \684814.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation
Tune\nTune.exe" clear
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/308fd0d8f341156d7718/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114701629535
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1
opdb.exe

Saiyen75 · Answer

Salut,

MSNFix :

Télécharge MSNFix :

http://sosvirus.changelog.fr/MSNFix.zip 

Décompresse-le et double clic sur le fichier MSNFix.bat. 
- Appuis sur F pour choisir la langue puis ENTRE.
- Exécute l'option R. 
--Si l'infection est détectée, exécute l'option N 
- Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum. 

Note : 
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal 
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement. 

_____________________________________________________

    Mets JAVA à jour :
https://www.java.com/fr/download/manual.jsp 
---------------------------------------------------------------------
Tester Java et autres players:
TesT-1
TesT-2

_____________________________________________________ 


On arrête le service puis on le désactive :
_____________________________________________________

Arrête ce service 

service(s) à arrêter : Norton Unerase Protection (NProtectService)

pour ça fais cette manip : 

Démarrer -> executer tape services.msc clic droit sur le service cité - > propriétés et dans "type de démarrage" et mets le sur « arrêté » et « désactivé ». 

_____________________________________________________

Fixe les lignes dans Hijackthis :

Relance HijackThis, choisis  "do a scan only"  coche la case devant les lignes ci-dessous et clic en bas sur "fix checked". 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe 
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE 

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/308fd0d8f341156d7718/netzip/RdxIE601_fr.cab 

S'il te demande un redémarrage, relance ton PC.
_____________________________________________________

Fixwareout

Télécharge Fixwareout.exe : http://downloads.subratam.org/Fixwareout.exe

Fermez tous les programmes

---> Le programme d'installation s'ouvre alors, cliquez sur 
le bouton Next pour passer à l'étape suivante..
---> Cliquez sur le bouton Install pour démarrer la copie de fichiers.. 

 La copie de fichiers est terminée.
Laissez l'option Run fixit coché afin de lancer le fix automatiquement. 
Une fenêtre noire s'ouvre alors... Il vous est demandé d'appuyer sur une touche afin de démarrer
le scan.   

---> Appuye sur n'importe quelle touche du clavier. 
Le fix vous demande d'autoriser le redémarrage de l'ordinateur.. et vous préviens que ce dernier sera plus long à redémarrer que d'habitude. 
---> Cliquez sur le bouton OK. 
L'ordinateur redémarre... le fond d'écran va apparaître mais sans les icônes. ne vous inquiétez pas. 
---> Une fenetre popup s'ouvre alors, cliquez sur le bouton OK. 
Le fix travaille.. laissez l'opération s'effectuer 
Une fois le scan terminée, une popup Finish s'ouvre.. 
---> Cliquez sur le bouton OK. 

Un rapport s'ouvre alors...

Copie le rapport sur le forum :

---> Cliquez sur menu Edition puis Sélectionner tout. 
---> Cliquez à nouveau sur le menu Edition puis copier. 
---> Dans une nouvelle réponse sur le forum, fais un clic droit puis coller afin de coller le rapport entier. 

_____________________________________________________


poste tous les rapports dans ton prochain message.

++

eego · Answer

voici le rapport msnfix.zip

MSNFix 1.665  
 
C:\Documents and Settings\Samuel\Mes documents\Mes fichiers re‡us\MSNFix 
Fix exécuté le 18/02/2008 - 22:57:23.81 By Samuel 
mode normal    
    
************************ Recherche les fichiers présents      
    
... C:\WINDOWS\wkssvc.exe 
... C:\WINDOWS\system32\0.bat 
... C:\WINDOWS\system32\1.bat 
... C:\WINDOWS\wkssvc.exe 
... C:\WINDOWS\wkssvc.exe 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\WINDOWS\wkssvc.exe  
.. OK ... C:\WINDOWS\system32\0.bat  
.. OK ... C:\WINDOWS\system32\1.bat  
.. OK ... C:\WINDOWS\wkssvc.exe  
.. OK ... C:\WINDOWS\wkssvc.exe  
 
 
 
************************ Nettoyage du registre 
 
 
 
************************ Fichiers suspects 
 
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention 
 
[C:\018215.exe] 29D57A6983A62396522AC675F883A46C 
[C:\370034.exe] 29D57A6983A62396522AC675F883A46C 

[color=#FF0000][b]==>/b/color SVP merci d'envoyer le fichier  [b] C:\DOCUME~1\Samuel\Bureau\Upload_Me.zip /b sur http://upload.changelog.fr

 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 18022008_225939.71.zip
 


------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   ---------------------------------------------

Saiyen75 · Answer

Ok, Trés bien pour le MSNFix, mais c'est pas terminé,
Fait bien tous ce qui est indiqué en haut arrete le service, Fixe les lignes dans HjT puis oublie pas le rapport de Fixwareout.

je t'enverrai la suite aprés.
Tu iras sur VirusTotal.

a toute

eego · Answer

--> test java apparemment succesfull

--> ligne hijackthis supprimée saufcelle-la qui avait disparu

 O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

--> pour fixwareout 

Username "Samuel" - 18/02/2008 23:22:30 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Cache de résolution DNS vidé.


System was rebooted successfully. 
 
~~~~~ Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "System"="" 
....
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "0mdm"  Deleted 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "1mdm"  Deleted 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion "fofsc"  Value deleted 
HKCR\CLSID\{8859CF8E-9677-4E46-A8D9-5C6B75FC8510}\_h\4 Deleted.
....
~~~~~ Misc files. 
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE"
"NVIDIA nTune"="\"C:\Program Files\NVIDIA Corporation\nTune\\nTune.exe\" clear"
"NvCplDaemon"="RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup"
"REGSHAVE"="C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN"
"OpwareSE4"="\"C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe\""
"avgnt"="\"C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe\" /min"
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="\"C:\Program Files\MSN Messenger\msnmsgr.exe\" /background"
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~


--> au redémarage : j'ai attentivement observé et note , il y a plusieurs détections dont : bat/agent.r ( lié a c:/a.bat apparemment) et aussi des TR/ghost.AA ... sans oublié le petit moment ou le curseur souris ne répond plus et semble se promener tout seul en mode invisible ( impression de fenetre qui s'ouvre et se referme très rapidement)

voila

Saiyen75 · Answer

Ok pour la suite :

Va sur ce site : https://www.virustotal.com/gui/ 

Ensuite tu Clique sur parcourir, tu recherche la première ligne : 

C:\018215.exe
C:\370034.exe

Ensuite tu clique sur Envoyer le fichier 
un rapport va etre generé (peut prendre plusieurs minutes) 
Fait pareil pour l' autre fichier
Puis  poste  le rapport du fichier. 

/!\ N'oublie pas qu'il y a 1 rapport par fichier. /!\
_____________________________________________________


SDFix :

Télécharger sur le bureau :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

= Double-clic SDFix. 
= Clic Install 

= Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes).
Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes. 

Pour démarrer en mode sans échec : 

1/ -Démarrez Windows, ou s’il s’exécute, fermez Windows puis éteignez l'ordinateur. 
2/ -Redémarrez l’ordinateur.
3/ -Au début du chargement du BIOS (mais pas trop tôt), commencez à appuyer sur la touche F8 de votre clavier plusieurs fois de suite. Procédez ainsi jusqu'à ce que le menu des options avancées de Windows apparaissent.
4/ -En utilisant les flèches de votre clavier, sélectionnez "Mode sans échec" dans le menu puis appuyez sur Entrée.

Une fois sous windows :

------ 
= Double-clic SDFix. 
= Clic Install 
= Double-clic sur le nouveau dossier SDFix qui est dans C:\ 
= Double-clic RunThis 
= Presser Y 
= A l’invitation ==> appuyer sur une touche pour redémarrer 
= Redémarrage ( qui sera plus long ,car nettoyage en cours ) 
Continuer si un message d’erreurs apparaît ,dans ce cas aller directement au rapport dans SDfix 
= apparition de Finished 
= Appuyer sur une touche 
= Dans SDFix , un rapport est généré, Report.txt
= Copier/Coller sur le forum.

_____________________________________________________

eego · Answer

'-> premier rapport

 Fichier 025383.exe reçu le 2008.02.17 12:14:13 (CET)
Situation actuelle: terminé
Résultat: 10/32 (31.25%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3 	2008.2.16.10 	2008.02.15 	-
AntiVir 	7.6.0.67 	2008.02.15 	-
Authentium 	4.93.8 	2008.02.17 	W32/Trojan2.UMM
Avast 	4.7.1098.0 	2008.02.16 	-
AVG 	7.5.0.516 	2008.02.16 	-
BitDefender 	7.2 	2008.02.17 	Trojan.Delf.OXB
CAT-QuickHeal 	None 	2008.02.16 	-
ClamAV 	0.92.1 	2008.02.17 	-
DrWeb 	4.44.0.09170 	2008.02.17 	-
eSafe 	7.0.15.0 	2008.02.14 	-
eTrust-Vet 	31.3.5541 	2008.02.15 	-
Ewido 	4.0 	2008.02.17 	-
FileAdvisor 	1 	2008.02.17 	-
Fortinet 	3.14.0.0 	2008.02.17 	-
F-Prot 	4.4.2.54 	2008.02.17 	W32/Trojan2.UMM
F-Secure 	6.70.13260.0 	2008.02.15 	-
Ikarus 	T3.1.1.20 	2008.02.17 	BehavesLikeTrojan.ShellIni
Kaspersky 	7.0.0.125 	2008.02.17 	-
McAfee 	5231 	2008.02.15 	-
Microsoft 	1.3204 	2008.02.17 	VirTool:Win32/DelfInject.gen!K
NOD32v2 	2880 	2008.02.15 	-
Norman 	5.80.02 	2008.02.15 	-
Panda 	9.0.0.4 	2008.02.16 	Suspicious file
Prevx1 	V2 	2008.02.17 	Generic.Malware
Rising 	20.31.50.00 	2008.02.16 	-
Sophos 	4.26.0 	2008.02.17 	Mal/Behav-154
Sunbelt 	2.2.907.0 	2008.02.16 	-
Symantec 	10 	2008.02.17 	Trojan Horse
TheHacker 	6.2.9.222 	2008.02.16 	-
VBA32 	3.12.6.1 	2008.02.17 	-
VirusBuster 	4.3.26:9 	2008.02.17 	-
Webwasher-Gateway 	6.6.2 	2008.02.15 	Virus.Win32.FileInfector.gen!90 (suspicious)
Information additionnelle
File size: 147968 bytes
MD5: 29d57a6983a62396522ac675f883a46c
SHA1: 74c487da7cd3973c362114f9412ce09a9d5c2927
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=6A22EBCF00856E4B4257029CF9408B00F45E6286

--> second rapport

 Fichier 025383.exe reçu le 2008.02.17 12:14:13 (CET)
Situation actuelle: terminé
Résultat: 10/32 (31.25%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3 	2008.2.16.10 	2008.02.15 	-
AntiVir 	7.6.0.67 	2008.02.15 	-
Authentium 	4.93.8 	2008.02.17 	W32/Trojan2.UMM
Avast 	4.7.1098.0 	2008.02.16 	-
AVG 	7.5.0.516 	2008.02.16 	-
BitDefender 	7.2 	2008.02.17 	Trojan.Delf.OXB
CAT-QuickHeal 	None 	2008.02.16 	-
ClamAV 	0.92.1 	2008.02.17 	-
DrWeb 	4.44.0.09170 	2008.02.17 	-
eSafe 	7.0.15.0 	2008.02.14 	-
eTrust-Vet 	31.3.5541 	2008.02.15 	-
Ewido 	4.0 	2008.02.17 	-
FileAdvisor 	1 	2008.02.17 	-
Fortinet 	3.14.0.0 	2008.02.17 	-
F-Prot 	4.4.2.54 	2008.02.17 	W32/Trojan2.UMM
F-Secure 	6.70.13260.0 	2008.02.15 	-
Ikarus 	T3.1.1.20 	2008.02.17 	BehavesLikeTrojan.ShellIni
Kaspersky 	7.0.0.125 	2008.02.17 	-
McAfee 	5231 	2008.02.15 	-
Microsoft 	1.3204 	2008.02.17 	VirTool:Win32/DelfInject.gen!K
NOD32v2 	2880 	2008.02.15 	-
Norman 	5.80.02 	2008.02.15 	-
Panda 	9.0.0.4 	2008.02.16 	Suspicious file
Prevx1 	V2 	2008.02.17 	Generic.Malware
Rising 	20.31.50.00 	2008.02.16 	-
Sophos 	4.26.0 	2008.02.17 	Mal/Behav-154
Sunbelt 	2.2.907.0 	2008.02.16 	-
Symantec 	10 	2008.02.17 	Trojan Horse
TheHacker 	6.2.9.222 	2008.02.16 	-
VBA32 	3.12.6.1 	2008.02.17 	-
VirusBuster 	4.3.26:9 	2008.02.17 	-
Webwasher-Gateway 	6.6.2 	2008.02.15 	Virus.Win32.FileInfector.gen!90 (suspicious)
Information additionnelle
File size: 147968 bytes
MD5: 29d57a6983a62396522ac675f883a46c
SHA1: 74c487da7cd3973c362114f9412ce09a9d5c2927
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=6A22EBCF00856E4B4257029CF9408B00F45E6286

sdfix arrive... ^^

eego · Answer

voici le report généré d'office en mode bloc note

[b][u]SDFix: Version 1.143[/u][/b]

Run by Samuel on 19/02/2008 at 00:04

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b][u]Checking Services[/u][/b]:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


[b][u]Checking Files[/u][/b]: 

Trojan Files Found:

C:\WINDOWS\wkssvc.exe  - Deleted





Removing Temp Files...

[b][u]ADS Check[/u][/b]:
 


                                 [b][u]Final Check[/u][/b]:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-19 00:10:33
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 3


[b][u]Remaining Services[/u][/b]:



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\THQ\Company of Heroes\RelicCOH.exe"="C:\Program Files\THQ\Company of Heroes\RelicCOH.exe:*:Enabled:RelicCOH"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[b][u]Remaining Files[/u][/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b][u]Files with Hidden Attributes[/u][/b]:

Wed 13 Feb 2008       147,968 A.SHR --- "C:\002382.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\043088.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\045277.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\046332.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\046408.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\062361.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\063734.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\074108.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\082441.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\086388.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\088031.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\154123.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\162005.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\174842.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\178384.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\203627.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\204431.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\262734.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\338300.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\338861.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\345313.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\350747.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\354821.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\363145.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\375176.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\380068.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\387645.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\403417.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\403455.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\403623.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\443457.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\444057.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\452227.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\456351.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\462253.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\506565.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\513410.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\527435.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\527458.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\530450.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\537474.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\545577.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\565834.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\566741.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\600155.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\615076.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\626088.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\630271.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\637580.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\684814.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\686576.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\708831.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\722823.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\783323.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\788360.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\837103.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\838843.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\840501.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\843165.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\856476.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\860534.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\863756.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\870863.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\877547.exe"
Wed 13 Feb 2008       147,968 A.SHR --- "C:\883624.exe"
Mon 28 Jan 2008     1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008     5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008     2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Thu 28 Apr 2005             8 ..SHR --- "C:\WINDOWS\system32\E16DD23AEC.sys"
Thu 28 Apr 2005         1,056 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Tue 27 Jun 2006           380 A..H. --- "C:\Program Files\InterActual\InterActual Player\iti2E.tmp"
Sat 13 Nov 2004        37,376 ...H. --- "C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe"
Sat 16 Feb 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ad213d081e2675ef87a62c73b8abf209\BIT1.tmp"
Sat 21 Apr 2007       135,680 ...H. --- "C:\Documents and Settings\Samuel\Mes documents\COURS\cours 3ø\etats-unis\~WRL2171.tmp"




bonne nouvelle, au redémarage, plus de détection ^^

eego · Answer

par contre, mon msn transmet toujours le fichier virus a mes amis je crois...

Saiyen75 · Answer

Salut,

Post un nouveau Log HijackThis.
T'es sur pour le message, tu le transmet toujours ?

A toute

eego · Answer

bonjour,

Je ne suis pas sur a 100% en fait. En tout cas, plus de détection de virus ce matin. Un grand merci. je colle le dernier rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:25:50, on 19/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1
opdb.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation
Tune\nTune.exe" clear
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114701629535
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1
opdb.exe

Saiyen75 · Answer

Re,

C'est presque terminé,

- Télécharger et installer AVG Anti-Spyware 7.5 (si tu ne l'as pas déjà).

https://www.avg.com/en-ww/free-antivirus-download 

Lancer AVG Anti-Spyware. 
Cliquer sur le menu Mise à jour. 
Dans le paragraphe "Mise à jour manuelle", cliquer sur le bouton "Commencer la mise à jour". 
Attendre la fin de cette mise à jour puis fermer le programme. 


- Lance AVG Anti-Spyware 7.5 

Cliquer sur le menu" Analyse" (de la barre d'outils). 
Cliquer sur l'onglet "Paramètres". 
Dans "Comment réagir"? cliquer sur "Actions recommandées" et choisir "Quarantaine". 
Dans Comment faire l'analyse ? et dans Programmes potentiellement dangereux, vérifier que toutes les cases soient cochées. 
Vérifier que le bouton-radio "Générer un rapport après chaque analyse" soit aussi coché. 
Dans l'onglet "Analyse" 
Cliquer sur "Analyse complète du système". 
Important : Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche. 
Très important : A la fin de l'analyse, cocher tout ce qui a été trouvé puis cliquer sur " Appliquer toutes les actions" 
Ensuite. 
Cliquer sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware. 
(C:\Programfiles\Grisoft\AVG Antispyware 7.5\Reports ) 
Puis fermer AVG Anti-Spyware. 

_____________________________________________________

Spybot 1.5 : 
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

Attention de ne pas cocher "teaTimer" lors de l'installation.

_____________________________________________________

bitdefender en ligne : 

Utilise Internet Explorer
accepte l'active X
la barre anti pop-up du SP2 (en haut) se met à clignoter, clic dessus et choisis "accepter l'active X"

http://www.bitdefender.fr/scan_fr/scan8/ie.html 

- Cliquer sur J'accepte
- Start Scan
- Une fois terminé, Dans l'onglet "Problèmes détectés"
- "Cliquer ici pour exporter le rapport"
- Enregistrer sur le bureau (choisir un nom)
- Fermer le scan
- Ouvrir le fichier enregistré le copier/coller sur le forum.

_____________________________________________________

eego · Answer

--> pour AVG, l'analyse s'arretait quand antivir  detectait des virus ( ceux déja cité) et j'ai opté pour la quanrantainre dans les actions proposées.

j'ai pas trouvé le rapport sur le lieu dit, alors j'ai pris celui affiché juste à la fin de l'analyse

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	12:01:15 19/02/2008

 + Résultat de l'analyse:	



	Rien à signaler.



Fin du rapport


--> aucun mouchard avec spybot

--> pour bitdefender, je bloque sur "accepte l'active X " je ne trouve pas comment faire"

Saiyen75 · Answer

Dans ce cas fait un scan Antivir :

----> Lance Antivir
 
fais les mises à jours, puis lance un scan (si des virus sont découverts, mets les en quarantaine. Si tu ne peux pas alors supprime les). 
A la fin du scan clique sur 'report', enregistre ce rapport sur le bureau (fichier => enregistrer sous), puis fait un copier/coller de ce rapport dans ton prochain message. 

----> Relance ton PC

eego · Answer

voici le rapport antivir



AntiVir PersonalEdition Classic
Report file date: mardi 19 février 2008  14:16

Scanning for 1116118 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         SYSTEM
Computer name:    SAMUEL-E56D09BF

Version information:
BUILD.DAT    : 270           15603 Bytes  19/09/2007 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  23/08/2007 13:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  16/08/2007 12:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes  14/08/2007 15:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes  21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95    3367424 Bytes  14/12/2007 10:47:08
ANTIVIR2.VDF : 7.0.2.113   1673728 Bytes  08/02/2008 17:46:43
ANTIVIR3.VDF : 7.0.2.155    274944 Bytes  18/02/2008 19:31:23
AVEWIN32.DLL : 7.6.0.67    3293696 Bytes  17/02/2008 15:26:02
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26/02/2007 10:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes  18/07/2007 07:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes  16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3      360488 Bytes  02/02/2008 10:47:09
AVREG.DLL    : 7.0.1.6       30760 Bytes  18/07/2007 07:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18/07/2007 07:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  08/03/2007 11:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07/08/2007 12:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  21/08/2007 12:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mardi 19 février 2008  14:16

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'OpWareSE4.exe' - '1' Module(s) have been scanned
Scan process 'SOUNDMAN.EXE' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'NOPDB.EXE' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'MDM.EXE' - '1' Module(s) have been scanned
Scan process 'bgsvcgen.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '0' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'aawservice.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
30 processes with 30 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '36' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
      [WARNING]   The file could not be opened!
C:\RECYCLER\NPROTECT\00099992.bat
      [DETECTION] Contains detection pattern of the batch virus BAT/Agent.R
      [INFO]      The file was moved to '47eb041d.qua'!
C:\System Volume Information\_restore{876362F7-D98C-4E71-B724-85E9CB66A6D2}\RP892\A1700178.bat
      [DETECTION] Contains detection pattern of the batch virus BAT/Agent.R
      [INFO]      The file was moved to '47f205b7.qua'!


End of the scan: mardi 19 février 2008  17:45
Used time:  3:29:07 min

The scan has been done completely.

   5528 Scanning directories
 350938 Files were scanned
      2 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      2 files were moved to quarantine
      0 files were renamed
      1 Files cannot be scanned
 350936 Files not concerned
   1388 Archives were scanned
      1 Warnings
      1 Notes

Saiyen75 · Answer

Re,

Désolé pour le retard, j'avais plus le net.

Apparement Antivir a fait le reste,
Tu as encore des alertes, toujours ce problème de souris au reboot ?

Passe un coup de CCleaner. 

Clique sur Options, Avancé et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". 
Ne touche pas aux autres réglages. 
Lancer un nettoyage et répare 3 fois les erreurs 

Aprés, va dans l'onglet Registre puis cherche les erreurs
une fois terminé, Répare les erreurs selectionnées

_____________________________________________________

eego · Answer

aucun souci c'est déja bien sympathique de ta part de m'accorder de ton temps.

heu disons que ca avait l'air d'aller mieux.... je suis allé voir si y'avait toujours les deux prog bizarre  C:\018215  et ils y etait. Sans trop faire express.. (avec une pincée de zest de boulet, je crois que je l'ai actionné en essayant de le virer a la corbeille...., on verra)
je relance un démarage pour voir...

Saiyen75 · Answer

ok tiens moi au courrant, 
Dis moi ce que se passe.

eego · Answer

oooouinnnn je suis maudiiittttttttt

Je crois que je vais faire un bon vieux format général, m'acheter windows et kaspersky antivirus.... ca y est je suis un vieux...

Saiyen75 · Answer

mais non mais non,
On va trouver une solution :)

ComboFix :

Télécharge combofix.exe(par sUBs) sur ton Bureau : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

* Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
* Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil. 



Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. /!\

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

* Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

* Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

_____________________________________________________

eego · Answer

et voilou ComboFix 08-02-20.2 - Samuel 2008-02-19 21:55:26.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.677 [GMT 1:00] Endroit: C:\Documents and Settings\Samuel\Bureau\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . [i] ADS - svchost.exe: deleted 68 bytes in 1 streams. [/i] (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\[u]0[/u]02382.exe C:\[u]0[/u]18215.exe C:\[u]0[/u]43088.exe C:\[u]0[/u]45277.exe C:\[u]0[/u]46332.exe C:\[u]0[/u]46408.exe C:\[u]0[/u]62361.exe C:\[u]0[/u]63734.exe C:\[u]0[/u]74108.exe C:\[u]0[/u]82441.exe C:\[u]0[/u]86388.exe C:\[u]0[/u]88031.exe C:\154123.exe C:\162005.exe C:\174842.exe C:\178384.exe C:\203627.exe C:\204431.exe C:\262734.exe C:\338300.exe C:\338861.exe C:\345313.exe C:\350747.exe C:\354821.exe C:\363145.exe C:\370034.exe C:\375176.exe C:\378080.exe C:\380068.exe C:\387645.exe C:\403417.exe C:\403455.exe C:\403623.exe C:\443457.exe C:\444057.exe C:\452227.exe C:\456351.exe C:\457338.exe C:\462253.exe C:\506565.exe C:\513410.exe C:\527435.exe C:\527458.exe C:\530450.exe C:\537474.exe C:\545577.exe C:\565834.exe C:\566741.exe C:\600155.exe C:\615076.exe C:\626088.exe C:\630271.exe C:\637580.exe C:\684814.exe C:\686576.exe C:\708831.exe C:\722823.exe C:\783323.exe C:\788360.exe C:\801271.exe C:\837103.exe C:\838843.exe C:\840501.exe C:\843165.exe C:\844267.exe C:\856476.exe C:\860534.exe C:\863756.exe C:\870863.exe C:\877547.exe C:\883624.exe C:\a.bat . ((((((((((((((((((((((((((((( Fichiers créés 2008-01-20 to 2008-02-20 )))))))))))))))))))))))))))))))))))) . 2008-02-19 21:24 . 2008-02-13 17:53 147,968 -r-hs---- C:\WINDOWS\wkssvc.exe 2008-02-19 10:20 . 2008-02-19 10:20 d-------- C:\Documents and Settings\Samuel\Application Data\Grisoft 2008-02-19 10:20 . 2008-02-19 10:20 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2008-02-19 10:20 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2008-02-19 00:03 . 2008-02-19 00:03 d-------- C:\WINDOWS\ERUNT 2008-02-18 23:57 . 2008-02-19 00:22 d-------- C:\SDFix 2008-02-18 23:27 . 2008-02-20 21:55 32 --a------ C:\WINDOWS\system32\[u]0[/u].bat 2008-02-18 23:26 . 2008-02-19 21:32 32 --a------ C:\WINDOWS\system32\1.bat 2008-02-18 23:22 . 2008-02-18 23:26 d-------- C:\fixwareout 2008-02-18 23:03 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-02-18 22:20 . 2008-02-18 22:20 d-------- C:\Program Files\Trend Micro 2008-02-16 23:17 . 2008-02-16 23:17 d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2 2008-02-16 23:11 . 2008-02-16 23:11 d-------- C:\Program Files\MSXML 4.0 2008-02-16 13:34 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui 2008-02-16 13:34 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2008-02-16 13:34 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui 2008-02-16 13:34 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui 2008-02-16 13:34 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui 2008-02-16 13:24 . 2008-02-16 13:26 d-------- C:\WINDOWS\system32\fr-fr 2008-02-16 13:16 . 2007-12-07 03:08 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll 2008-02-16 13:16 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat 2008-02-16 13:16 . 2007-07-01 04:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui 2008-02-16 13:16 . 2007-12-07 03:08 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll 2008-02-16 13:16 . 2007-12-07 03:08 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll 2008-02-16 13:16 . 2007-12-07 03:08 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll 2008-02-16 13:16 . 2007-12-07 03:08 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll 2008-02-16 13:16 . 2007-12-07 03:08 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll 2008-02-16 13:16 . 2007-12-06 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-02-16 13:01 . 2008-02-16 13:01 d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion 2008-02-16 12:32 . 2008-02-16 12:32 d-------- C:\Program Files\THQ 2008-02-16 12:22 . 2008-02-16 12:22 d-------- C:\Program Files\Lavalys 2008-02-15 21:20 . 2008-02-15 21:21 d-------- C:\Documents and Settings\All Users\Application Data\WinZip 2008-02-15 21:04 . 2008-02-15 21:03 691,545 --a------ C:\WINDOWS\unins000.exe 2008-02-15 21:04 . 2008-02-15 21:04 3,458 --a------ C:\WINDOWS\unins000.dat 2008-02-15 20:00 . 2008-02-15 20:00 160 --a------ C:\WINDOWS\system32\drivers\fwdrv.err 2008-02-13 22:41 . 2008-02-13 22:41 d-------- C:\Program Files\Yahoo! 2008-02-13 22:40 . 2008-02-13 22:40 d-------- C:\Program Files\Lavasoft 2008-02-13 22:40 . 2008-02-13 22:41 d-------- C:\Program Files\CCleaner 2008-02-13 22:35 . 2008-02-13 22:35 d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-02-13 22:35 . 2008-02-13 22:41 d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft 2008-02-13 17:54 . 2008-02-19 21:24 32 --a------ C:\WINDOWS\system32\2.bat 2008-02-10 17:12 . 2008-02-10 17:12 d-------- C:\Program Files\Skyline 2008-02-10 17:12 . 2008-02-10 17:12 d-------- C:\Documents and Settings\All Users\Application Data\Skyline 2008-02-02 20:00 . 2008-02-05 08:59 d-------- C:\Documents and Settings\Samuel\Application Data\vlc 2008-02-02 19:36 . 2008-02-02 19:36 d-------- C:\Program Files\VideoLAN 2008-02-02 13:02 . 2008-02-02 13:02 d-------- C:\Program Files\Avant Browser 2008-02-02 12:04 . 2008-02-02 12:04 d-------- C:\Program Files\Sunbelt Software 2008-02-02 11:42 . 2008-02-02 11:42 d-------- C:\Program Files\Avira 2008-02-02 11:42 . 2008-02-02 11:42 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-02-02 11:25 . 2008-02-02 12:09 d-------- C:\Documents and Settings\Samuel\Contacts 2008-02-02 11:24 . 2008-02-02 11:24 d----c--- C:\WINDOWS\system32\DRVSTORE 2008-02-02 11:05 . 2008-02-02 11:05 d-------- C:\Program Files\Neuf . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-19 11:08 --------- d-----w C:\Program Files\Spybot - Search & Destroy 2008-02-19 08:28 --------- d-----w C:\Program Files\Java 2008-02-15 20:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-02-13 21:34 --------- d-----w C:\Documents and Settings\Samuel\Application Data\Lavasoft 2008-02-04 21:52 --------- d-----w C:\Documents and Settings\Samuel\Application Data\Canon 2008-02-03 16:52 --------- d-----w C:\Documents and Settings\Samuel\Application Data\Skype 2008-02-02 10:24 --------- d-----w C:\Program Files\MSN Messenger 2008-02-02 10:19 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-01-13 13:01 --------- d-----w C:\Program Files\FinePixViewer 2008-01-04 17:05 --------- d-----w C:\Program Files\Norton SystemWorks 2007-12-28 15:17 --------- d-----w C:\Program Files\GameSpy 2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe 2007-12-07 02:08 824,832 ----a-w C:\WINDOWS\system32\wininet.dll 2007-12-04 18:41 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll 2005-06-06 12:22 107 ----a-w C:\Program Files\liste.bak 2004-06-10 09:23 160,256 ----a-w C:\Program Files\fmod.dll 2006-12-14 18:20 32 --sha-w C:\WINDOWS\{C1AB8DA6-FD20-48C6-82F4-2897351BD434}.dat 2006-12-14 18:20 32 --sha-w C:\WINDOWS\{DE40B587-383D-461E-9EFD-250A951E717A}.dat 2006-12-14 18:19 32 --sha-w C:\WINDOWS\{FBC56B0C-E88B-4950-A922-2DC9D2EDA6A4}.dat 2005-04-28 15:53 8 --sh--r C:\WINDOWS\system32\E16DD23AEC.sys 2005-04-28 15:54 1,056 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys 2006-12-14 18:20 32 --sha-w C:\WINDOWS\system32\{03DFE4FD-0D55-43A1-8085-76F6BB94A390}.dat 2006-12-14 18:19 32 --sha-w C:\WINDOWS\system32\{9D82F9FC-1AA1-4283-B6D2-9A6C60FF0EA8}.dat 2006-12-14 18:20 32 --sha-w C:\WINDOWS\system32\{BFF4EE06-5796-4E5D-A941-38B0D1AA9348}.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2004-11-15 11:20 77824 C:\WINDOWS\SOUNDMAN.EXE] "NVIDIA nTune"="C:\Program Files\NVIDIA Corporation\nTune\nTune.exe" [2005-07-21 08:21 589824] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-10 03:06 7311360] "REGSHAVE"="C:\Program Files\REGSHAVE\REGSHAVE.exe" [2002-02-04 21:32 53248] "OpwareSE4"="C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 11:45 75304] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-02 11:47 249896] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312] "Windows Console"="wkssvc.exe" [2008-02-13 17:53 147968 C:\WINDOWS\wkssvc.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:09 15360] [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^ExifLauncher2.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\ExifLauncher2.lnk backup=C:\WINDOWS\pss\ExifLauncher2.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\InterVideo WinCinema Manager.lnk backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\WinZip Quick Pick.lnk backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Comrade.exe] --a------ 2007-05-27 03:19 36864 C:\Program Files\GameSpy\Comrade\Comrade.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2004-08-19 15:09 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] C:\WINDOWS\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2007-01-19 12:55 5674352 C:\Program Files\MSN Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 09:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune] --a------ 2005-07-21 08:21 589824 C:\Program Files\NVIDIA Corporation\nTune\nTune.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2005-12-10 03:06 86016 C:\WINDOWS\system32\NvMcTray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] --a------ 2005-12-10 03:06 1519616 C:\WINDOWS\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] --a------ 2006-10-13 16:20 20058152 C:\Program Files\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate] --a------ 2006-09-28 12:16 185896 C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2006-05-03 01:56 36975 C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] -ra------ 2006-03-30 16:45 313472 C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a------ 2005-12-09 07:30 35328 C:\Program Files\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Console] -r-hs---- 2008-02-13 17:53 147968 C:\WINDOWS\wkssvc.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender] --a------ 2006-04-03 17:12 777424 C:\Program Files\Windows Defender\MSASCui.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "kavsvc"=2 (0x2) S3 CrystalCpuInfo;CrystalCpuInfo;C:\Program Files\OCCT\CpuInfo.sys [] S3 ids00026;ids00026;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys [] S3 ids0005c;ids0005c;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0005c.sys [] S3 ids00118;ids00118;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00118.sys [] S3 ids0014f;ids0014f;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0014f.sys [] S3 ids0015d;ids0015d;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0015d.sys [] S3 ids00180;ids00180;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00180.sys [] S3 ids0018a;ids0018a;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0018a.sys [] S3 klstm;klstm;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\klstm.sys [] S3 NPDriver;Norton Unerase Protection Driver;C:\WINDOWS\system32\Drivers\NPDRIVER.SYS [2002-08-14 06:03] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \Shell\AutoRun\command - F:\AutoRun.exe . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2008-02-09 00:57:01 C:\WINDOWS\Tasks\MP Scheduled Scan.job" - C:\Program Files\Windows Defender\MpCmdRun.exe "2008-02-15 16:36:35 C:\WINDOWS\Tasks\Norton SystemWorks One Button Checkup.job" - C:\Program Files\Norton SystemWorks\OBC.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-20 21:58:07 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-02-20 21:59:01 ComboFix-quarantined-files.txt 2008-02-20 20:58:46 . 2008-02-18 13:02:05 --- E O F ---

eego · Answer

ah la bonne nouvelle c'est que j'ai enfin accès a windowsupdate ^^

Saiyen75 · Answer

Re,

Bonne nouvelle :)
Toujours présent les fichiers : C:\204431.exe  ???

OTMoveIt :

Télécharger sur le bureau :
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

= Copier le texte en gras: 

C:\WINDOWS\wkssvc.exe

= Double-clic sur OTMoveIt.exe 
= Dans le cadre de Gauche ==> clic-droit ==> coller 
= Clic MoveIt! 
= si redémarrage demandé==> Clic : YES 
= Un rapport dans ==> C:\_OTMoveIt\MovedFiles\date du jour à copier/coller sur le forum.
------- 

redemarre le PC

_____________________________________________________

eego · Answer

C:\WINDOWS\wkssvc.exe moved successfully.
 
OTMoveIt2 v1.0.20 log created on 02212008_004405

eego · Answer

redémarrage sans pépins... mais relativement long et laborieux, ce qui mantient ma petite idée de refresh total...

je te remercie pour ton aide et va falloir que j'assure ma BA aussi ^^

Saiyen75 · Answer

Salut,

Repasse un coup de Ccleaner, Spybot, AVG AS 

- Télécharger et installer AVG Anti-Spyware 7.5 (si tu ne l'as pas déjà).

https://www.avg.com/en-ww/free-antivirus-download 

Lancer AVG Anti-Spyware. 
Cliquer sur le menu Mise à jour. 
Dans le paragraphe "Mise à jour manuelle", cliquer sur le bouton "Commencer la mise à jour". 
Attendre la fin de cette mise à jour puis fermer le programme. 


- Lance AVG Anti-Spyware 7.5 

Cliquer sur le menu" Analyse" (de la barre d'outils). 
Cliquer sur l'onglet "Paramètres". 
Dans "Comment réagir"? cliquer sur "Actions recommandées" et choisir "Quarantaine". 
Dans Comment faire l'analyse ? et dans Programmes potentiellement dangereux, vérifier que toutes les cases soient cochées. 
Vérifier que le bouton-radio "Générer un rapport après chaque analyse" soit aussi coché. 
Dans l'onglet "Analyse" 
Cliquer sur "Analyse complète du système". 
Important : Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche. 
Très important : A la fin de l'analyse, cocher tout ce qui a été trouvé puis cliquer sur " Appliquer toutes les actions" 
Ensuite. 
Cliquer sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware. 
(C:\Programfiles\Grisoft\AVG Antispyware 7.5\Reports ) 
Puis fermer AVG Anti-Spyware. 

_____________________________________________________

CCleaner. 

Clique sur Options, Avancé et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". 
Ne touche pas aux autres réglages. 
Lancer un nettoyage et répare 3 fois les erreurs 
sans installer la barre yahoo.

Aprés, va dans l'onglet Registre puis cherche les erreurs
une fois terminé, Répare les erreurs selectionnées

_____________________________________________________

Essaye ça aussi : 
Démarrage lent

eego · Answer

yup, bon j'ai pas fait le dernier volet par manque de temps. Par contre, la je viens de me faire une pause Coh et en plein jeu, a plusieurs reprises, le curseur se freeze, et le pc me renvoi sur le bureau, sans éteindre le jeu toutefois.

je vais chercher le topic préparer, faire et réussir son formatage ^^

Saiyen75 · Answer

Bin ecoute si c'est ta décision, je ne peux  pas t'en empecher lol.
C'est domage mais bon,
En tous cas si tu formate, je te conseil quand meme de bien te protéger :

Antivirus : Antivir
Pare feu : Kerio ou ZoneAlarm
AntiSpy : Spybot, AVG AS, AD-Aware
Nettoyage : Ccleaner, EasyCleaner

Met bien ton OS à jour, ainsi que tes logiciels de navigations :)

Mais si tu souhaite quand meme essayé de chercher un peu plus profondement, nhésite pas ;)

Bonne soirée

++

eego · Answer

Bah je vais aller m'acheter le vrai windows, la disquette de boot sous xp est déja prete...(vu que je compte rester sous xp) tout ce que j'espère, c'est que j'y arrive :(

Auparavant je vais dl antivir, kerio et autres programmes pour les graver et installer dès le début + IE7 pour le winupdate...


et c'est quoi le OS?

Saiyen75 · Answer

OS = Operating System ---> Système d'exploitation ---> Windows
Trés bonne idée pour les logiciels gravés :)

Y'a pas de raison que tu n'y arrive pas

Tuto : Instsallation d'XP

eego · Answer

ok, mais ca ne me dit toujours pas à quoi ca sert le Os, ni pourquoi il faut le mettre a jour ^^

juste une question, le formatage total, c'est avant l'installation de xp je présume?

et qu'entends-tu par logiciels de navigations? --> IE 7? firefox?

Saiyen75 · Answer

Re

Le formatage est juste avant l'installation de Windows, c'est indiqué.
Oui les logiciels de navigation c'est bien IE, firefox opera etc...

Mettre ton windows à jour, c'est installer les mise à jour de sécurité, le SP2 (bientot le SP3)

++

eego · Answer

ok merci encore des réponses...
 je viens de comprendre pourquoi j'avais pas acheté windos, c'est que c'est cher au final :(

Saiyen75 · Answer

Bonjour

C'est sur que ça peut paraitre un peu cher, seulement c'est l'unique moyen d'etre sur d'avoir un PC protégé.
Les versions illégales n'apporte que des ennuis.

eego · Answer

hopla, win xp sp2 oem pour 85 euros, c'est déja mieux... ^^

Je comprends bien pourquoi tu écris ca, mais bon quand tu es étudiant et fauché, tu n'as pas trop le choix en fait. Et même pour le client famille lambda, 400 euros en moyenne dans le budget. ( sauf si tu achete un pc tout fait + programmes ou la je suppose, c'est moins cher..)

bref, j'espère qu'apres le format ca ira ^^

Saiyen75 · Answer

Je comprend bien ta situation :)
Normalement, aprés la réinstall, tout devrais rouler, oublie pas ce que je t'ai dis a propos de la protection,
Et comme tu l'as dis, télécharge d'abord tous tes logiciels (surtout Antivirus PareFeu) Avant de te connecter à internet.

++

eego · Answer

formatage  : )

Saiyen75 · Answer

Ok,

Tiens moi informé par MP de ton avancement :]

++

eego · Answer

formatage et nstallation presque succesfull... j'avais oublié de dl les derniers pilotes pour le materiel pc...

par contre, il boque sur une installation logicielle de bus SM... et j'ai perdu la key de word 2000 ( balo...)

Besoin d'aide / lecture log hijackthis

38 réponses

Discussions similaires

Newsletters