virus inéffaçable! help please (joint mon HJT

Question

salut à ts ! ça fait plusieurs que je galère avec des virus, dont 1 très récalcitrant type MyBot qui se loge ds le fichier notepaad : je le fixe avec HJT, l'efface puis il revient (la restauration systeme est désactivé pourtant). SVP aidez-moi !!!! Merci d'avance !

cms · Answer

j'arrive même pas à avoir le log de HJT : pour résumer il y a 2 lignes type 04 ou apparait notepaad.exe : j'ai trouvé un seul fichier ds l'ordi avec ce nom ds system32.je l'ai testé sur virus total, c bien un virus !

Utilisateur anonyme · Answer

salut cmstu vois le rapport dans le bloc note,copie colle le nous stpa+

Utilisateur anonyme · Answer

re,
tu sais avec les 2 lignes, j en apprendrais pas plus lol
(tu fais bien cela:
Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (merci à balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm)

Sinon, peux tu passer un scan en ligne, oui?

Lance ce scan en ligne:
http://www.bitdefender.fr/scan8/ie.html
Copie/colle le rapport

(meme s il t affiche 7h de scan, souvent c est largement bcp moins, leur compteur d evaluation du temps de scan n est pas au point...lol, donc ne flippes pas, au pire 1h30 je penses, mais ca serait bien de le faire)

a+

cms · Answer

pour HJT je fais bien le scan&log.en fait y a une heure ça marchait encore ! je vais rebooter en mode sans echec pour voir et je vais faire le scan en ligne sur bitdefender sinon
à + et merci de ton aide !

cms · Answer

ouf ! réussi le log (en mode normal sous windows), le voici :Logfile of HijackThis v1.99.1Scan saved at 18:24:22, on 04/11/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:D:\WINDOWS\System32\smss.exeD:\WINDOWS\system32\winlogon.exeD:\WINDOWS\system32\services.exeD:\WINDOWS\system32\lsass.exeD:\WINDOWS\system32\svchost.exeD:\WINDOWS\System32\svchost.exeD:\WINDOWS\system32\userinit.exeD:\WINDOWS\Explorer.EXED:\WINDOWS\system32\spoolsv.exeD:\WINDOWS\System32\RUNDLL32.EXED:\PROGRA~1\Avast4\ashDisp.exeD:\WINDOWS\System32
otepaad.exeD:\Program Files\Avast4\aswUpdSv.exeD:\Program Files\Avast4\ashServ.exeD:\WINDOWS\System32
vsvc32.exeD:\WINDOWS\system32\wincntrl.exeD:\Program Files\Avast4\ashMaiSv.exeD:\Program Files\Avast4\ashWebSv.exeD:\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.aliceadsl.fr/default.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = France Télécom CâbleR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [avast!] D:\PROGRA~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [notes] notepaad.exeO4 - HKLM\..\RunServices: [notes] notepaad.exeO8 - Extra context menu item: &Traduire à partir de l'anglais - res://D:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.htmlO8 - Extra context menu item: Pages liées - res://D:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Recherche &Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cabO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32
vsvc32.exeO23 - Service: MS Dns Service (WinNet) - Unknown owner - D:\WINDOWS\system32\wincntrl.exeje fais tjrs bitdefender ?

cms · Answer

ps : j'ai envoyé bitdefender, ça tourne ...sinon, j'ai vu que notepaad était ds le menu démarrage (ds msconfig), je l'ai enlevé. j'ai bien fait ?

cms · Answer

le scan de bitdefender est fini : il a bien trouvé notepaad, a essayé de l'effacer et n'a pas réussi !merci de m'aidera+

Utilisateur anonyme · Answer

re,j aurais bien aimer avoir le rapport !Bon maintenant, lorsque tu lances hijack this, le bloc note s ouvre ou pas?a+

balltrap34 · Answer

salut
fait ceci

ouvre le bloc note et copie colle ceci entre les etoiles
**********
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run]
"notes" =-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices]
"notes" =-

[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"notes" =-

************
enregistre le sur ton bureau et nomme le www.reg
et dans la case en dessous type met sur tous fichiers

la vas sur ton bureau et double clik sur se fichier que tu vient de faire et accepte la fusion avec le registre

ensuite essai de suppr le fichier
notepaad

cms · Answer

re salut à ts !
merci de votre aide regis et balltrap !
pour le log de bitdefender, je l'ai loupé ...dsl
sinon, du nouveau depuis hier, vu que ça commençait un peu à m'enerver, j'ai fait plusieurs choses pet etre maladroites ....
1 : j'ai fixé notepaad avec HJT et l'ai effacé dudisque
2 : il est revenu mais le fichier est maintenant introuvable, et HJT me donnait en plus 2 lignes sur BHSV, inconnu jusqu'alors
3 : j'ai tt fixé et plus de nouvelles de ces 2 "choses" (sauf que l'ordi continue à ramer) jusqu'à ce que je me reconnecte sut internet : retour de BHSV (tjrs introuvable sur le disque) mais pas de notepaad plus un message d'erreur qd je me branche sur le net type "fichier oeuw introuvable"

j'en peux plus ....
voivi le dernier HJT
pb : à nouveau plus de log ! et retour de notepaad !!!!!!!!!!!!!
je redémarre hors net pour tenter d'avoir un log et vous l'envoie
merci de votre aide
a+

cms · Answer

j'ai eu le log ... :Logfile of HijackThis v1.99.1Scan saved at 12:08:33, on 05/11/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:D:\WINDOWS\System32\smss.exeD:\WINDOWS\system32\winlogon.exeD:\WINDOWS\system32\services.exeD:\WINDOWS\system32\lsass.exeD:\WINDOWS\system32\svchost.exeD:\WINDOWS\System32\svchost.exeD:\WINDOWS\Explorer.EXED:\WINDOWS\system32\spoolsv.exeD:\Program Files\Avast4\aswUpdSv.exeD:\Program Files\Avast4\ashServ.exeD:\WINDOWS\System32
vsvc32.exeD:\WINDOWS\system32\wincntrl.exeD:\WINDOWS\System32\RUNDLL32.EXED:\PROGRA~1\Avast4\ashDisp.exeD:\WINDOWS\System32\BHSV.EXED:\WINDOWS\System32
otepaad.exeD:\Program Files\Avast4\ashMaiSv.exeD:\Program Files\Avast4\ashWebSv.exeD:\HijackThis\HijackThis.exeD:\WINDOWS\System32\BHSV.EXER0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.aliceadsl.fr/default.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = France Télécom CâbleR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - D:\WINDOWS\System32\awvts.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [avast!] D:\PROGRA~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [Browser Help Svc] BHSV.EXEO4 - HKLM\..\Run: [notes] notepaad.exeO4 - HKLM\..\RunServices: [Browser Help Svc] BHSV.EXEO4 - HKLM\..\RunServices: [notes] notepaad.exeO4 - HKCU\..\Run: [Browser Help Svc] BHSV.EXEO4 - HKCU\..\RunServices: [Browser Help Svc] BHSV.EXEO8 - Extra context menu item: &Traduire à partir de l'anglais - res://D:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.htmlO8 - Extra context menu item: Pages liées - res://D:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Recherche &Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cabO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O20 - Winlogon Notify: awvts - D:\WINDOWS\SYSTEM32\awvts.dllO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32
vsvc32.exeO23 - Service: MS Dns Service (WinNet) - Unknown owner - D:\WINDOWS\system32\wincntrl.exa+

Utilisateur anonyme · Answer

Bonjour, Méthode à suivre dans l'ordre... ---------------------------------------------------------------------------- ¤Télécharge ces logiciels mais que tu n‘utilises pas tout de suite: 1/ Spybot S&D 1.4 <exécuter->tape: services.msc Double-clique: Service: MS Dns Service Règle-le sur "Arrêté" et "Désactivé". ---------------------------------------------------------------------------- ¤ Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines… ---------------------------------------------------------------------------- ¤ Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines… ---------------------------------------------------------------------------- ¤ Vide ta Corbeille. ---------------------------------------------------------------------------- ¤ Redémarre en mode normal, relance Hijackthis et copie/colle un nouveau rapport sur le forum. Précise tes soucis s’il en reste.... Tiens-moi au courant A+

cms · Answer

ds mon compte\...	emp et windows	emp 2-3 fichiers st inéffaçables car "utilisés par un autre pg" et y a pas de dossier temp ds all users.je continue qd même ton plan ou il faut d'abord regler ça ?ps : avant ta réponse j'avais renvoyé bitdefender . voici le log :BitDefender Online Scanner     Scan report generated at: Sat, Nov 05, 2005 - 12:44:27       Scan path: A:\;C:\;D:\;E:\;F:\;           Statistics Time 00:19:33 Files 45891 Folders 1987 Boot Sectors 4 Archives 597 Packed Files 3916      Results Identified Viruses  3 Infected Files  4 Suspect Files  0 Warnings 0 Disinfected 0 Deleted Files 1      Engines Info Virus Definitions 232681 Engine build AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29) Scan plugins 13 Archive plugins 39 Unpack plugins 4 E-mail plugins 6 System plugins 1      Scan Settings First Action Disinfect Second Action Delete Heuristics Yes Enable Warnings Yes Scanned Extensions exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas; Exclude Extensions   Scan Emails Yes Scan Archives Yes Scan Packed Yes Scan Files Yes Scan Boot Yes        Scanned File  Status D:\WINDOWS\system32\BHSV.EXE Infected with: Backdoor.SDBot.AHX D:\WINDOWS\system32\BHSV.EXE Disinfection failed D:\WINDOWS\system32\BHSV.EXE Delete failed D:\WINDOWS\system32\eraseme_24577.exe Infected with: Backdoor.RBot.FBU D:\WINDOWS\system32\eraseme_24577.exe Disinfection failed D:\WINDOWS\system32\eraseme_24577.exe Deleted D:\WINDOWS\system32
otepaad.exe Infected with: Backdoor.SDBot.99D12D38 D:\WINDOWS\system32
otepaad.exe Disinfection failed D:\WINDOWS\system32
otepaad.exe Delete failed D:\WINDOWS\system32\wincntrl.exe Infected with: Backdoor.RBot.FBU D:\WINDOWS\system32\wincntrl.exe Disinfection failed D:\WINDOWS\system32\wincntrl.exe Delete failed

Utilisateur anonyme · Answer

salut cms
utilise ce programme
Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci à Balltrap34).
http://pageperso.aol.fr/balltrap34/democleanup.htm

et ensuite, continue la procedure (relancer hijack this et fixer....)

cms · Answer

cleanup n'a pas réussi à les virer .Je continue qd même ?a+

Utilisateur anonyme · Answer

oui, tu continueet lorsque tu passeras en mode "sans echec"tu essaierais de les supprimera+

cms · Answer

j'ai tout fait , voici le déroulement des opérations :en mode sans echec, les 2 fichiers temp récalcitrants avaient disparu ...les 3 fichiers notepaad, BHSV et winctrl étaient en fichier systeme, les petits s...même notepaad qui était avant visible!bref tout s'est a priori bien passé, là je n'ai plus ce msg bizarre en allumant l'ordi, et le proc a l'air d'etre utiliser normalement (c'était le gros pb avant, il tournait quasiment tt le tps à 100% ce qui bloquait tt)bref t'es un génie !!!!!!!!un grand grand merci !voici le dernier HJT. Note que les lignes sur "awvts.dl" sont toujours là. c'est normal ?********************Logfile of HijackThis v1.99.1Scan saved at 13:50:53, on 05/11/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:D:\WINDOWS\System32\smss.exeD:\WINDOWS\system32\winlogon.exeD:\WINDOWS\system32\services.exeD:\WINDOWS\system32\lsass.exeD:\WINDOWS\system32\svchost.exeD:\WINDOWS\System32\svchost.exeD:\WINDOWS\system32\spoolsv.exeD:\Program Files\Avast4\aswUpdSv.exeD:\Program Files\Avast4\ashServ.exeD:\WINDOWS\Explorer.EXED:\WINDOWS\System32
vsvc32.exeD:\WINDOWS\System32\RUNDLL32.EXED:\PROGRA~1\Avast4\ashDisp.exeD:\Program Files\Avast4\ashMaiSv.exeD:\Program Files\Avast4\ashWebSv.exeD:\HijackThis\HijackThis.exeD:\Program Files\Avast4\setup\avast.setupR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.aliceadsl.fr/default.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = France Télécom CâbleR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - D:\WINDOWS\system32\awvts.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [avast!] D:\PROGRA~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exeO8 - Extra context menu item: &Traduire à partir de l'anglais - res://D:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.htmlO8 - Extra context menu item: Pages liées - res://D:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Recherche &Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cabO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O20 - Winlogon Notify: awvts - D:\WINDOWS\SYSTEM32\awvts.dllO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32
vsvc32.exe******************une dernière petite question : pour que ça n'arrive plus, que me conseilles tu ? j'ai pas trop les moyens là d'acheter un av, donc là j'ai avast. ça suffit tu crois ?encore merci et à + !!!!!!!!!!!!!!!!!!!

cms · Answer

j'ai peut etre parler trop vite .... le proc est encore à 100%, c'est svchosts qui bouffe tt.mais d'autres fois c'est explorer ...
c peut etre que le proc est mort ?ou encore un virus? qu'en penses tu ?
a+

Utilisateur anonyme · Answer

Salut,

Imprime, ou enregistre ceci dans le bloc note pour ne rien oublier.

Désactive la restauration système
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système".

et reboot le pc normalement (pas en mode sans échec)

1/

télécharge : process xp ici:
http://www.sysinternals.com/files/procexpnt.zip

Télécharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe

:: Démo d utilisation (merci a Balltrap34 pour cette réalisation) ::
http://pageperso.aol.fr/balltrap34/killbox.htm

2/

Déconnecte toi du net.
Ferme tous les programmes en cours (média player, internet explorer, ...etc)

Dézippe (clic droit > extraire) process xp et double clic sur processxp.exe

* Dans la fenêtre principale de processxp double clic sur winlogon.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionne seulement les lignes qui contiennent awvts.dll puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec ok

* Dans la fenêtre principale de processxp double clic sur explorer.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionner seulement les lignes qui contiennent awvts.dll puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec ok

3/

puis lancer HijackThis:

clique sur "do a system scan only"

* Cocher la case au début de ces lignes:

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - D:\WINDOWS\system32\awvts.dll

O20 - Winlogon Notify: awvts - D:\WINDOWS\SYSTEM32\awvts.dll

* Valider avec fix checked

5/

Double clic sur killbox.exe (Pocket Killbox)

- coche: delete on reboot
- Dans "Full Path of File to Delete"
copie et colle:

D:\WINDOWS\SYSTEM32\awvts.dll

- clique sur la croix rouge
- une fenêtre va apparaître pour confirmation clique sur YES
- une seconde fenêtre te demande si tu veux redémarrer clique sur YES

Laisse le pc redémarrer.
Et après reposte un log HijackThis.

A+

cms · Answer

Re salut regis !j'ai tout fait et awvts.dll est tjrs là ! pourtant ds le dossier de killbox il y a ce fichier aussi (j'imagine la version qu'il a effacé)note que killbox m'a pas demandé de confirmation qd je l'ai "tué". il apparait pourtant ds le log de killbox.qd au HJT, c'est le même que précedemment avec les 2 lignes sur awvst, le voici :*****************Logfile of HijackThis v1.99.1Scan saved at 18:32:14, on 05/11/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:D:\WINDOWS\System32\smss.exeD:\WINDOWS\system32\winlogon.exeD:\WINDOWS\system32\services.exeD:\WINDOWS\system32\lsass.exeD:\WINDOWS\system32\svchost.exeD:\WINDOWS\System32\svchost.exeD:\WINDOWS\system32\spoolsv.exeD:\WINDOWS\Explorer.EXED:\Program Files\Avast4\aswUpdSv.exeD:\Program Files\Avast4\ashServ.exeD:\WINDOWS\System32\RUNDLL32.EXED:\PROGRA~1\Avast4\ashDisp.exeD:\WINDOWS\System32
vsvc32.exeD:\Program Files\Avast4\ashMaiSv.exeD:\Program Files\Avast4\ashWebSv.exeD:\Program Files\Internet Explorer\IEXPLORE.EXED:\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.aliceadsl.fr/default.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = France Télécom CâbleR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - D:\WINDOWS\system32\awvts.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [avast!] D:\PROGRA~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exeO8 - Extra context menu item: &Traduire à partir de l'anglais - res://D:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.htmlO8 - Extra context menu item: Pages liées - res://D:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Recherche &Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cabO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O20 - Winlogon Notify: awvts - D:\WINDOWS\SYSTEM32\awvts.dllO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32
vsvc32.exe************************que faire ? merci de ton aidea+

balltrap34 · Answer

regis si cela na pas ete fait un petit coup de l2mfix option 2et recommencer ensuite toutes la procedureentre autre je sais pas si tu as remarquer je ne fait plus enlever la restauration meme si elle est veroler elle peut servir a relancer la becane en cas de mauvaise manipet seulement a la fin quand la becane est propre suppr la restauration et ensuite ont la remet et ont cré un point de resto propre

cms · Answer

les gars, je suis désolé, j'avais oublié une petite étape ... celle avec winlogon ds processXP ....dsl !dc j'ai tt refait et là plus de awvts ! comme quoi un processus de "virage" de virus est une chose très précise, et c pour ça que vous nous etes très précieux !!par contre, le HJT révèle le retour de ........notepaad !!! ce cher ami ....que faire ?a+ps : le HJT :******Logfile of HijackThis v1.99.1Scan saved at 19:05:02, on 05/11/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:D:\WINDOWS\System32\smss.exeD:\WINDOWS\system32\winlogon.exeD:\WINDOWS\system32\services.exeD:\WINDOWS\system32\lsass.exeD:\WINDOWS\system32\svchost.exeD:\WINDOWS\System32\svchost.exeD:\WINDOWS\Explorer.EXED:\WINDOWS\system32\spoolsv.exeD:\Program Files\Avast4\aswUpdSv.exeD:\Program Files\Avast4\ashServ.exeD:\WINDOWS\System32
vsvc32.exeD:\WINDOWS\System32\RUNDLL32.EXED:\PROGRA~1\Avast4\ashDisp.exeD:\WINDOWS\System32
otepaad.exeD:\Program Files\Avast4\ashMaiSv.exeD:\Program Files\Avast4\ashWebSv.exeD:\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.aliceadsl.fr/default.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = France Télécom CâbleR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [avast!] D:\PROGRA~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [CloneCDTray] "D:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /sO4 - HKLM\..\Run: [notes] notepaad.exeO4 - HKLM\..\RunServices: [notes] notepaad.exeO8 - Extra context menu item: &Traduire à partir de l'anglais - res://D:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.htmlO8 - Extra context menu item: Pages liées - res://D:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Recherche &Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cabO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32
vsvc32.exe************

balltrap34 · Answer

salut refait le reg je l est modifierouvre le bloc note et copie colle ceci entre les etoiles ********** REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run] "notes"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices] "notes"=- [HKEY_CURRENT_USER\Software\Microsoft\OLE] "notes"=- ************ enregistre le sur ton bureau et nomme le www.reg et dans la case en dessous type met sur tous fichiers la vas sur ton bureau et double clik sur se fichier que tu vient de faire et accepte la fusion avec le registre

cms · Answer

et j'essaie de supprimer notepaad ET eraseme (car lui aussi est revenu) manuellement ?merci et à+

balltrap34 · Answer

oui fait comme cela

cms · Answer

alors le fichier www.reg m'a permis d'effacer eraseme mais pas notepaadalors j'ai refait le 1er processus et comme avant notepaad a bien disparu, mais jusqu'à quand. peut etre que c awvts qui la fait re venir vu qu'il est réapparu qd j'ai effacé awvts ?2ème question bete : vu que notepaad et eraseme avaient l'air d'avoir bien disparu, c possible que soit qq'un à distance qui me les remet par le net ?voilà le dernier HJT :Running processes:D:\WINDOWS\System32\smss.exeD:\WINDOWS\system32\winlogon.exeD:\WINDOWS\system32\services.exeD:\WINDOWS\system32\lsass.exeD:\WINDOWS\system32\svchost.exeD:\WINDOWS\System32\svchost.exeD:\WINDOWS\system32\spoolsv.exeD:\Program Files\Avast4\aswUpdSv.exeD:\Program Files\Avast4\ashServ.exeD:\WINDOWS\Explorer.EXED:\WINDOWS\System32
vsvc32.exeD:\WINDOWS\System32\RUNDLL32.EXED:\PROGRA~1\Avast4\ashDisp.exeD:\Program Files\Avast4\ashWebSv.exeD:\Program Files\Avast4\ashMaiSv.exeD:\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.aliceadsl.fr/default.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = France Télécom CâbleR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [avast!] D:\PROGRA~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [CloneCDTray] "D:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /sO8 - Extra context menu item: &Traduire à partir de l'anglais - res://D:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.htmlO8 - Extra context menu item: Pages liées - res://D:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Recherche &Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cabO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32
vsvc32.exemerci pour tt. à +

balltrap34 · Answer

il ni a plus rien dans ton hijack!

cms · Answer

oui ! grace à vous 2 !! c vraiment simpa d'aider les novices comme moi !mais ... notepaad, il va pluys revenir là ?a+

Utilisateur anonyme · Answer

salut balltrap,ben la je voyais pas l utilité de lm2fix etant donné que c etait le trojan vundo, fallait faire scrupulement pas manip...Pour la restau, tu penses qu il vo mieux la laisser et des qu il y a plus de soucis de desactiver/reactiver la restau ?a+

cms · Answer

re re re ... salut regis !et oui notepaad est déjà revenu ! 2 lignes ds le HJt et les symptômes habituels ....essayer killbox pour lui ?a+

Utilisateur anonyme · Answer

salutbha , j aimerais looker sur ce rapport stp ( cest pour mon info)Telecharge cecihttp://www.silentrunners.org/Silent%20Runners.vbs Execute le,atends quelques minutes, il va creer ensuite un dossier juste a coté de silent runner sous format texte, copie/colle ce qu il te donneraA+

cms · Answer

voici le rapport :***********************"Silent Runners.vbs", revision 41, http://www.silentrunners.org/Operating System: Windows XPOutput limited to non-default values, except where indicated by "{++}"Startup items buried in registry:---------------------------------HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}"NvCplDaemon" = "RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]"KernelFaultCheck" = "D:\WINDOWS\system32\dumprep 0 -k" [MS]"NvMediaCenter" = "RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]"avast!" = "D:\PROGRA~1\Avast4\ashDisp.exe" [null data]"NeroFilterCheck" = "D:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]"CloneCDTray" = ""D:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s" ["SlySoft, Inc."]"MSConfig" = "D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto" [MS]HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)  -> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]  -> {CLSID}\InProcServer32\(Default) = "d:\program files\google\googletoolbar1.dll" ["Google Inc."]HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"  -> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"  -> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"  -> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"  -> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"  -> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"  -> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\System32\Audiodev.dll" [MS]"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"  -> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\System32\Audiodev.dll" [MS]"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"  -> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"  -> {CLSID}\InProcServer32\(Default) = "D:\Program Files\Avast4\ashShell.dll" ["ALWIL Software"]HKLM\Software\Classes\*\shellex\ContextMenuHandlers\avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"  -> {CLSID}\InProcServer32\(Default) = "D:\Program Files\Avast4\ashShell.dll" ["ALWIL Software"]HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"  -> {CLSID}\InProcServer32\(Default) = "D:\Program Files\Avast4\ashShell.dll" ["ALWIL Software"]Active Desktop and Wallpaper:-----------------------------Active Desktop is disabled at this entry:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellStateHKCU\Control Panel\Desktop\"Wallpaper" = "D:\Documents and Settings\olivier.X-ZDU399CCEPUED\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"Enabled Screen Saver:---------------------HKCU\Control Panel\Desktop\"SCRNSAVE.EXE" = "D:\WINDOWS\System32\logon.scr" [MS]Winsock2 Service Provider DLLs:-------------------------------Namespace Service ProvidersHKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]Transport Service ProvidersHKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05Toolbars, Explorer Bars, Extensions:------------------------------------ToolbarsHKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]  -> {CLSID}\InProcServer32\(Default) = "d:\program files\google\googletoolbar1.dll" ["Google Inc."]HKLM\Software\Microsoft\Internet Explorer\Toolbar\"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]  -> {CLSID}\InProcServer32\(Default) = "d:\program files\google\googletoolbar1.dll" ["Google Inc."]Extensions (Tools menu items, main toolbar menu buttons)HKLM\Software\Microsoft\Internet Explorer\Extensions\{85D1F590-48F4-11D9-9669-0800200C9A66}\"MenuText" = "Uninstall BitDefender Online Scanner v8""Exec" = "%windir%\bdoscandel.exe" [null data]Miscellaneous IE Hijack Points------------------------------D:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")Added lines (compared with English-language version):[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"Missing lines (compared with English-language version):[Strings]: 1 lineRunning Services (Display Name, Service Name, Path {Service DLL}):------------------------------------------------------------------avast! Antivirus, avast! Antivirus, ""D:\Program Files\Avast4\ashServ.exe"" [null data]avast! iAVS4 Control Service, aswUpdSv, ""D:\Program Files\Avast4\aswUpdSv.exe"" [null data]avast! Mail Scanner, avast! Mail Scanner, ""D:\Program Files\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]avast! Web Scanner, avast! Web Scanner, ""D:\Program Files\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]NVIDIA Display Driver Service, NVSvc, "D:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]Windows User Mode Driver Framework, UMWdf, "D:\WINDOWS\System32\wdfmgr.exe" [MS]----------+ This report excludes default entries except where indicated.+ To see *everywhere* the script checks and *everything* it finds,  launch it from a command prompt or a shortcut with the -all parameter.+ To search all directories of local fixed drives for DESKTOP.INI  DLL launch points and all Registry CLSIDs for dormant Explorer Bars,  use the -supp parameter or answer "No" at the first message box.---------- (total run time: 49 seconds, including 18 seconds for message boxes)*************************toi qui es habitué aux virus, il est coriace celui là non ?et on fait quoi maintenant ?formatage ......?a+

Utilisateur anonyme · Answer

salut cmsle formatage on connait pas ici lol (faut vraiment que ce soit perdu ou qu on sache pas mais a mon avis, c est pas pour maintenant)met un hijack thisa+

cms · Answer

ps : avant ton msg, j'avais désactiver notepaad ds le menu démarrage de msconfig. je dis ça pour pas que ton rapport soit peut etre faussé

Utilisateur anonyme · Answer

re,j ai poste au 34Reactive le dans msconfiget remet un log hijack this + silent runnera+

cms · Answer

je plaisantais pour le formatage ... moi aussi j'ai envie de niquer cette bestiole!!!!pour le log de HJT, comme d'habitude ça marche pas et il faut que je reboot pour l'avoir.à de suite !

cms · Answer

le voici :Running processes:D:\WINDOWS\System32\smss.exeD:\WINDOWS\system32\winlogon.exeD:\WINDOWS\system32\services.exeD:\WINDOWS\system32\lsass.exeD:\WINDOWS\system32\svchost.exeD:\WINDOWS\System32\svchost.exeD:\WINDOWS\system32\logonui.exeD:\WINDOWS\system32\spoolsv.exeD:\WINDOWS\Explorer.EXED:\WINDOWS\System32\RUNDLL32.EXED:\PROGRA~1\Avast4\ashDisp.exeD:\Program Files\Avast4\aswUpdSv.exeD:\Program Files\Avast4\ashServ.exeD:\WINDOWS\System32
vsvc32.exeD:\Program Files\Avast4\ashMaiSv.exeD:\Program Files\Avast4\ashWebSv.exeD:\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.aliceadsl.fr/default.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = France Télécom CâbleR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [avast!] D:\PROGRA~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [CloneCDTray] "D:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /sO4 - HKLM\..\RunServices: [notes] notepaad.exeO8 - Extra context menu item: &Traduire à partir de l'anglais - res://D:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.htmlO8 - Extra context menu item: Pages liées - res://D:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Recherche &Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cabO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32
vsvc32.exe

Utilisateur anonyme · Answer

re,relance hijack this et fixe ceciO4 - HKLM\..\RunServices: [notes] notepaad.exe **ouvre le bloc note et copie colle ceci entre les etoiles ********** REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run] "notes"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices] "notes"=- [HKEY_CURRENT_USER\Software\Microsoft\OLE] "notes"=- ************ enregistre le sur ton bureau et nomme le www.reg et dans la case en dessous type met sur tous fichiers la vas sur ton bureau et double clik sur se fichier que tu vient de faire et accepte la fusion avec le registre et surtout tu n y touche plus !Tu redemarres ton pc et dis moi ou en sont tes soucisa+

cms · Answer

j'avais pas vu le msg n°36 ...dslen fait, qd j'ai été ds msconfig, il s'était réactiver tt seul !voici les log :************************"Silent Runners.vbs", revision 41, http://www.silentrunners.org/Operating System: Windows XPOutput limited to non-default values, except where indicated by "{++}"Startup items buried in registry:---------------------------------HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}"NvCplDaemon" = "RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]"KernelFaultCheck" = "D:\WINDOWS\system32\dumprep 0 -k" [MS]"NvMediaCenter" = "RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]"avast!" = "D:\PROGRA~1\Avast4\ashDisp.exe" [null data]"NeroFilterCheck" = "D:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]"CloneCDTray" = ""D:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s" ["SlySoft, Inc."]"notes" = "notepaad.exe" [null data]"MSConfig" = "D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto" [MS]HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)  -> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]  -> {CLSID}\InProcServer32\(Default) = "d:\program files\google\googletoolbar1.dll" ["Google Inc."]HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"  -> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"  -> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"  -> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"  -> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"  -> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"  -> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\System32\Audiodev.dll" [MS]"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"  -> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\System32\Audiodev.dll" [MS]"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"  -> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"  -> {CLSID}\InProcServer32\(Default) = "D:\Program Files\Avast4\ashShell.dll" ["ALWIL Software"]HKLM\Software\Classes\*\shellex\ContextMenuHandlers\avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"  -> {CLSID}\InProcServer32\(Default) = "D:\Program Files\Avast4\ashShell.dll" ["ALWIL Software"]HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"  -> {CLSID}\InProcServer32\(Default) = "D:\Program Files\Avast4\ashShell.dll" ["ALWIL Software"]Active Desktop and Wallpaper:-----------------------------Active Desktop is disabled at this entry:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellStateHKCU\Control Panel\Desktop\"Wallpaper" = "D:\Documents and Settings\olivier.X-ZDU399CCEPUED\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"Enabled Screen Saver:---------------------HKCU\Control Panel\Desktop\"SCRNSAVE.EXE" = "D:\WINDOWS\System32\logon.scr" [MS]Winsock2 Service Provider DLLs:-------------------------------Namespace Service ProvidersHKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]Transport Service ProvidersHKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05Toolbars, Explorer Bars, Extensions:------------------------------------ToolbarsHKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]  -> {CLSID}\InProcServer32\(Default) = "d:\program files\google\googletoolbar1.dll" ["Google Inc."]HKLM\Software\Microsoft\Internet Explorer\Toolbar\"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]  -> {CLSID}\InProcServer32\(Default) = "d:\program files\google\googletoolbar1.dll" ["Google Inc."]Extensions (Tools menu items, main toolbar menu buttons)HKLM\Software\Microsoft\Internet Explorer\Extensions\{85D1F590-48F4-11D9-9669-0800200C9A66}\"MenuText" = "Uninstall BitDefender Online Scanner v8""Exec" = "%windir%\bdoscandel.exe" [null data]Miscellaneous IE Hijack Points------------------------------D:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")Added lines (compared with English-language version):[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"Missing lines (compared with English-language version):[Strings]: 1 lineRunning Services (Display Name, Service Name, Path {Service DLL}):------------------------------------------------------------------avast! Antivirus, avast! Antivirus, ""D:\Program Files\Avast4\ashServ.exe"" [null data]avast! iAVS4 Control Service, aswUpdSv, ""D:\Program Files\Avast4\aswUpdSv.exe"" [null data]avast! Mail Scanner, avast! Mail Scanner, ""D:\Program Files\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]avast! Web Scanner, avast! Web Scanner, ""D:\Program Files\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]NVIDIA Display Driver Service, NVSvc, "D:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]Windows User Mode Driver Framework, UMWdf, "D:\WINDOWS\System32\wdfmgr.exe" [MS]----------+ This report excludes default entries except where indicated.+ To see *everywhere* the script checks and *everything* it finds,  launch it from a command prompt or a shortcut with the -all parameter.+ The search for DESKTOP.INI DLL launch points on all local fixed drives  took 24 seconds.+ The search for all Registry CLSIDs containing dormant Explorer Bars  took 16 seconds.---------- (total run time: 78 seconds)*****************pour HJT, comme d'habitude, je dois rebooter ....a+

Utilisateur anonyme · Answer

salutd accord merciessai le poste 39a+

cms · Answer

j'ai le log de HJTpetite question : c'est quoi"j'ai poste au 34" et "essaie le poste 39" ?***************Running processes:D:\WINDOWS\System32\smss.exeD:\WINDOWS\system32\winlogon.exeD:\WINDOWS\system32\services.exeD:\WINDOWS\system32\lsass.exeD:\WINDOWS\system32\svchost.exeD:\WINDOWS\System32\svchost.exeD:\WINDOWS\system32\userinit.exeD:\WINDOWS\Explorer.EXED:\WINDOWS\system32\spoolsv.exeD:\WINDOWS\System32\RUNDLL32.EXED:\PROGRA~1\Avast4\ashDisp.exeD:\WINDOWS\System32
otepaad.exeD:\Program Files\Avast4\aswUpdSv.exeD:\Program Files\Avast4\ashServ.exeD:\WINDOWS\System32
vsvc32.exeD:\Program Files\Avast4\ashWebSv.exeD:\Program Files\Avast4\ashMaiSv.exeD:\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.aliceadsl.fr/default.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = France Télécom CâbleR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [avast!] D:\PROGRA~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [CloneCDTray] "D:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /sO4 - HKLM\..\Run: [notes] notepaad.exeO4 - HKLM\..\RunServices: [notes] notepaad.exeO8 - Extra context menu item: &Traduire à partir de l'anglais - res://D:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.htmlO8 - Extra context menu item: Pages liées - res://D:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Recherche &Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cabO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32
vsvc32.exea+

Utilisateur anonyme · Answer

re, relance hijack this et fixe ceci O4 - HKLM\..\Run: [notes] notepaad.exe O4 - HKLM\..\RunServices: [notes] notepaad.exe ** ouvre le bloc note et copie colle ceci entre les etoiles ********** REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run] "notes"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices] "notes"=- [HKEY_CURRENT_USER\Software\Microsoft\OLE] "notes"=- ************ enregistre le sur ton bureau et nomme le www.reg et dans la case en dessous type met sur tous fichiers la vas sur ton bureau et double clik sur se fichier que tu vient de faire et accepte la fusion avec le registre et surtout tu n y touche plus ! Tu redemarres ton pc et dis moi ou en sont tes soucis a+

balltrap34 · Answer

re et si le 39 ne marche pas fait celui ci ouvre le bloc note et copie colle ceci entre les etoiles**********REGEDIT4[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"notepaad.exe"=-[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
otes] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
otes] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
otes] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services
otes] ************enregistre le sur ton bureau et nomme le xxx.reget dans la case en dessous type met sur tous fichiersla vas sur ton bureau et double clik sur se fichier que tu vient de faire et accepte la fusion avec le registre

cms · Answer

c'est fait . ds le HJT y a plus notepaad mais jusqu'à qd ?parce qu'il est tjrs ds system32 et ds prefetch ... il fallait que je fasse le 1er processus, ou que j'efface les fichiers ?a+

balltrap34 · Answer

suppr le des deux

cms · Answer

ok, c fait !j'attends de voir si ça revient.a+ les gars !

cms · Answer

re !alors pour l'instant plus de notepaad, mais le systeme rame tjrs ! j'ai du rebooter 2 fois pour avoir acces au poste de travail !alors j'ai refait un HJT, trouver une nouvelle ligne, l'ai testée sur virus total, et 4 av trouve un virus ! voici le HJT (c'est la drenière ligne le pb) :Running processes:D:\WINDOWS\System32\smss.exeD:\WINDOWS\system32\winlogon.exeD:\WINDOWS\system32\services.exeD:\WINDOWS\system32\lsass.exeD:\WINDOWS\system32\svchost.exeD:\WINDOWS\System32\svchost.exeD:\WINDOWS\Explorer.EXED:\WINDOWS\system32\spoolsv.exeD:\WINDOWS\System32\RUNDLL32.EXED:\PROGRA~1\Avast4\ashDisp.exeD:\Program Files\Avast4\aswUpdSv.exeD:\Program Files\Avast4\ashServ.exeD:\WINDOWS\System32
vsvc32.exeD:\WINDOWS\system32\wstime.exeD:\Program Files\Avast4\ashWebSv.exeD:\Program Files\Avast4\ashMaiSv.exeD:\WINDOWS\System32	askmgr.exeD:\Program Files\Internet Explorer\IEXPLORE.EXED:\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.aliceadsl.fr/default.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = France Télécom CâbleR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [avast!] D:\PROGRA~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [CloneCDTray] "D:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /sO8 - Extra context menu item: &Traduire à partir de l'anglais - res://D:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.htmlO8 - Extra context menu item: Pages liées - res://D:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Recherche &Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cabO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32
vsvc32.exeO23 - Service: Windows Time Sync (wservertime) - Unknown owner - D:\WINDOWS\system32\wstime.exeà votre avis, c tjrs la même chose ou c un nouvea

cms · Answer

erreur de tape ! dsldc : nouveau virus ou pas ? car si je chope un nouveau virus ttes les 10 min, ça commence à devenir très ....merci de votre aidea+

Utilisateur anonyme · Answer

re fais tes mises a jour, met le sp2http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=frbonne nuit au forum

cms · Answer

ciao regis.merci pour ton aide bonne soirée à ts !

balltrap34 · Answer

et quelle pare feu a tu je me souvient pas

jean38 · Answer

et sans pare feu t'a de la chance que ce ne soit que toutes les 10 mn, en moyenne, ce doit être 20 scd... lol.Jean

Utilisateur anonyme · Answer

salut jean, salut gerard (ton pc a planté?? prkoi? ou tu avais merder?)Ca serait bien deja les maj de windows avec soit le pack 1 ou 2 (sinon reinfection direct)Et de mmee pour le pare feu:Tu n as qu un antivirus, ce serait bien d en mettre un, 3solutions:-zone alarm-kerio-look n stophttp://www.commentcamarche.net/protect/firewall.php3 http://www.inoculer.com/firewall5.php3 A+

cms · Answer

salut à tous !pour le parefeu, j'en avais un avant mais ça me bloquait bcp de choses et il était difficile de regler les pg autorisés . mais je vais en remettre un de ceux que vous me conseillez .qd à mon dernier virus, je fais quoi SVP ? (cf dernier HJT ci dessus)sinon, je vais voir pour le SP2 a+

Utilisateur anonyme · Answer

salut1/installe un pare feu2/met a jour windows, met le sp2http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=fr3/Lance ce scan en ligne: http://www.bitdefender.fr/scan8/ie.html  Copie/colle le rapport4/a bientot

cms · Answer

salut regis !des nouvelles depuis tt à l'heure :1: chaque fois que je rebootais, j'arrivais jusqu'au bureau et je ne pouvais rien faire ! (pas de net, pas pgs, pas de poste de travail ...)dc, pris d'un petit ras le bol ..... j'ai formaté (j'ai honte ...)2: je réinstalle windows, un parefeu (zone alarme), un av (avast) et seulement après, me branche sur le net3: tt va bien jusqu'à un nouvel invité : dlhost . le pb, vu que je venais de commencer sur le net, zone aalarm me demandait pleins d'autorisations et j'ai accepté par erreur dlhost !! je l'ai après corrigé ds ZA mais là il est bien là (testé sur virus total, mais non reconnu par bitdefender )voici le dernier HJT, si tu pouvais m'aider encore ....merci !ps: je suis en train d'installer SP2 ...**************Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\RUNDLL32.EXEC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\PROGRA~1\Avast4\ashDisp.exeC:\Program Files\Avast4\aswUpdSv.exeC:\Program Files\Avast4\ashServ.exeC:\WINDOWS\dlhost.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\system32\ZoneLabs\vsmon.exeC:\Program Files\Avast4\ashMaiSv.exeC:\Program Files\Avast4\ashWebSv.exeC:\WINDOWS\explorer.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\WINDOWS\System32\wuauclt.exeC:\HJT\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.aliceadsl.fr/default.phpR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exeO8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.htmlO8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131288521034O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: DynamicHost (DLHOST) - Unknown owner - C:\WINDOWS\dlhost.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe******************a+

Utilisateur anonyme · Answer

salutC:\WINDOWS\dlhost.exe <---tu m as dis mauvais, okFixe ceciO23 - Service: DynamicHost (DLHOST) - Unknown owner - C:\WINDOWS\dlhost.exe Supprime ceciC:\WINDOWS\dlhost.exe ¤Arrête ces services :Clique sur Démarrer->exécuter->tape: services.msc Double-clique: Service: DynamicHost Règle-le sur "Arrêté" et "Désactivé". Redemarre et dis moi si c est bona+

cms · Answer

refixé avec HJt mais impossible de l'effaceret ds services.msc, je l'ai reglé sur desactivé(pour le démarrage) mais j'ai pas accès au choix arreté !que faire ?merci et à+

Utilisateur anonyme · Answer

re,redemarre ton pc !Verifie qu il a pas disparu sur le log; s il est toujours la:-Tu fixe la 023 en mode normal-tu redemarre en sans echec-tu supprime le cheminC:\WINDOWS\dlhost.exe -tu arretes le services-tu redemarres en normal et remet un loga+

cms · Answer

reje venais de redémarrer : il a bien disparu de HJT et j'ai pu l'effacer du disque. il apparait tjrs ds services.msc mais son statut est desactivé. c donc bon , non ?encore merci de ton aide et de ta patience !a+

Utilisateur anonyme · Answer

Oui, s il est desactive c est bon,verifie que ceci est supprimer egalementC:\WINDOWS\dlhost.exe et dis moi ou en sont tes soucisa+PS/ fais gaffe de pas autoriser n importe quoi ;-)

cms · Answer

merci du conseil ;-)en fait vu que je venais d'installer windows, que ce pg était ds le dossier windows, j'ai eu confiance ....bêtement !allez ciao, à+ !

Utilisateur anonyme · Answer

fais gaffe a toi lola+

Virus inéffaçable! help please (joint mon HJT

63 réponses

Votre réponse

Discussions similaires

Newsletters