Virus indélogeable ?
arsene
-
arsene -
arsene -
Bonjour à tous
J'ai un PC Acer t120 + windows XP (SP1 actualisé SP2) + connexion cégétel ADSL avec modem Sagem f@st800.
Malheureusement, j'ai du être infecté par plusieurs virus et trojans, qui m'empêchent de me connecter à Internet.
A priori, la connexion ADSL fonctionne (j'ai fait un Ping avec résultats positifs)
Ce qui se passe, quand je me connecte, c'est l'ouverture de pages Internet non désirées (vers un site qui s'appelerait net.cordez.com) puis au bout d'1 minute ou deux, je n'ai plus de connexion, message "serveur introuvable". Impossible de se reconnecter si ce n'est en fermant ma session.
J'ai quand même pu faire quelques scans en ligne, via Trend micro, puis Ravantvirus, j'avais Antivir Guard comme antivirus, que j'ai désinstallé pour essayer AVAST, j'ai essayé plusieurs autres solutions (SpyBot, Adaware, programmes anti Sasser, TrojanRemover, A2free, etc,) bref tout ce que j'ai pu lister en parcourant les forums CCM sur un autre PC mais rien à faire je ne trouve pas de solutions et je ne peux plus faire de scans en ligne car ma connexion se coupe !!
Bref j'appelle à l'aide, mes compétences informatiques étant limitées.
J'ai pu installer HijackThis sur mon PC et il m'a donné ce rapport :
Logfile of HijackThis v1.98.2
Scan saved at 07:56:18, on 18/11/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\system32\wuamgrder.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\Botnet.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\nethost16.exe
C:\WINDOWS\system32\svcshost.exe
C:\WINDOWS\system32\lssas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svphost.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Windows NT\Accessoires\wordpad.exe
C:\Documents and Settings\Hélène&Pascal\Bureau\Utile\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Time Manager] dveldr.exe
O4 - HKLM\..\Run: [Windows Automatic Update] wuamgrder.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Updates] Botnet.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NetHost16] nethost16.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] svcshost.exe
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [lssas.exe] lssas.exe
O4 - HKLM\..\RunServices: [Microsoft Time Manager] dveldr.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\RunServices: [Windows Automatic Update] wuamgrder.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svcshost.exe
O4 - HKLM\..\RunServices: [NetHost16] nethost16.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] Botnet.exe
O4 - HKLM\..\RunServices: [lssas.exe] lssas.exe
O4 - HKLM\..\RunOnce: [lssas.exe] lssas.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Update] svcshost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [svphost.exe] C:\WINDOWS\system32\svphost.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svcshost.exe
O4 - HKCU\..\Run: [lssas.exe] lssas.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] svcshost.exe
O4 - HKCU\..\RunOnce: [lssas.exe] lssas.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{17EBC4DF-80F0-4F20-B14E-1FA098DE89EE}: NameServer = 194.6.128.3 194.6.128.4
O17 - HKLM\System\CS3\Services\Tcpip\..\{17EBC4DF-80F0-4F20-B14E-1FA098DE89EE}: NameServer = 194.6.128.3 194.6.128.4
De plus TrojanRemover m'affiche ce message
TROJANHUNTER
Registry scan
No suspicious entries found
Inifile scan
No suspicious entries found
Port scan
No suspicious open ports found
Memory scan
No trojans found in memory
File scan
Found possible trojan file: C:\WINDOWS\system32\drivers\etc\drv32.exe (Suspicious: UPX-packed file in Windows System folder)
Voilà ce que je peux fournir comme renseignement...
Merci d'avances pour vos conseils
J'ai un PC Acer t120 + windows XP (SP1 actualisé SP2) + connexion cégétel ADSL avec modem Sagem f@st800.
Malheureusement, j'ai du être infecté par plusieurs virus et trojans, qui m'empêchent de me connecter à Internet.
A priori, la connexion ADSL fonctionne (j'ai fait un Ping avec résultats positifs)
Ce qui se passe, quand je me connecte, c'est l'ouverture de pages Internet non désirées (vers un site qui s'appelerait net.cordez.com) puis au bout d'1 minute ou deux, je n'ai plus de connexion, message "serveur introuvable". Impossible de se reconnecter si ce n'est en fermant ma session.
J'ai quand même pu faire quelques scans en ligne, via Trend micro, puis Ravantvirus, j'avais Antivir Guard comme antivirus, que j'ai désinstallé pour essayer AVAST, j'ai essayé plusieurs autres solutions (SpyBot, Adaware, programmes anti Sasser, TrojanRemover, A2free, etc,) bref tout ce que j'ai pu lister en parcourant les forums CCM sur un autre PC mais rien à faire je ne trouve pas de solutions et je ne peux plus faire de scans en ligne car ma connexion se coupe !!
Bref j'appelle à l'aide, mes compétences informatiques étant limitées.
J'ai pu installer HijackThis sur mon PC et il m'a donné ce rapport :
Logfile of HijackThis v1.98.2
Scan saved at 07:56:18, on 18/11/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\system32\wuamgrder.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\Botnet.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\nethost16.exe
C:\WINDOWS\system32\svcshost.exe
C:\WINDOWS\system32\lssas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svphost.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Windows NT\Accessoires\wordpad.exe
C:\Documents and Settings\Hélène&Pascal\Bureau\Utile\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Time Manager] dveldr.exe
O4 - HKLM\..\Run: [Windows Automatic Update] wuamgrder.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Updates] Botnet.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NetHost16] nethost16.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] svcshost.exe
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [lssas.exe] lssas.exe
O4 - HKLM\..\RunServices: [Microsoft Time Manager] dveldr.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\RunServices: [Windows Automatic Update] wuamgrder.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svcshost.exe
O4 - HKLM\..\RunServices: [NetHost16] nethost16.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] Botnet.exe
O4 - HKLM\..\RunServices: [lssas.exe] lssas.exe
O4 - HKLM\..\RunOnce: [lssas.exe] lssas.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Update] svcshost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [svphost.exe] C:\WINDOWS\system32\svphost.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svcshost.exe
O4 - HKCU\..\Run: [lssas.exe] lssas.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] svcshost.exe
O4 - HKCU\..\RunOnce: [lssas.exe] lssas.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{17EBC4DF-80F0-4F20-B14E-1FA098DE89EE}: NameServer = 194.6.128.3 194.6.128.4
O17 - HKLM\System\CS3\Services\Tcpip\..\{17EBC4DF-80F0-4F20-B14E-1FA098DE89EE}: NameServer = 194.6.128.3 194.6.128.4
De plus TrojanRemover m'affiche ce message
TROJANHUNTER
Registry scan
No suspicious entries found
Inifile scan
No suspicious entries found
Port scan
No suspicious open ports found
Memory scan
No trojans found in memory
File scan
Found possible trojan file: C:\WINDOWS\system32\drivers\etc\drv32.exe (Suspicious: UPX-packed file in Windows System folder)
Voilà ce que je peux fournir comme renseignement...
Merci d'avances pour vos conseils
A voir également:
- Virus indélogeable ?
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
11 réponses
Je ne fais que ça depuis 3 semaines, démarrer, redémarrer, en mode sans échec, dommage qu'il n'y ait pas de surf internet en mode sans échec...
Bref, à l'aide SVP...
Bref, à l'aide SVP...
Re-bonjour à tous
J'angoisse un peu car mon problème n'a pas l'air de trouver de solutions...
Si quelqu'un peut au moins me donner des infos par rapport à Botnet.exe, nethost16.exe, lssas.exe (qui ressemblent à Lsass.exe), svcshost.exe (qui ressemble à svchost.exe)
A votre avis, sont-ils des virus, peut-on les fermer quand on les trouve en faisant CTRL MAJ ESC et terminer le processus.
Quelqu'un peut-il m'aider à analyser le rapport HiJackThis.
HELP!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Un internaute désespéré...
J'angoisse un peu car mon problème n'a pas l'air de trouver de solutions...
Si quelqu'un peut au moins me donner des infos par rapport à Botnet.exe, nethost16.exe, lssas.exe (qui ressemblent à Lsass.exe), svcshost.exe (qui ressemble à svchost.exe)
A votre avis, sont-ils des virus, peut-on les fermer quand on les trouve en faisant CTRL MAJ ESC et terminer le processus.
Quelqu'un peut-il m'aider à analyser le rapport HiJackThis.
HELP!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Un internaute désespéré...
salut
attention à l'orthographe tu as LSSAS.exe et LSASS.EXE le 1er est un virus l'autre bon process;
résultat du scan là
http://hijackthis.de/logfiles/754c9a48b95403996fe48587bf51a5d4.html
tous ceux avec du rouge tu coches puis FIX
vides tous les temps et temporary...
redémarre ordi en mode sans échec et refais scan antivirus
puis relance HijackThys pour contrôle
a+
attention à l'orthographe tu as LSSAS.exe et LSASS.EXE le 1er est un virus l'autre bon process;
résultat du scan là
http://hijackthis.de/logfiles/754c9a48b95403996fe48587bf51a5d4.html
tous ceux avec du rouge tu coches puis FIX
vides tous les temps et temporary...
redémarre ordi en mode sans échec et refais scan antivirus
puis relance HijackThys pour contrôle
a+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Merci du conseil
Ce soir, je tente la manip. Par contre j'ai vu que sur le lien HiJacjThis, d'autres lignes étaient cochées "méchant". Faut-il que je les fixe en même temps, ou après.
Ce qui est sûr, c'est que dès que j'allume mon PC, avec ZoneAlarm comme pare feu, il détecte plusieurs programmes qui tentent de se connecter à Internet tout seul dès que je lance ma connexion, les 3 que je mentionnais plus haut, à savoir Botnet, Nethost16 et wuamgrder.
A ton avis, est-ce une action normale ou non, sachant que je prends le parti de ne pas les laisser faire et que ma connexion continue néanmoins de se couper au bout d'1 à 2 minutes...
Encore merci
Arsene
Ce soir, je tente la manip. Par contre j'ai vu que sur le lien HiJacjThis, d'autres lignes étaient cochées "méchant". Faut-il que je les fixe en même temps, ou après.
Ce qui est sûr, c'est que dès que j'allume mon PC, avec ZoneAlarm comme pare feu, il détecte plusieurs programmes qui tentent de se connecter à Internet tout seul dès que je lance ma connexion, les 3 que je mentionnais plus haut, à savoir Botnet, Nethost16 et wuamgrder.
A ton avis, est-ce une action normale ou non, sachant que je prends le parti de ne pas les laisser faire et que ma connexion continue néanmoins de se couper au bout d'1 à 2 minutes...
Encore merci
Arsene
Salut Bernie
J'ai tout fixé, re-scanné avec AVAST et refait un log avec HiJackThis que voici :
Logfile of HijackThis v1.98.2
Scan saved at 18:53:03, on 19/11/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svphost.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Documents and Settings\Hélène&Pascal\Bureau\Utile\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Time Manager] dveldr.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.0\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [svphost.exe] C:\WINDOWS\system32\svphost.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CS2\Services\Tcpip\..\{17EBC4DF-80F0-4F20-B14E-1FA098DE89EE}: NameServer = 194.6.128.3 194.6.128.4
l'analyse ci-jointe de HiJacRhis
http://hijackthis.de/logfiles/1823cbed222275a100559038e013169a.html*
J'ai un doute quand à svphost.exe
Quand à la ligne HKLM\..\Run: [Microsoft Time Manager] dveldr.exe, il me semblait l'avoir fixée précédement... A voir
En tout cas, ça me semble plus propre que précédement...
Par contre, quelqu'un peut-il m'aider à paramétrer ZoneAlarm. Quand il est activé, je n'ai pas de connexion Internet (serveur introuvable), quand je le désactive et que je lance Internet Explorer, la connexion se lance mais je n'ose pas surfer trop longtemps de peur de me faire infester de nouveau...
Merci à Bernie et d'avance aux autres
J'ai tout fixé, re-scanné avec AVAST et refait un log avec HiJackThis que voici :
Logfile of HijackThis v1.98.2
Scan saved at 18:53:03, on 19/11/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svphost.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Documents and Settings\Hélène&Pascal\Bureau\Utile\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Time Manager] dveldr.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.0\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [svphost.exe] C:\WINDOWS\system32\svphost.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CS2\Services\Tcpip\..\{17EBC4DF-80F0-4F20-B14E-1FA098DE89EE}: NameServer = 194.6.128.3 194.6.128.4
l'analyse ci-jointe de HiJacRhis
http://hijackthis.de/logfiles/1823cbed222275a100559038e013169a.html*
J'ai un doute quand à svphost.exe
Quand à la ligne HKLM\..\Run: [Microsoft Time Manager] dveldr.exe, il me semblait l'avoir fixée précédement... A voir
En tout cas, ça me semble plus propre que précédement...
Par contre, quelqu'un peut-il m'aider à paramétrer ZoneAlarm. Quand il est activé, je n'ai pas de connexion Internet (serveur introuvable), quand je le désactive et que je lance Internet Explorer, la connexion se lance mais je n'ose pas surfer trop longtemps de peur de me faire infester de nouveau...
Merci à Bernie et d'avance aux autres
salut
oui svphost suspect alors applique ceci
*tu fais Démarrer/rechercher/NOM .exe et avec cliq droit souris tu regardes propriété du fichier et voit si officiel version ou pas; si non alors tu comprimes le fichier pour en faire un ZIP et effaces le .EXE, tu laisses tourner qqs jours avec les ZIP; si tout tourne tu effaces les zip dans le cas contraire tu décomprimes le fichier
pour l'autre
O4 - HKLM\..\Run: [Microsoft Time Manager] dveldr.exe
regarde là s'il n'y pas un pgm à désinstaller
Démarrer/panneauConfig/AjoutSuppressionProgrammes
et désinstalle Time Manager si tu trouves
a+
oui svphost suspect alors applique ceci
*tu fais Démarrer/rechercher/NOM .exe et avec cliq droit souris tu regardes propriété du fichier et voit si officiel version ou pas; si non alors tu comprimes le fichier pour en faire un ZIP et effaces le .EXE, tu laisses tourner qqs jours avec les ZIP; si tout tourne tu effaces les zip dans le cas contraire tu décomprimes le fichier
pour l'autre
O4 - HKLM\..\Run: [Microsoft Time Manager] dveldr.exe
regarde là s'il n'y pas un pgm à désinstaller
Démarrer/panneauConfig/AjoutSuppressionProgrammes
et désinstalle Time Manager si tu trouves
a+
Merci du conseil Bernie
Je tente ça ce week end et si ça marche et que j'arrive à me connecter ce week end, je te fais signe, sinon ça ne sera pas avant mardi (sur mon pc de boulot...).
En tout cas, j'ai l'impression d'avancer, ça fait plaisir !!
L'espoir renaît
A plus
Arsene
Je tente ça ce week end et si ça marche et que j'arrive à me connecter ce week end, je te fais signe, sinon ça ne sera pas avant mardi (sur mon pc de boulot...).
En tout cas, j'ai l'impression d'avancer, ça fait plaisir !!
L'espoir renaît
A plus
Arsene
Salut Bernie !
Un message de... chez moi, ça y est enfin, je resurfe de nouveau et cette fois j'espère, bien protégé avec Avast et Zone alarm !
Je n'ai pas trouvé de Time manager mais j'ai fixé dveldr.exe avec HiJackThis.
En réinstallant ZoneAlarm, j'ai réussi à trouver les bons paramètres et voilà...
Encore merci de ton aide précieuse !!
A +
Arsene
Un message de... chez moi, ça y est enfin, je resurfe de nouveau et cette fois j'espère, bien protégé avec Avast et Zone alarm !
Je n'ai pas trouvé de Time manager mais j'ai fixé dveldr.exe avec HiJackThis.
En réinstallant ZoneAlarm, j'ai réussi à trouver les bons paramètres et voilà...
Encore merci de ton aide précieuse !!
A +
Arsene
