Sujet Précédent Sujet Suivant

Pc infesté de spyware

Résolu
eurydice -  
 eurydice -
Bonjour tout le monde !

Mon PC avait des problèmes ces derniers temps, et il était évident que des spywares étaient en train de le grignoter.
J'ai lancé plusieurs fois ad aware, et spybot mais il semble qu'ils n'y en aient encore.
Alors j'ai utilisé hijackthis : voici le rapport, pouvez vous me dire quelles entrées je dois supprimer pour que mon pc redevienne mon ami d'avant ?;-)

Eurydic

Logfile of HijackThis v1.99.1
Scan saved at 14:27:29, on 11/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\dudung.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\SurfAccuracy\SAcc.exe
C:\Program Files\Tuvatuh\Gobdze.exe
C:\WINDOWS\etb\pokapoka75.exe
C:\WINDOWS\system32\lmhstr.exe
C:\WINDOWS\system32\grkvsca.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\lmhstr.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe
c:\windows\system32\rlvknlg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.quicksearch360.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.quicksearch360.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.quicksearch360.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.quicksearch360.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - _{0026AD90-C86F-4269-97F3-DAB4897C6D06} - (no file)
R3 - URLSearchHook: (no name) - _{DEA0CCCD-99CE-7C6E-4ADE-88B230827D68} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Program Files\E2G\IeBHOs.dll (file missing)
O4 - HKLM\..\Run: [cfgmgr52] RunDLL32.EXE C:\WINDOWS\cfgmgr52.dll,DllRun
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [winsync] C:\WINDOWS\system32\dudung.exe reg_run
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [shell32] C:\WINDOWS\system32\wuauclt10.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\system32\smmss.exe
O4 - HKLM\..\Run: [Windows update] C:\WINDOWS\system32\wudupdate.exe
O4 - HKLM\..\Run: [vTfAvPtVs] C:\WINDOWS\wlxhmux.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [vTfAvùõš/‚²‘ÆßfÏNbC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\wlxhmux.exe
O4 - HKLM\..\Run: [Fjillc] C:\Program Files\Tuvatuh\Gobdze.exe
O4 - HKLM\..\Run: [vùõš/‚²‘ÆßfÏNb‰»9õC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\wlxhmux.exe
O4 - HKLM\..\Run: [hnuiyd] C:\WINDOWS\system32\grkvsca.exe r
O4 - HKLM\..\Run: [System service75] C:\WINDOWS\etb\pokapoka75.exe
O4 - HKCU\..\Run: [svreg] C:\WINDOWS\System32\svreg.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [lmhstr] C:\WINDOWS\system32\lmhstr.exe
O4 - HKCU\..\Run: [eMuleAutoStart] D:\.xMule\Incoming\eMule\emule.exe -AutoStart
O4 - HKCU\..\RunOnce: [lmhstr] C:\WINDOWS\system32\lmhstr.exe
O4 - Startup: Vade Retro pour Outlook Express.lnk = C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {9E248641-0E24-4DDB-9A1F-705087832AD6} - (no file)
O9 - Extra 'Tools' menuitem: Java - {9E248641-0E24-4DDB-9A1F-705087832AD6} - (no file)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mu3: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mus: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mut: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .myr: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .tiff: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {3B02AAA2-327C-40ED-A849-4BE819AE5385} (ImgSizer Control) - file://C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DlfnTmp0\imgSizer.ocx
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/30d5e6a92fa64b2abb05/netzip/RdxIE601_fr.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D79394BF-D0B3-4F8E-A771-DA89CC1F7FE7}: NameServer = 213.36.80.1 213.36.80.1
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
A voir également:

20 réponses

Réponse 1 / 20
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Bonjour,
Avec E-Mule déjà, faut pas s'étonner.
Ensuite faudrait que tu supprimes Windows Messenger, et tu gardes MSN Messenger
A+
0
Real Mona Messages postés 1432 Statut Membre 94
 
Bonjour Marie,

As tu déjà utilisé emule ?
Parce que moi cela fait 2 ans que je l'ai et je n'ai jamais eu aucun problème.
Bon d'accord, c'est pas très "légal" (quoique c'est en cours de débat à l'assemblée nationale), mais cela m'a permis de retrouver certains morceaux qui n'existaient plus sur le marché.

M.
0
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279 > Real Mona Messages postés 1432 Statut Membre
 
Salut Mona,
J'ai déjà utilisé e-mule, mais mal configuré. Donc, vraie passoire. C'est pour cela que je me permet quand mm de le signaler lorsque des personnes l'ont. On sait jamais. Cela peut porter à confusion.
Bizz

0
Réponse 2 / 20
Real Mona Messages postés 1432 Statut Membre 94
 
Bonjour,

Effectivement tu as plein de trucs malveillants.

Commence par faire ca :
http://users.telenet.be/bluepatchy/miekiemoes/tools/LQfix.zip
dézippe le et lance lqfix.bat en mode sans echec

Dis moi quelles sont les versions de spybot et ad-aware que tu as ?

Et reposte moi un Hijackthis après la manip que je t'ai demandée.

A+
M.

0
Réponse 3 / 20
eurydice
 
alors j'ai supprimé windows messenger, j'ai lancé le .bat de Real Mona en mode sans échec et voici le nouveau .log : ( en tout cas, merci pour l'aide que vous êtes en train de me donner !)

Eurydice

Logfile of HijackThis v1.99.1
Scan saved at 14:50:08, on 11/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\dudung.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\SurfAccuracy\SAcc.exe
C:\Program Files\Tuvatuh\Gobdze.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\lmhstr.exe
C:\WINDOWS\system32\lmhstr.exe
C:\WINDOWS\system32\dslgzl.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
c:\windows\system32\rlvknlg.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\system32\str_32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.quicksearch360.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.quicksearch360.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.quicksearch360.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.quicksearch360.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - _{0026AD90-C86F-4269-97F3-DAB4897C6D06} - (no file)
R3 - URLSearchHook: (no name) - _{DEA0CCCD-99CE-7C6E-4ADE-88B230827D68} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Program Files\E2G\IeBHOs.dll (file missing)
O4 - HKLM\..\Run: [cfgmgr52] RunDLL32.EXE C:\WINDOWS\cfgmgr52.dll,DllRun
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [winsync] C:\WINDOWS\system32\dudung.exe reg_run
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [shell32] C:\WINDOWS\system32\wuauclt10.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\system32\smmss.exe
O4 - HKLM\..\Run: [Windows update] C:\WINDOWS\system32\wudupdate.exe
O4 - HKLM\..\Run: [vTfAvPtVs] C:\WINDOWS\wlxhmux.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [vTfAvùõš/‚²‘ÆßfÏNbC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\wlxhmux.exe
O4 - HKLM\..\Run: [Fjillc] C:\Program Files\Tuvatuh\Gobdze.exe
O4 - HKLM\..\Run: [vùõš/‚²‘ÆßfÏNb‰»9õC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\wlxhmux.exe
O4 - HKLM\..\Run: [klzsdv] C:\WINDOWS\system32\dslgzl.exe r
O4 - HKCU\..\Run: [svreg] C:\WINDOWS\System32\svreg.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [lmhstr] C:\WINDOWS\system32\lmhstr.exe
O4 - HKCU\..\Run: [eMuleAutoStart] D:\.xMule\Incoming\eMule\emule.exe -AutoStart
O4 - HKCU\..\RunOnce: [lmhstr] C:\WINDOWS\system32\lmhstr.exe
O4 - Startup: Vade Retro pour Outlook Express.lnk = C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {9E248641-0E24-4DDB-9A1F-705087832AD6} - (no file)
O9 - Extra 'Tools' menuitem: Java - {9E248641-0E24-4DDB-9A1F-705087832AD6} - (no file)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mu3: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mus: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mut: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .myr: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .tiff: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {3B02AAA2-327C-40ED-A849-4BE819AE5385} (ImgSizer Control) - file://C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DlfnTmp0\imgSizer.ocx
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/30d5e6a92fa64b2abb05/netzip/RdxIE601_fr.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D79394BF-D0B3-4F8E-A771-DA89CC1F7FE7}: NameServer = 213.36.80.1 213.36.80.1
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
0
Réponse 4 / 20
eurydice
 
Real Mona j'oubliais les versions que tu me demandais :
Ad Aware SE personnal 1.06r1
Spybot 1.4

Eurydice
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 20
Real Mona Messages postés 1432 Statut Membre 94
 
Cool! le .bat a déjà viré pokapoka.
Mais tu restes néanmoins très infecté, j'analyse ton log et je reviens vers toi!

A+
M.

PS : tu as les dernières versions c'est bien
0
Réponse 6 / 20
Real Mona Messages postés 1432 Statut Membre 94
 
Bonjour,

Imprime ceci pour ne rien oublier de faire :

Méthode à suivre dans l'ordre...

----------------------------------------------------------------------------
¤Télécharge ce logiciel mais que tu n‘utilises pas tout de suite:

Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci à Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm

----------------------------------------------------------------------------
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5)
----------------------------------------------------------------------------
Désactive ta restauration système (si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu coches la case « désactiver la restauration » et applique
----------------------------------------------------------------------------
Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Coche « afficher les fichiers et dossiers cachés »

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.

Et appliquer !
----------------------------------------------------------------------------
Vide tes fichiers temps et tempory internet file:
utilise ceci pour le faire (tu as téléchargé avant)
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
----------------------------------------------------------------------------
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - _{0026AD90-C86F-4269-97F3-DAB4897C6D06} - (no file)
R3 - URLSearchHook: (no name) - _{DEA0CCCD-99CE-7C6E-4ADE-88B230827D68} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe
O4 - HKLM\..\Run: [cfgmgr52] RunDLL32.EXE C:\WINDOWS\cfgmgr52.dll,DllRun
O4 - HKLM\..\Run: [winsync] C:\WINDOWS\system32\dudung.exe reg_run
O4 - HKLM\..\Run: [shell32] C:\WINDOWS\system32\wuauclt10.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\system32\smmss.exe
O4 - HKLM\..\Run: [Windows update] C:\WINDOWS\system32\wudupdate.exe
O4 - HKLM\..\Run: [vTfAvPtVs] C:\WINDOWS\wlxhmux.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [vTfAv ùõš/‚²‘Æ ßfÏNbC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\wlxhmux.exe
O4 - HKLM\..\Run: [Fjillc] C:\Program Files\Tuvatuh\Gobdze.exe
O4 - HKLM\..\Run: [v ùõš/‚²‘Æ ßfÏNb‰»9õC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\wlxhmux.exe
O4 - HKLM\..\Run: [klzsdv] C:\WINDOWS\system32\dslgzl.exe r
O4 - HKCU\..\Run: [svreg] C:\WINDOWS\System32\svreg.exe
O4 - HKCU\..\Run: [lmhstr] C:\WINDOWS\system32\lmhstr.exe
O4 - HKCU\..\RunOnce: [lmhstr] C:\WINDOWS\system32\lmhstr.exe
O4 - Startup: Vade Retro pour Outlook Express.lnk = C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe si ce n’est pas toi qui a installé ce programme fixe la ligne
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll

----------------------------------------------------------------------------

Recherche et supprime ceci:
attention seulement les fichiers (si présents)
C:\WINDOWS\system32\dudung.exe
C:\WINDOWS\system32\wuauclt10.exe
C:\WINDOWS\system32\smmss.exe
C:\WINDOWS\system32\wudupdate.exe
C:\WINDOWS\wlxhmux.exe
C:\Program Files\SurfAccuracy\SAcc.exe
C:\Program Files\Tuvatuh\Gobdze.exe
C:\WINDOWS\system32\dslgzl.exe
C:\WINDOWS\System32\svreg.exe
C:\WINDOWS\system32\lmhstr.exe
C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe si c’est toi qui l’a installé ne le supprime pas !
c:\windows\system32\rlvknlg.exe
C:\WINDOWS\system32\str_32.exe
C:\WINDOWS\system32\wuauclt10.exe

----------------------------------------------------------------------------
Pour LspFix :
http://translate.google.com/translate?hl=fr&sl=en&u=http://www.cexx.org/lspfix.htm&prev=/search%3Fq%3Dlspfix%26num%3D100%26hl%3Dfr%26lr%3D%26ie%3DUTF-8
http://www.cexx.org/LSPFix.exe

Tu le lances.
Tu coches "I know what I'm doing"
Tu fais passer dans "remove" tout ce qui a trait à rlls.dll
Et surtout rien d'autre!
Tu cliques "finish »
----------------------------------------------------------------------------

¤ Passe Ad-Aware et vire tout ce qu’il trouve
----------------------------------------------------------------------------
¤ Passe Spybot et vire tout ce qu’il trouve
----------------------------------------------------------------------------
> Tu vides ta poubelle et tu redémarres en mode normal et refait un HijackThis

- Et enfin un petit conseil :
installe un pare-feu (ou firewall) Si tu utilises celui de XP désactive le et installe http://download.zonelabs.com/bin/free/fr/download/comparison.html
Pour désactiver ton firewall Windows XP tu fais la chose suivante :
clique sur le bouton Démarrer, sur Paramètres, puis double clique sur Connexion Réseau. Sélectionne ta connexion puis clique dessus avec le bouton droit de la souris. Choisis la commande Propriétés. Dans l'onglet Avancé, décoche la case Protéger mon ordinateur et le réseau... Valide par OK

A+
M.
0
Réponse 7 / 20
eurydice
 
alors ça c'est de la prise en charge ! je vais faire tout ce que tu m'as dit de faire, j'ai confiance !

est-ce que je réactive la restauration système après tout le procédé ?

Eurydice
0
Réponse 8 / 20
Real Mona Messages postés 1432 Statut Membre 94
 
Oui tout à fait !
tu refais tout ca

Désactive ta restauration système (si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu coches la case « désactiver la restauration » et applique
----------------------------------------------------------------------------
Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Coche « afficher les fichiers et dossiers cachés »

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.

Et appliquer !

mais en sens inverse !

A+
M.
0
Réponse 9 / 20
eurydice
 
Les messages d'erreur qui s'affichaient lors du démararge de l'ordinateur ont disparu, miracle ! merci c'est déjà très rassurant !

Voici le dernier rapport de hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 19:06:56, on 11/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\nrfqha.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\.xMule\Incoming\eMule\emule.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\9.tmp\thnall1a.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.quicksearch360.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.quicksearch360.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.quicksearch360.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.quicksearch360.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [egzzjt] C:\WINDOWS\system32\nrfqha.exe r
O4 - HKLM\..\Run: [winsync] C:\WINDOWS\system32\dudung.exe reg_run
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] D:\.xMule\Incoming\eMule\emule.exe -AutoStart
O4 - Startup: Vade Retro pour Outlook Express.lnk = C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {9E248641-0E24-4DDB-9A1F-705087832AD6} - (no file)
O9 - Extra 'Tools' menuitem: Java - {9E248641-0E24-4DDB-9A1F-705087832AD6} - (no file)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mu3: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mus: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mut: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .myr: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .tiff: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {3B02AAA2-327C-40ED-A849-4BE819AE5385} (ImgSizer Control) - file://C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DlfnTmp0\imgSizer.ocx
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/30d5e6a92fa64b2abb05/netzip/RdxIE601_fr.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D79394BF-D0B3-4F8E-A771-DA89CC1F7FE7}: NameServer = 213.36.80.1 213.36.80.1
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 10 / 20
Utilisateur anonyme
 
salute real mona,
j ai pas le temps de faire la manip mais les r1 identique faut les fixer
+ pour nail, prend le poste de jean, il donne la manip pour le virer
+la 023 !!!!!!!

au revoir
0
Real Mona Messages postés 1432 Statut Membre 94
 
ne fais pas ton mesquin Quentin, ca ne te va pas, OK ?
primo je m'appelle pas real mona et tu le sais bien
et deuxio tes "au revoir" ca va 5 minutes ! t'en fait trop !

tu m'aides gentiment ou tu m'aides pas,
moi perso je trouve ca adorable que tu continues de me donner des conseils, alors fais le en bonne entente, tu veux bien ?
Pour nail je sais comment faire, mais c nouvo ca vient de sortir dans ce log, mais ya la manip dans le document que tu m'as donné (passkenplus je vois pas à quel poste de jean tu fais référence)
et la O23 vient d'apparaitre aussi, donc je la fixerai !
0
Réponse 11 / 20
Real Mona Messages postés 1432 Statut Membre 94
 
Eurydice,

Je reviens vers toi tout à l'heure après le diner.

A+
M.
0
Réponse 12 / 20
Real Mona Messages postés 1432 Statut Membre 94
 
Re,

----------------------------------------------------------------------------
Démarre en mode sans échec :
----------------------------------------------------------------------------
Désactive ta restauration système (si tu es sous XP):
----------------------------------------------------------------------------
Affiche tous les fichiers et dossiers :
----------------------------------------------------------------------------
Vide tes fichiers temps et tempory internet file:
utilise ceci pour le faire (tu as téléchargé avant)
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
----------------------------------------------------------------------------
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [egzzjt] C:\WINDOWS\system32\nrfqha.exe r
O4 - HKLM\..\Run: [winsync] C:\WINDOWS\system32\dudung.exe reg_run
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

----------------------------------------------------------------------------
Recherche et supprime ceci:
attention seulement les fichiers (si présents)
C:\WINDOWS\Nail.exe
C:\WINDOWS\system32\nrfqha.exe r
C:\WINDOWS\system32\dudung.exe reg_run
----------------------------------------------------------------------------

Ensuite double clic sur nail fix cmd
http://users.pandora.be/bluepatchy/nailfix.zip
----------------------------------------------------------------------------
¤Arrête ce service :

Clique sur Démarrer->exécuter->tape: services.msc

Double-clique:
Service: System Startup Service (SvcProc)

Règle-le sur "Arrêté" et "Désactivé".
----------------------------------------------------------------------------
¤ Passe Ad-Aware et vire tout ce qu’il trouve
----------------------------------------------------------------------------
¤ Passe Spybot et vire tout ce qu’il trouve
----------------------------------------------------------------------------
> Tu vides ta poubelle et tu redémarres en mode normal et refait un HijackThis

A+
M.
0
Réponse 13 / 20
eurydice
 
Coucou !

Après tes dernières recommandations voici dans la suite le log de highjackthis, le nail.exe a effectivement disparu ! mais j'ai l'impression qu'il y a encore quelques spywares... J'ai installé le pare feu que tu m'as conseillé.

Eurydice

LOGFILE OF HIJACKTHIS V1.99.1
SCAN SAVED AT 01:28:20, ON 12/10/2005
PLATFORM: WINDOWS XP SP2 (WINNT 5.01.2600)
MSIE: INTERNET EXPLORER V6.00 SP2 (6.00.2900.2180)

RUNNING PROCESSES:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\WINDOWS\SYSTEM32\ZONELABS\VSMON.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
D:\.XMULE\INCOMING\EMULE\EMULE.EXE
C:\WINDOWS\SYSTEM32\YDVGTIR.EXE
C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
C:\PROGRAM FILES\GOTO SOFTWARE\VADE RETRO\VADERETRO_OE.EXE
C:\WINDOWS\SYSTEM32\WSCNTFY.EXE
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
C:\PROGRAM FILES\HIJACKTHIS VF\HIJACKTHIS VF.EXE

R0 - HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN,START PAGE = HTTP://WWW.GOOGLE.FR/
R1 - HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN,WINDOW TITLE = MICROSOFT INTERNET EXPLORER
R0 - HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR,LINKSFOLDERNAME = LIENS
O4 - HKLM\..\RUN: [NVCPLDAEMON] RUNDLL32.EXE C:\WINDOWS\SYSTEM32\NVCPL.DLL,NVSTARTUP
O4 - HKLM\..\RUN: [USERFAULTCHECK] %SYSTEMROOT%\SYSTEM32\DUMPREP 0 -U
O4 - HKLM\..\RUN: [TKBELLEXE] "C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE" -OSBOOT
O4 - HKLM\..\RUN: [ZONE LABS CLIENT] C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
O4 - HKLM\..\RUN: [UDKDVT] C:\WINDOWS\SYSTEM32\YDVGTIR.EXE R
O4 - HKCU\..\RUN: [MSNMSGR] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /BACKGROUND
O4 - HKCU\..\RUN: [SPAMIHILATOR] "C:\PROGRAM FILES\SPAMIHILATOR\SPAMIHILATOR.EXE"
O4 - HKCU\..\RUN: [EMULEAUTOSTART] D:\.XMULE\INCOMING\EMULE\EMULE.EXE -AUTOSTART
O4 - STARTUP: VADE RETRO POUR OUTLOOK EXPRESS.LNK = C:\PROGRAM FILES\GOTO SOFTWARE\VADE RETRO\VADERETRO_OE.EXE
O4 - GLOBAL STARTUP: ACROBAT ASSISTANT.LNK = C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
O4 - GLOBAL STARTUP: DSLMON.LNK = C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
O4 - GLOBAL STARTUP: MICROSOFT OFFICE.LNK = C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA9.EXE
O8 - EXTRA CONTEXT MENU ITEM: &ICQ TOOLBAR SEARCH - RES://C:\PROGRAM FILES\ICQTOOLBAR\TOOLBARU.DLL/SEARCH.HTML
O9 - EXTRA BUTTON: (NO NAME) - {9E248641-0E24-4DDB-9A1F-705087832AD6} - (NO FILE)
O9 - EXTRA 'TOOLS' MENUITEM: JAVA - {9E248641-0E24-4DDB-9A1F-705087832AD6} - (NO FILE)
O9 - EXTRA BUTTON: REAL.COM - {CD67F990-D8E9-11D2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM32\SHDOCVW.DLL
O12 - PLUGIN FOR .MOV: C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS\NPQTPLUGIN.DLL
O12 - PLUGIN FOR .MU3: C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS\NPMYRMUS.DLL
O12 - PLUGIN FOR .MUS: C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS\NPMYRMUS.DLL
O12 - PLUGIN FOR .MUT: C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS\NPMYRMUS.DLL
O12 - PLUGIN FOR .MYR: C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS\NPMYRMUS.DLL
O12 - PLUGIN FOR .TIFF: C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS\NPQTPLUGIN3.DLL
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (FRANCE TELECOM MDM ACTIVEX CONTROL) - HTTP://MINITELWEB.MINITEL.COM/IMIN_DATA/OCX/MDM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - HTTP://207.188.7.150/30D5E6A92FA64B2ABB05/NETZIP/RDXIE601_FR.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MSNMESSENGERSETUPDOWNLOADCONTROL CLASS) - HTTP://MESSENGER.MSN.COM/DOWNLOAD/MSNMESSENGERSETUPDOWNLOADER.CAB
O23 - SERVICE: NVIDIA DISPLAY DRIVER SERVICE (NVSVC) - NVIDIA CORPORATION - C:\WINDOWS\SYSTEM32\NVSVC32.EXE
O23 - SERVICE: TRUEVECTOR INTERNET MONITOR (VSMON) - ZONE LABS, LLC - C:\WINDOWS\SYSTEM32\ZONELABS\VSMON.EXE
0
Réponse 14 / 20
eurydice
 
Je m'aperçois que tout est en majuscule. La c'est déjà moins pénible :

Eurydice

Logfile of HijackThis v1.99.1
Scan saved at 01:38:56, on 12/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\.xMule\Incoming\eMule\emule.exe
C:\WINDOWS\system32\ydvgtir.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [udkdvt] C:\WINDOWS\system32\ydvgtir.exe r
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] D:\.xMule\Incoming\eMule\emule.exe -AutoStart
O4 - Startup: Vade Retro pour Outlook Express.lnk = C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {9E248641-0E24-4DDB-9A1F-705087832AD6} - (no file)
O9 - Extra 'Tools' menuitem: Java - {9E248641-0E24-4DDB-9A1F-705087832AD6} - (no file)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mu3: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mus: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mut: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .myr: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .tiff: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/30d5e6a92fa64b2abb05/netzip/RdxIE601_fr.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D79394BF-D0B3-4F8E-A771-DA89CC1F7FE7}: NameServer = 213.36.80.1 213.36.80.1
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 15 / 20
Real Mona Messages postés 1432 Statut Membre 94
 
Re,

On y est presque !

----------------------------------------------------------------------------
Démarre en mode sans échec :
----------------------------------------------------------------------------
Désactive ta restauration système (si tu es sous XP):
----------------------------------------------------------------------------
Affiche tous les fichiers et dossiers :
----------------------------------------------------------------------------
Vide tes fichiers temps et tempory internet file avec cleanup
----------------------------------------------------------------------------
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

O4 - HKLM\..\Run: [udkdvt] C:\WINDOWS\system32\ydvgtir.exe r
----------------------------------------------------------------------------
Recherche et supprime ceci:
attention seulement le fichier (si présent)
C:\WINDOWS\system32\ydvgtir.ex

----------------------------------------------------------------------------
¤ Passe Ad-Aware et vire tout ce qu’il trouve
----------------------------------------------------------------------------
¤ Passe Spybot et vire tout ce qu’il trouve
----------------------------------------------------------------------------
> Tu vides ta poubelle et tu redémarres en mode normal et refait un HijackThis

Au fait, Vaderetro étant toujours là, tu me confirmes que c’est toi qui l’a installé (je ne connais pas ce programme) ?

Rencontres-tu toujours des problèmes après avoir redémarré ?

A+
M.
0
Réponse 16 / 20
eurydice
 
salut !

voici le dernier rapport, ce satané dudung ne s'en va pas !
Quand je lance spybot il me trouve un seul problème qu'il n'arrive pas à corriger, c'est HKEY_LOCAL_MACHIN\SOFTWARE\ISTbar parce qu'il serait en utilisation... Quant à AD Aware il me trouve toujours les mêmes 30 problèmes dont 28 sont des problèmes de registres...

Je confirme que Vade Retro est un bien un de mes logiciels, j'avais oublié de te le signaler !

Eurydice

Logfile of HijackThis v1.99.1
Scan saved at 12:50:20, on 12/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\.xMule\Incoming\eMule\emule.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [winsync] C:\WINDOWS\system32\dudung.exe reg_run
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] D:\.xMule\Incoming\eMule\emule.exe -AutoStart
O4 - Startup: Vade Retro pour Outlook Express.lnk = C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {9E248641-0E24-4DDB-9A1F-705087832AD6} - (no file)
O9 - Extra 'Tools' menuitem: Java - {9E248641-0E24-4DDB-9A1F-705087832AD6} - (no file)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mu3: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mus: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mut: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .myr: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .tiff: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/30d5e6a92fa64b2abb05/netzip/RdxIE601_fr.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D79394BF-D0B3-4F8E-A771-DA89CC1F7FE7}: NameServer = 213.36.80.1 213.36.80.1
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 17 / 20
Real Mona Messages postés 1432 Statut Membre 94
 
Re,

Comme tu dis, ce dudung est tenace !

J'essaierai bien la killbox, mais je ne sais pas si c'est la solution...

On va essayer comme suit :

désactive le TeaTimer de spybot.
Met toi en mode avancé
Choisi l’onglet outils
Va sur Résident et décoche « Résident TeaTimer »

Télécharge également jv16 (c'est un nettoyeur de registre)
(ancienne version gratuite)
http://telechargement.zebulon.fr/201-jv16-powertools.html

Démarre en mode sans échec :
----------------------------------------------------------------------------
Désactive ta restauration système (si tu es sous XP):
----------------------------------------------------------------------------
Affiche tous les fichiers et dossiers :
----------------------------------------------------------------------------
Vide tes fichiers temps et tempory internet file avec cleanup
----------------------------------------------------------------------------
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

O4 - HKLM\..\Run: [winsync] C:\WINDOWS\system32\dudung.exe reg_run
----------------------------------------------------------------------------
Recherche et supprime ceci:
attention seulement le fichier (si présent)
C:\WINDOWS\system32\dudung.exe reg_run

----------------------------------------------------------------------------
tu lances JV16 tu cliques sur outil registre/outil/nettoyage de registre/continuer /démarrer
tu le laisses faire c'est un peu long
quand il a fini
tu sélectionnes les ronds verts par paquet de 20 ou 30
une fois que tu les as sélectionnés, tu cliques sur supprimer en bas à droite
et tu continues jusqu'à ce qu'il ne reste plus de ronds verts
----------------------------------------------------------------------------
¤ Passe Ad-Aware et vire tout ce qu’il trouve
----------------------------------------------------------------------------
¤ Passe Spybot et vire tout ce qu’il trouve
----------------------------------------------------------------------------
> Tu vides ta poubelle et tu redémarres en mode normal et refait un HijackThis

Et tu ne m'as pas dit : rencontres tu toujours des problèmes avec ton pc ?

A+
M.

PS : j'espère qu'un de nos spécialistes jettera un oeil sur ce log et pourra éventuellement nous filer un coup de main ! d'ailleurs je le remercie pas avance !

0
Réponse 18 / 20
eurydice
 
bonsoir !

Oui, les problèmes que j'avais ont disparu ( messages d'erreur, affichage de fenêtres, déconnexion ...)

Je n'ai pas encore effectué tes dernières directives... J'ai installé ewido et je l'ai laissé dépatouiller un peu tout mon bordel. Voici le rapport, j'ai l'impression que c'est clean. Est-ce que c'est bon,encore des spasmes de vie? sinon peut-être un dernier assaut ?

Eurydice

Logfile of HijackThis v1.99.1
Scan saved at 18:12:02, on 12/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\.xMule\Incoming\eMule\emule.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Adobe\Acrobat 5.0\Acrobat\Acrobat.exe
C:\Program Files\Fichiers communs\Adobe\Web\AOM.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] D:\.xMule\Incoming\eMule\emule.exe -AutoStart
O4 - Startup: Vade Retro pour Outlook Express.lnk = C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {9E248641-0E24-4DDB-9A1F-705087832AD6} - (no file)
O9 - Extra 'Tools' menuitem: Java - {9E248641-0E24-4DDB-9A1F-705087832AD6} - (no file)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mu3: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mus: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mut: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .myr: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .tiff: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/30d5e6a92fa64b2abb05/netzip/RdxIE601_fr.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D79394BF-D0B3-4F8E-A771-DA89CC1F7FE7}: NameServer = 213.36.80.1 213.36.80.1
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 19 / 20
Real Mona Messages postés 1432 Statut Membre 94
 
Je n'ai qu'un mot à dire : HOURA !

Ewido a bien fait son boulot !

Bon ben bon surf et j'espère pour toi à pas bientôt (mais si tu reviens ca sera toujours un plaisir de t'aider bien sûr!)

Mona
0
Réponse 20 / 20
eurydice
 
Je voulais te remercier pour toute l'aide que tu m'as apporté Mona! Mon pc tourne impeccable, comme neuf et maintenant c'est une vraie forteresse avec ZoneAlarm.

Finie la guerre avec les spywares, ouffffffffffffff.

Merci encore... si j'ai encore des problèmes je sais à qui m'adresser ! ;-)

Eurydice
0