Trojan coriace

Résolu
Tonzoz Messages postés 19 Statut Membre -  
 aek25 -
Bonjour à tous,

Je suis sous XP, et j'utilise Antivir, spybot search and destroy et Adware.
Antivir a repéré un cheval de troie et m'affiche a chaque démarrage et à chaque fois que je me rends sur Internet ce message :
C:\\WINDOWS_CONFIG_OLEDRV.DLL
Is the Trojan horse TR/Agent CS1

Le problème, c'est qu'il ne peut me le supprimer. J'ai téléchargé A²free qui m'a dit l'avoir supprimé mais lorsque j'ai redémaré le PC Antivir m'a redonné aussitot le même message.
Pouvez-vous me dire ce que je dois faire (merci de rentrer dans le détail car je ne suis pas doué en informatique).
ayant regardé divers cas sur le forum, j'aipris la précaution de télécharger Hijack this au cas ou.
D'avance, un très grand merci
Configuration: XP

35 réponses

  • 1
  • 2
Résumé de la discussion

Un problème de sécurité sous Windows XP est signalé : Antivir détecte un cheval de Troie TR/Agent CS1 dans C:\WINDOWS\system32\avw2.dll et ce message réapparaît à chaque démarrage et lors de la navigation.
Plusieurs réponses préconisent des analyses complémentaires: A² Free semble supprimer le fichier, mais le problème persiste; VirusTotal est évoqué comme outil d'évaluation, avec des résultats mitigés et des avertissements sur les limites.
Des logs détaillés, notamment HijackThis, sont partagés pour identifier les applications et entrées suspectes, avec des observations sur avw2.dll et des éléments de démarrage à vérifier.
En cas d'incertitude, la discussion reste ouverte sur la nécessité éventuelle de défragmenter le disque et sur l'éventualité d'une fausse alerte, sans conclure à l'issue du fil.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    salut

    poste le rapport hijackthis

    a+
    0
    1. Tonzoz Messages postés 19 Statut Membre
       
      salut moe31,

      Comme je l'ai précisé, je suis nul en informatique => comment dois-je utiliser Hijack ?
      0
    2. Tonzoz Messages postés 19 Statut Membre
       
      J'ai essayé quand même. est-ce-que c'est ce que tu demandais ?

      Logfile of HijackThis v1.99.1
      Scan saved at 18:32:33, on 31/07/2005
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\AVPersonal\AVGUARD.EXE
      C:\Program Files\AVPersonal\AVWUPSRV.EXE
      C:\WINDOWS\system32\slserv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\ATI-CPanel\atiptaxx.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
      C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
      C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Larousse\Petit Larousse 2004\bin\HiPL2002popup.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
      C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
      C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
      C:\WINDOWS\System32\hphmon05.exe
      C:\Program Files\AVPersonal\AVGNT.EXE
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
      C:\Program Files\Club-Internet\Lanceur\lanceur.exe
      C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\hijack this\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yahoo.com/search/ie.html
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yahoo.com
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn0\ycomp5_3_18_0.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll
      O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\Config\oledrv.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
      O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
      O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn0\ycomp5_3_18_0.dll
      O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
      O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
      O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
      O4 - HKLM\..\Run: [adiras] adiras.exe
      O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
      O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Program Files\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
      O4 - HKLM\..\Run: [AnyDVD] "C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe"
      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [HyperappelPL2003] C:\Program Files\Larousse\Petit Larousse 2004\bin\HiPL2002popup.exe
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Program Files\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
      O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
      O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
      O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
      O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
      O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
      O4 - HKCU\..\Run: [MoneyAgent] "c:\Program Files\Microsoft Money\System\mnyexpr.exe"
      O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
      O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
      O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
      O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
      O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
      O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
      O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
      O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst0401.cab
      O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/218457a37dc131c74318/netzip/RdxIE601_fr.cab
      O16 - DPF: {5DDCC37F-7C6B-48B8-9664-97C537920CA0} (aecviz Class) - http://www.maisonfamiliale.com/AECVIZ/npaecviz.cab
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{FB7EE77C-6758-4526-A776-5DEBEA0AA73C}: NameServer = 194.117.200.10 194.117.200.15
      O20 - Winlogon Notify: avw2 - c:\windows\system32\avw2.dll
      O20 - Winlogon Notify: oledrv - C:\WINDOWS\Config\oledrv.dll
      O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
      O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
      O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

      J'espère que ça te va ?
      A+
      0
  2. Utilisateur anonyme
     
    bon courage Moe, trojan agent CS1 :-)

    a+
    0
  3. Utilisateur anonyme
     
    salut tonzoz, regis

    telecharge hijackthis:
    http://www.merijn.org/files/hijackthis.zip
    Dezippe le dans un dossier prévu a cet effet.
    Par exemple C:\hijack
    et surtout pas dans un dossier temporaire (temp)
    lance le puis:
    clic sur "do a system scan and save logfile" et pas autre chose
    Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.
    Si tu as du mal, regarde ceci:
    http://pageperso.aol.fr/balltrap34/demohijack.htm
    0
    1. Tonzoz Messages postés 19 Statut Membre
       
      Salut moe,

      Je dois m'absenter. je reviendrai demain soir voir ce qu'il en est. J'en profite pour te demander si ce troyen est lié a l'apparition réccurente d'ne page winfixer 2005, winantivirus ou encore amxtravel lors de mes connexions internet.
      de même l'ascenceur de droite se déplace tout seul lorsque je suis sur une page web (très pratique pour lire).
      Encore merci de m'avoir répondu aussitot.
      Bonne soirée
      A+
      0
  4. Tonzoz Messages postés 19 Statut Membre
     
    Alors, c'est grave docteur ?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Tonzoz Messages postés 19 Statut Membre
     
    Salut Moe 31,

    Je n'ai pu revenir avant car j'ai toujours ces problèmes d'ascenceur qui me parasitent.

    je suis allé sur le site que tu m'as indiqué http://www.virustotal.com/xhtml/virustotal_en.html

    mais que dois-je y faire (c'est en anglais->too hard for me)?
    peux-tu me donner un p'tit coup de main.

    d'avance merci
    0
  7. Tonzoz Messages postés 19 Statut Membre
     
    J'ai essayé et ça donne ça :

    This is a report processed by VirusTotal on 08/01/2005 at 20:47:20 (CET) after scanning the file "avw2.dll" file.
    Antivirus Version Update Result
    AntiVir 6.31.1.0 08.01.2005 no virus found
    AVG 718 08.01.2005 no virus found
    Avira 6.31.1.0 08.01.2005 no virus found
    BitDefender 7.0 07.29.2005 no virus found
    CAT-QuickHeal 7.03 08.01.2005 no virus found
    ClamAV devel-20050725 07.31.2005 no virus found
    DrWeb 4.32b 08.01.2005 no virus found
    eTrust-Iris 7.1.194.0 07.30.2005 no virus found
    eTrust-Vet 11.9.1.0 08.01.2005 no virus found
    Fortinet 2.36.0.0 07.30.2005 no virus found
    F-Prot 3.16c 08.01.2005 no virus found
    Ikarus 0.2.59.0 08.01.2005 no virus found
    Kaspersky 4.0.2.24 08.01.2005 no virus found
    McAfee 4547 08.01.2005 no virus found
    NOD32v2 1.1184 08.01.2005 no virus found
    Norman 5.70.10 08.01.2005 no virus found
    Panda 8.02.00 08.01.2005 no virus found
    Sophos 3.96.0 08.01.2005 no virus found
    Sybari 7.5.1314 08.01.2005 no virus found
    Symantec 8.0 08.01.2005 no virus found
    TheHacker 5.8.2.079 08.01.2005 no virus found
    VBA32 3.10.4 08.01.2005 suspected of Trojan.Dropper.Agent.1

    VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.> Go to: Home Contact En español
    --------------------------------------------------------------------------------
    Est-ce-que cela te convient ?
    0
  8. Utilisateur anonyme
     
    salut

    Imprime, ou fais un copier coller dans le bloc note pour ne rien oublier

    telecharge process xp ici:
    http://www.sysinternals.com/files/procexpnt.zip

    Telecharge: Pocket Killbox ici
    http://www.downloads.subratam.org/KillBox.exe

    Telecharge: fixvundo.reg ici:
    http://www.bleepingcomputer.com/files/spyware/fixvundo.reg

    Si tu as spybot:
    Désactive le temps de la manip, le Tea timer de spybot
    lance spybot >> outils >> résident
    Décoche la case résident "tea timer"
    referme spybot
    (n'oublie pas de le remettre après la manip)

    1/

    Désactive la restauration systéme.
    Clic droit sur poste de travail > propriétés > onglet restauration système
    puis cocher "désactiver la restauration système".
    clic sur ok pour valider
    (accepte le redemarrage).

    Redémarre en mode sans échec
    Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
    Choisis le mode sans échec dans les options et valide avec entrée.

    2/

    Dézippe process xp et double clic sur processxp.exe

    * Dans la fenetre principale de processxp double clic sur winlogon.exe
    Dans la nouvelle fenetre qui s'ouvre clic sur threads
    selectionne seulement les lignes qui contiennent oledrv.dll puis clic sur kill pour chacunes des lignes trouvées.
    une fois fait, valider avec ok

    * Dans la fenetre principale de processxp double clic sur explorer.exe
    Dans la nouvelle fenetre qui s'ouvre clic sur threads
    selectionner seulement les lignes qui contiennent oledrv.dll puis clic sur kill pour chacunes des lignes trouvées.
    une fois fait, valider avec ok

    3/

    puis lancer hijackthis:

    clic sur "do a system scan only"

    * Cocher la case au début de ces lignes:

    O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\Config\oledrv.dll
    O20 - Winlogon Notify: oledrv - C:\WINDOWS\Config\oledrv.dll

    * Valider avec fix checked

    4/

    double clic sur fixvundo.reg et accepte de fusionner

    5/

    Double clic sur killbox.exe (Pocket Killbox)

    - clic sur tool > delete temp files
    - coche: delete on reboot
    - Dans "Full Path of File to Delete"
    copie et colle:

    C:\WINDOWS\Config\oledrv.dll

    - clic sur la croix blanche dans le rond rouge
    - une fenetre va apparaitre pour confirmation clic sur YES
    - une seconde fenetre te demande si tu veux redemarrer clic sur YES

    Laisse le pc redemarrer et après reposte un log hijackthis.

    a+
    0
  9. Tonzoz Messages postés 19 Statut Membre
     
    Salut moe 31,

    J'ai téléchargé les 3 éléments, puis j'ai désactiver la restauration système.

    en revanche j'ai des difficultés à redémarrer en mode sans échec :
    Au début pas de souci-F8->mode sans échec->windows me propose de choisir entre administrateur et mon nom d'utilisateur => Mais que je choisisse l'un ou l'autre j'abouti a un écran noir avec écrit mode sans échec dans les 4 coins de l'écran et windows pack sp2 en haut aucentre de l'écran.

    Ai-je fait une bétise ?

    D'avance merci
    0
  10. Utilisateur anonyme
     
    salut

    essaye de faire la manip en mode normal.

    sinon pour l'ecran noir il faut attendre un peu et tu arrive sur le bureau.
    0
  11. Tonzoz Messages postés 19 Statut Membre
     
    Bon je vais ressayer une fois en mode sans échec et patienter.
    Mais dois-je le faire en administrateur ou sous mon nom d'utilisateur ?
    0
  12. Utilisateur anonyme
     
    l'un ou l'autre c'est pas important

    normallement la manip passe en mode normal, mais certaine fois non, donc c'est pour ca que j'avais dis de la faire en sans echec.

    tente là en mode normal et si ca passe pas on verra pour le mode sans echec.

    a+
    0
  13. Tonzoz Messages postés 19 Statut Membre
     
    Salut Moe

    je l'ai fait en mode normal.

    Je ne voudrais pas crier victoire trop tôt, mais au redémarrage et lors de ma connexion internet, Antivir nem'a pas affiché de message d'alerte comme d'habitude.
    Mais comme tu me l'as demande je te collle le log hijack this :
    Logfile of HijackThis v1.99.1
    Scan saved at 22:08:28, on 02/08/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AVPersonal\AVGUARD.EXE
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\ATI-CPanel\atiptaxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
    C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Larousse\Petit Larousse 2004\bin\HiPL2002popup.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
    C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
    C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    C:\WINDOWS\System32\hphmon05.exe
    C:\Program Files\AVPersonal\AVGNT.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\Program Files\Club-Internet\Lanceur\lanceur.exe
    C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\hijack this\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yahoo.com/search/ie.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yahoo.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn0\ycomp5_3_18_0.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
    O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn0\ycomp5_3_18_0.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [adiras] adiras.exe
    O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
    O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Program Files\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
    O4 - HKLM\..\Run: [AnyDVD] "C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe"
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [HyperappelPL2003] C:\Program Files\Larousse\Petit Larousse 2004\bin\HiPL2002popup.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Program Files\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
    O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
    O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
    O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
    O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
    O4 - HKCU\..\Run: [MoneyAgent] "c:\Program Files\Microsoft Money\System\mnyexpr.exe"
    O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
    O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
    O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst0401.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/218457a37dc131c74318/netzip/RdxIE601_fr.cab
    O16 - DPF: {5DDCC37F-7C6B-48B8-9664-97C537920CA0} (aecviz Class) - http://www.maisonfamiliale.com/AECVIZ/npaecviz.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O20 - Winlogon Notify: avw2 - c:\windows\system32\avw2.dll
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

    Je t'en prie, peux-tu me confirmer que c'est la fin du calvaire ?
    et si oui dois-je garder ce que j'ai téléchargé précédemment (process xp,killbox,fixvrundo) ?
    A+
    0
  14. Utilisateur anonyme
     
    apparement ca à l'air ok pour Trojan horse TR/Agent CS1, tu lui à reglé son compte ;-)

    mais...
    O20 - Winlogon Notify: avw2 - c:\windows\system32\avw2.dll
    je t'avais fais analyser ce fichier, et 1 seul av le declare mauvais sur les 12, et c'est pour ca que je ne te l'ai pas fais supprimer

    est ce que tu peux faire un clic droit dessus > propriétés > version
    et me dire ce qu'il y a marqué ?

    je trouve pas d'infos sur ce fichier...

    a+
    0
  15. Tonzoz Messages postés 19 Statut Membre
     
    Euh je vais ou pour lui faire le clic droit
    0
  16. Utilisateur anonyme
     
    c:\windows\system32\avw2.dll

    je vais arreter pour ce soir, demain je dois me lever de bonne heure
    je repasse demain en fin d'apres midi pour la suite.

    a++
    0
  17. Tonzoz Messages postés 19 Statut Membre
     
    Après clic droit dessus ->prpriétés (j'ai pas trouvé versionj'ai obtenu ça :
    type de fichier : Extension de l'application

    S'ouvre avec : application inconnue

    localisation : C:\WINDOWS\system32

    taille : 72,0 Ko

    taille sur le disque : 76,0 Ko

    crée le : jeudi 14 juillet 2005, 18:05:16

    modifié le : jeudi 14 juillet 2005, 18:05:19

    dernier accès : mardi 2 aout 2005, 22:19:20

    Je ne sais pas si c'est ce que tu voulais.

    En tout cas je te souhaite une excellente nuit. Encore un grand merci pour mon CS1. J'espère être également dispo demain soir.

    A+
    0
  18. Utilisateur anonyme
     
    j'ai vraiment un doute sur ce fichier, mais bon on verra demain si tu passe par le forum.

    a+
    0
  19. Tonzoz Messages postés 19 Statut Membre
     
    Salut Moe,

    Je suis de retour par intermitence. Y-a-t-il une manipulation que tu souhaites que je fasse ?

    A+
    0
  20. Utilisateur anonyme
     
    salut

    est ce que de ton coté tout est ok ?
    0
  • 1
  • 2