84 fichiers infecters par 4 virus .... HELP!! Fermé

Question

Tout d'abord bonjour à tous,Je crois que j'ai fait très fort ce coup ci....J'ai formaté mon PC il y a 3 semaines environs et j'ai fait la grave erreur de ne pas reinstaller d'antivirus....Résultat aujourd'hui: Mon PC est pourris.Depuis 2 jours lorsque je le lance des que le bureau windows apparait le pc s'éteind et redemarre...De temps en temps il reste allumé et me permet de faire 2 ou 3 choses vite fait.Entre midi j'ai eu le temps de le scanner sur secuser.com et la le verdict est affreux:84 fichiers infectés par 3 ou 4 virus differents.- WORM RBOT.CRS (82 fichiers infectés et je n'ais pas la liste)- TROJ ROOTKIT.E (1 fichier infecté: rdriv.sys)- TROJ PROXY.BF (1 fichier infecté: srshostu.exe)plus un autre que secuser m'annonce avant même de démarrer le scan:- WORM MYTOBJ'ai lu un peu partout comment eradiquer rdriv.sys mais je ne sais pas si la manip est propre à une config ou si elle convient à tout le monde...Pour les autres aucune infos nul part (et ca ca m'inquiéte)Hier soir j'ai réussi un faire un hijackthis et voila ce que ca donne:Logfile of HijackThis v1.99.1Scan saved at 21:49:49, on 08/11/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\windows\system\hpsysdrv.exeC:\HP\KBD\KBD.EXEC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Creative\Shared Files\CAMTRAY.EXEC:\WINDOWS\System32\srwhost.exeC:\WINDOWS\System32\win32help.exeC:\WINDOWS\ALCXMNTR.EXEC:\x.exeC:\Program Files\ISTsvc\istsvc.exeC:\WINDOWS\phrnmu.exeC:\Program Files\SurfAccuracy\SAcc.exeC:\windows\mrjj.exeC:\Program Files\Internet Optimizer\optimize.exeC:\Program Files\Media Gateway\MediaGateway.exeC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\Program Files\Messenger\msmsgs.exeC:\WINDOWS\system32\srshost.exeC:\WINDOWS\System32\win32help.exeC:\WINDOWS\mspath.exeC:\WINDOWS\System32\R_SERVER.EXEC:\WINDOWS\System32\svchost.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\Propriétaire\Bureau\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr8.hpwis.com/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr8.hpwis.com/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lequipe.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr8.hpwis.com/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr8.hpwis.com/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr8.hpwis.com/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr8.hpwis.com/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr8.hpwis.com/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)O1 - Hosts: 127.0.2.5 www.symantec.comO1 - Hosts: 127.0.2.5 symantec.comO1 - Hosts: 127.0.2.5 securityresponse.symantec.comO1 - Hosts: 127.0.2.5 sarc.comO1 - Hosts: 127.0.2.5 www.sarc.comO1 - Hosts: 127.0.2.5 www.sophos.comO1 - Hosts: 127.0.2.5 sophos.comO1 - Hosts: 127.0.2.5 www.mcafee.comO1 - Hosts: 127.0.2.5 mcafee.comO1 - Hosts: 127.0.2.5 liveupdate.symantecliveupdate.comO1 - Hosts: 127.0.2.5 www.viruslist.comO1 - Hosts: 127.0.2.5 viruslist.comO1 - Hosts: 127.0.2.5 f-secure.comO1 - Hosts: 127.0.2.5 www.f-secure.comO1 - Hosts: 127.0.2.5 f-prot.comO1 - Hosts: 127.0.2.5 www.f-prot.comO1 - Hosts: 127.0.2.5 kaspersky.comO1 - Hosts: 127.0.2.5 kaspersky-labs.comO1 - Hosts: 127.0.2.5 www.avp.comO1 - Hosts: 127.0.2.5 avp.comO1 - Hosts: 127.0.2.5 www.kaspersky.comO1 - Hosts: 127.0.2.5 www.networkassociates.comO1 - Hosts: 127.0.2.5 networkassociates.comO1 - Hosts: 127.0.2.5 www.ca.comO1 - Hosts: 127.0.2.5 ca.comO1 - Hosts: 127.0.2.5 mast.mcafee.comO1 - Hosts: 127.0.2.5 my-etrust.comO1 - Hosts: 127.0.2.5 www.my-etrust.comO1 - Hosts: 127.0.2.5 download.mcafee.comO1 - Hosts: 127.0.2.5 dispatch.mcafee.comO1 - Hosts: 127.0.2.5 secure.nai.comO1 - Hosts: 127.0.2.5 nai.comO1 - Hosts: 127.0.2.5 www.nai.comO1 - Hosts: 127.0.2.5 vil.nai.comO1 - Hosts: 127.0.2.5 update.symantec.comO1 - Hosts: 127.0.2.5 updates.symantec.comO1 - Hosts: 127.0.2.5 us.mcafee.comO1 - Hosts: 127.0.2.5 liveupdate.symantec.comO1 - Hosts: 127.0.2.5 customer.symantec.comO1 - Hosts: 127.0.2.5 rads.mcafee.comO1 - Hosts: 127.0.2.5 trendmicro.comO1 - Hosts: 127.0.2.5 www.trendmicro.comO1 - Hosts: 127.0.2.5 housecall.trendmicro.comO1 - Hosts: 127.0.2.5 pandasoftware.comO1 - Hosts: 127.0.2.5 www.pandasoftware.comO1 - Hosts: 127.0.2.5 www.trendmicro.comO1 - Hosts: 127.0.2.5 free.grisoft.comO1 - Hosts: 127.0.2.5 www.grisoft.comO1 - Hosts: 127.0.2.5 grisoft.comO1 - Hosts: 127.0.2.5 clamav.netO1 - Hosts: 127.0.2.5 www.clamav.netO1 - Hosts: 127.0.2.5 free-av.comO1 - Hosts: 127.0.2.5 www.free-av.comO1 - Hosts: 127.0.2.5 www.avast.comO1 - Hosts: 127.0.2.5 avast.comO1 - Hosts: 127.0.2.5 cert.orgO1 - Hosts: 127.0.2.5 www.cert.orgO1 - Hosts: 127.0.2.5 www.microsoft.comO1 - Hosts: 127.0.2.5 microsoft.comO1 - Hosts: 127.0.2.5 www.virustotal.comO1 - Hosts: 127.0.2.5 virustotal.comO1 - Hosts: 127.0.2.5 update.microsoft.comO1 - Hosts: 127.0.2.5 windowsupdate.microsoft.comO2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS
em220.dllO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\zango\zangohook.dll (file missing)O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dllO2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\awtqp.dllO2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exeO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXEO4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /rO4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXEO4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetectO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [ShowShifter TVTV EPG Daemon] "C:\Program Files\Home Media Networks Limited\ShowShifter\TVTVD.exe"O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exeO4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXEO4 - HKLM\..\Run: [Microsoft Windows System] srwhost.exeO4 - HKLM\..\Run: [Microsoft Help] C:\WINDOWS\System32\win32help.exeO4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXEO4 - HKLM\..\Run: [Java] C:\x.exeO4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exeO4 - HKLM\..\Run: [WHky5] C:\WINDOWS\phrnmu.exeO4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exeO4 - HKLM\..\Run: [F ma] C:\windows\mrjj.exeO4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exeO4 - HKLM\..\RunServices: [Microsoft Windows System] srwhost.exeO4 - HKLM\..\RunServices: [Microsoft Help] C:\WINDOWS\System32\win32help.exeO4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHookO4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [svphost.exe] C:\WINDOWS\system32\svphost.exeO4 - HKCU\..\Run: [srshost.exe] C:\WINDOWS\system32\srshost.exeO4 - HKCU\..\Run: [Microsoft Help] C:\WINDOWS\System32\win32help.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dllO9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dllO15 - Trusted Zone: *.media-motor.netO15 - Trusted Zone: *.popuppers.comO16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/FR/install.cabO16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_mp3.cabO16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/joysaver.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005102501/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.tbcode.com/ist/softwares/v4.0/0006_adult.cabO16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c11.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cabO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O20 - Winlogon Notify: awtqp - C:\WINDOWS\System32\awtqp.dllO20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dllO23 - Service: microsoftdvdhelp (MicrosoftDVD) - Unknown owner - C:\WINDOWS\msdvd.exeO23 - Service: Microsoft Path Finder Service (MSpath) - Unknown owner - C:\WINDOWS\mspath.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\R_SERVER.EXE" /service (file missing)Je rajoute à cela que winfixer me saoul donc tant qu'a faire comment le virer ?Est ce que le fait que mon PC se relance 9 fois sur 10 au lancement de windows puisse etre expliqué par mes contaminations ?Je suis sous windows XPJe me débrouille mais je ne suis pas un pro , merci d'en tenir compte pour les explications.Enfin si j'ai bien compris tout ce que j'ai lu ailleurs, la meilleur facon de tout eradiquer est de le faire en une fois sinon il revienne automatiquement, c'est aussi pour ca que j'ai créer un nouveau sujet .....Je me demande si je vais réussir à récuperer mon PC ....Merci d'avance à tous ceux qui voudrons bien se lancer dans "l'aventure" avec moi...

Utilisateur anonyme · Answer

j y regardea+

babas57 · Answer

Merci d'avance Ca a l'air grave docteur ??!!..

Utilisateur anonyme · Answer

Bonjour, Méthode à suivre dans l'ordre... ---------------------------------------------------------------------------- ¤Télécharge ces logiciels mais que tu n‘utilises pas tout de suite: 1/ Spybot S&D 1.4 < extraire) process xp et double clic sur processxp.exe * Dans la fenêtre principale de processxp double clic sur winlogon.exe Dans la nouvelle fenêtre qui s'ouvre clique sur threads sélectionne seulement les lignes qui contiennent awtqp.dll puis clique sur kill pour chacune des lignes trouvées. une fois fait, valide avec ok * Dans la fenêtre principale de processxp double clic sur explorer.exe Dans la nouvelle fenêtre qui s'ouvre clique sur threads sélectionner seulement les lignes qui contiennent awtqp.dll puis clique sur kill pour chacune des lignes trouvées. une fois fait, valide avec ok ---------------------------------------------------------------------------- ¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked : R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O1 - Hosts: 127.0.2.5 www.symantec.com O1 - Hosts: 127.0.2.5 symantec.com O1 - Hosts: 127.0.2.5 securityresponse.symantec.com O1 - Hosts: 127.0.2.5 sarc.com O1 - Hosts: 127.0.2.5 www.sarc.com O1 - Hosts: 127.0.2.5 www.sophos.com O1 - Hosts: 127.0.2.5 sophos.com O1 - Hosts: 127.0.2.5 www.mcafee.com O1 - Hosts: 127.0.2.5 mcafee.com O1 - Hosts: 127.0.2.5 liveupdate.symantecliveupdate.com O1 - Hosts: 127.0.2.5 www.viruslist.com O1 - Hosts: 127.0.2.5 viruslist.com O1 - Hosts: 127.0.2.5 f-secure.com O1 - Hosts: 127.0.2.5 www.f-secure.com O1 - Hosts: 127.0.2.5 f-prot.com O1 - Hosts: 127.0.2.5 www.f-prot.com O1 - Hosts: 127.0.2.5 kaspersky.com O1 - Hosts: 127.0.2.5 kaspersky-labs.com O1 - Hosts: 127.0.2.5 www.avp.com O1 - Hosts: 127.0.2.5 avp.com O1 - Hosts: 127.0.2.5 www.kaspersky.com O1 - Hosts: 127.0.2.5 www.networkassociates.com O1 - Hosts: 127.0.2.5 networkassociates.com O1 - Hosts: 127.0.2.5 www.ca.com O1 - Hosts: 127.0.2.5 ca.com O1 - Hosts: 127.0.2.5 mast.mcafee.com O1 - Hosts: 127.0.2.5 my-etrust.com O1 - Hosts: 127.0.2.5 www.my-etrust.com O1 - Hosts: 127.0.2.5 download.mcafee.com O1 - Hosts: 127.0.2.5 dispatch.mcafee.com O1 - Hosts: 127.0.2.5 secure.nai.com O1 - Hosts: 127.0.2.5 nai.com O1 - Hosts: 127.0.2.5 www.nai.com O1 - Hosts: 127.0.2.5 vil.nai.com O1 - Hosts: 127.0.2.5 update.symantec.com O1 - Hosts: 127.0.2.5 updates.symantec.com O1 - Hosts: 127.0.2.5 us.mcafee.com O1 - Hosts: 127.0.2.5 liveupdate.symantec.com O1 - Hosts: 127.0.2.5 customer.symantec.com O1 - Hosts: 127.0.2.5 rads.mcafee.com O1 - Hosts: 127.0.2.5 trendmicro.com O1 - Hosts: 127.0.2.5 www.trendmicro.com O1 - Hosts: 127.0.2.5 housecall.trendmicro.com O1 - Hosts: 127.0.2.5 pandasoftware.com O1 - Hosts: 127.0.2.5 www.pandasoftware.com O1 - Hosts: 127.0.2.5 www.trendmicro.com O1 - Hosts: 127.0.2.5 free.grisoft.com O1 - Hosts: 127.0.2.5 www.grisoft.com O1 - Hosts: 127.0.2.5 grisoft.com O1 - Hosts: 127.0.2.5 clamav.net O1 - Hosts: 127.0.2.5 www.clamav.net O1 - Hosts: 127.0.2.5 free-av.com O1 - Hosts: 127.0.2.5 www.free-av.com O1 - Hosts: 127.0.2.5 www.avast.com O1 - Hosts: 127.0.2.5 avast.com O1 - Hosts: 127.0.2.5 cert.org O1 - Hosts: 127.0.2.5 www.cert.org O1 - Hosts: 127.0.2.5 www.microsoft.com O1 - Hosts: 127.0.2.5 microsoft.com O1 - Hosts: 127.0.2.5 www.virustotal.com O1 - Hosts: 127.0.2.5 virustotal.com O1 - Hosts: 127.0.2.5 update.microsoft.com O1 - Hosts: 127.0.2.5 windowsupdate.microsoft.com O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS em220.dll O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\zango\zangohook.dll (file missing) O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\awtqp.dll O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll O4 - HKLM\..\Run: [Microsoft Windows System] srwhost.exe O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE O4 - HKLM\..\Run: [Java] C:\x.exe O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [WHky5] C:\WINDOWS\phrnmu.exe O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe O4 - HKLM\..\Run: [F ma] C:\windows\mrjj.exe O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe O4 - HKLM\..\RunServices: [Microsoft Windows System] srwhost.exe O4 - HKLM\..\RunServices: [Microsoft Help] C:\WINDOWS\System32\win32help.exe O4 - HKCU\..\Run: [svphost.exe] C:\WINDOWS\system32\svphost.exe O4 - HKCU\..\Run: [srshost.exe] C:\WINDOWS\system32\srshost.exe O4 - HKCU\..\Run: [Microsoft Help] C:\WINDOWS\System32\win32help.exe O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll O15 - Trusted Zone: *.media-motor.net O15 - Trusted Zone: *.popuppers.com O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_mp3.cab O16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/joysaver.cab O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.tbcode.com/ist/softwares/v4.0/0006_adult.cab O20 - Winlogon Notify: awtqp - C:\WINDOWS\System32\awtqp.dll O23 - Service: Microsoft Path Finder Service (MSpath) - Unknown owner - C:\WINDOWS\mspath.exe ---------------------------------------------------------------------------- ¤Arrête ces services : Clique sur Démarrer->exécuter->tape: services.msc Double-clique: Service: Microsoft Path Finder Service Règle-le sur "Arrêté" et "Désactivé". ---------------------------------------------------------------------------- Double clic sur killbox.exe (Pocket Killbox) Utilise la methode du bloc note, comme sur la video ! Voici la liste: C:\WINDOWS\mspath.exe c:\program files\zango C:\Program Files\SideFind C:\WINDOWS\System32\srwhost.exe C:\WINDOWS\ALCXMNTR.EXE C:\x.exe C:\Program Files\ISTsvc\ C:\WINDOWS\phrnmu.exe C:\Program Files\SurfAccuracy\ C:\windows\mrjj.exe C:\Program Files\Internet Optimizer\ C:\Program Files\Media Gateway srwhost.exe C:\WINDOWS\System32\win32help.exe C:\WINDOWS\system32\svphost.exe C:\WINDOWS\system32\srshost.exe C:\WINDOWS\System32\win32help.exe Laisse le pc redemarrer puis... ---------------------------------------------------------------------------- ¤ Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines… ---------------------------------------------------------------------------- ¤ Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines… ---------------------------------------------------------------------------- ¤ Vide ta Corbeille. ---------------------------------------------------------------------------- ¤ Redémarre en mode normal, relance Hijackthis et copie/colle un nouveau rapport sur le forum. Précise tes soucis s’il en reste.... Tiens-moi au courant A+

Utilisateur anonyme · Answer

Salutoui c est grave a ce niveau la...mais en suivant ce que je t ai mis, on va s en sortir , t inquietes pasa+

babas57 · Answer

Super, et merci pour ta rapidité.Je ferais ca se soir des que je serais chez moi.Par contre aprés adaware et spybot, tu me dit de redemarrer en mode normal mais à aucun moment tu m'a demandé de passé en mode sans echec. Je pense que c'est normal mais je prefere m'en assurer.Autre chose, est ce que le fait que mon PC se relance tout seul quand le bureau windows s'ouvre, est du aux virus ???Enfin je te fait entièrement confiance, et je suis sur que nous allons y arriver (enfin surtout toi), par contre c'est possible que cela mette du temps car tant que le pc ne veut pas demarrer je peux pas faire grand chose...A+

Utilisateur anonyme · Answer

salut babas,excuse moi pour le redemarrage en normal apres les 2scans, petite erreur de manipulation de ma part car j ai lié deux  manips en une seule donc j ai oublie de l enlever desole***Si ton pc se relance, il y a de grandes chances oui !***Le principal est que tu puisse lancer hijack this et fixer ce que je te demande en mode normal !Que tu puisses telecharger kill box + process xp et ensuite ca devrait marchera++

babas57 · Answer

Salut, salut,Je reviens vers vous (ou vers toi) car j'ai fait quasiement toutes les manip que tu m'a donné mais je n'ais pas eu le temps de refaire un hijackthis..Par contre j'ai rencontré plusieurs problèmes lors des différentes étapes:- je n'ai pas réussit à supprimer tous les fichiers temp comme demandé. Il en resté 6 ou 7 ou le pc me disait que le disque devait être protégé en ecriture...  Est ce grave.- Lors du hijackthis, même chose je n'ai pas pu tout supprimer car certain des fichiers que tu m'avais dit de fixer n'étaient plus là...Enfin voila, je pense que entre midi ou se soir je referais le hijackthis pour que tu puisse me dire ce qu'il en est.Pour ce qui est du fonctionnement, j'ai pas trop eu le temps de m'en rendre compte, par contre mon pc à demarré sans problème.a+

babas57 · Answer

Re salut,Voila g tout fait voici le rapport hijackthis:Logfile of HijackThis v1.99.1Scan saved at 13:15:48, on 10/11/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\msdvd.exeC:\WINDOWS\System32\R_SERVER.EXEC:\WINDOWS\System32\svchost.exeC:\windows\system\hpsysdrv.exeC:\HP\KBD\KBD.EXEC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Creative\Shared Files\CAMTRAY.EXEC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\Propriétaire\Bureau\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr8.hpwis.com/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr8.hpwis.com/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr8.hpwis.com/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr8.hpwis.com/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr8.hpwis.com/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - Default URLSearchHook is missingO1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.comO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\awtqp.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exeO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXEO4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /rO4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXEO4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetectO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [ShowShifter TVTV EPG Daemon] "C:\Program Files\Home Media Networks Limited\ShowShifter\TVTVD.exe"O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exeO4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXEO4 - HKLM\..\Run: [Microsoft Help] C:\WINDOWS\System32\win32help.exeO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [TJXUNSaWKU\X`vWYX] C:\WINDOWS\System32\pvomjllotqkrl.exeO4 - HKLM\..\RunServices: [TJXUNSaWKU\X`vWYX] C:\WINDOWS\System32\pvomjllotqkrl.exeO4 - HKLM\..\RunServices: [Microsoft Help] C:\WINDOWS\System32\win32help.exeO4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHookO4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [Microsoft Help] C:\WINDOWS\System32\win32help.exeO4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dllO16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/FR/install.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005102501/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c11.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cabO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O20 - Winlogon Notify: awtqp - C:\WINDOWS\System32\awtqp.dllO20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dllO23 - Service: microsoftdvdhelp (MicrosoftDVD) - Unknown owner - C:\WINDOWS\msdvd.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\R_SERVER.EXE" /service (file missing)Par contre je sais pas si on a fini mais mon pc n'a pas l'air en grande forme...J'ai du lancer 3 fois hijackthis pour reussir à avoir un rapport !!!J'attend de tes nouvelles.a+

babas57 · Answer

RE,bon je me suis servi un peu du pc et:- bonne nouvelle il demarre sans coupure du premier coup..- Par contre au demarrage un message d'erreur s'affiche: Le système a récuperé une erreur serieuse.  Et impossible le l'enlever, même en cliquant sur ne pas envoyer le rapport, il réapparait aussitot.Sinon les logiciel rame et plante souvant... Je pense qu'il y a encore quelques merd... à virer !!!Bon j'attend de tes nouvelles.

Utilisateur anonyme · Answer

Salut,

Imprime, ou enregistre ceci dans le bloc note pour ne rien oublier.

1/

télécharge : process xp ici:
http://www.sysinternals.com/files/procexpnt.zip

Télécharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe

:: Démo d utilisation (merci a Balltrap34 pour cette réalisation) ::
http://pageperso.aol.fr/balltrap34/killbox.htm

2/

Déconnecte toi du net.
Ferme tous les programmes en cours (média player, internet explorer, ...etc)

Dézippe (clic droit > extraire) process xp et double clic sur processxp.exe

* Dans la fenêtre principale de processxp double clic sur winlogon.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionne seulement les lignes qui contiennent ssqrr.dll puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec ok

* Dans la fenêtre principale de processxp double clic sur explorer.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionner seulement les lignes qui contiennent ssqrr.dll puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec ok

3/

puis lancer HijackThis:

clique sur "do a system scan only"

* Cocher la case au début de ces lignes:

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\ssqrr.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe

O4 - HKLM\..\RunServices: [MCX Update] wisp.exe

O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe

O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe

O20 - Winlogon Notify: ssqrr - C:\WINDOWS\SYSTEM32\ssqrr.dll

O23 - Service: BusinessC (BusinessContinuity) - Unknown owner - C:\WINDOWS\msstl.exe (file missing)

O23 - Service: Mod Libary (modlb) - Unknown owner - C:\WINDOWS\modlb.exe

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe

* Valider avec fix checked

----------------------------------------------------------------------------
¤Recherche et supprime ceci:
attention seulement les fichiers (si présents).

wisp.exe
msnq3insller.exe
C:\WINDOWS\msstl.exe
C:\WINDOWS\modlb.exe
C:\WINDOWS\shost.exe

----------------------------------------------------------------------------
¤Arrête ces services :

Clique sur Démarrer->exécuter->tape: services.msc

Double-clique: Service: BusinessC

Règle-le sur "Arrêté" et "Désactivé".

Fais de meme avec ceci
Mod Libary
Service Hosts

5/

Double clic sur killbox.exe (Pocket Killbox)

- coche: delete on reboot
- Dans "Full Path of File to Delete"
copie et colle:

C:\WINDOWS\SYSTEM32\ssqrr.dll

- clique sur la croix rouge
- une fenêtre va apparaître pour confirmation clique sur YES
- une seconde fenêtre te demande si tu veux redémarrer clique sur YES

Laisse le pc redémarrer.
Et après reposte un log HijackThis.

babas57 · Answer

Salut et merci pour ta réponse,Déjà une petite question: Si je doit  refaire process xp et pocket kill c'est que je l'ais mal fait ??Est ce grave que certain fichier temp ne soit pas supprimable.Enfin tu dit à la fin du killbox de laisser redemarrer le pc mais quend je l'ai fait hier le pc n'a pas redemarré !!!?? Est ce normal ou est ce que j'oublie une manip ?Merci d'avance.

Utilisateur anonyme · Answer

reDéjà une petite question: Si je doit refaire process xp et pocket kill c'est que je l'ais mal fait ?? Oui surrement, mais c est pas grave ! Il se peut qu il y en ai plusieurs donc verifie bienEst ce grave que certain fichier temp ne soit pas supprimable. Oui et on utilisera un logiciel si tu as tjr du mal, t as essayer de les supprimer en mode sans echec?Enfin tu dit à la fin du killbox de laisser redemarrer le pc mais quend je l'ai fait hier le pc n'a pas redemarré !!!?? Est ce normal ou est ce que j'oublie une manip ? Coche tu las case, delet and rebout? si oui et s il redemarre pas, fais le manuellementa+

babas57 · Answer

Re salut,Bon ca va pas fort...Mon PC recommence à s'eteindre.J'ai suivi à la lettre ce que tu m'as dit de faire j'ai même été en mode sans echec pour effacer les fichiers temp qui voulez rien savoir...Voila le resultat du hijackthis:Logfile of HijackThis v1.99.1Scan saved at 19:39:16, on 10/11/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\savedump.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\R_SERVER.EXEC:\WINDOWS\System32\svchost.exeC:\windows\system\hpsysdrv.exeC:\HP\KBD\KBD.EXEC:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exeC:\WINDOWS\System32\hkcmd.exeC:\WINDOWS\System32
wiz.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Home Media Networks Limited\ShowShifter\TVTVD.exeC:\Windows\Creator\Remind_XP.exeC:\WINDOWS\system32\ps2.exeC:\Program Files\Creative\Shared Files\CAMTRAY.EXEC:\WINDOWS\system32\dumprep.exeC:\Documents and Settings\Propriétaire\Bureau\HijackThis.exeC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\WINDOWS\System32\dwwin.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Spybot - Search & Destroy\TeaTimer.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr8.hpwis.com/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr8.hpwis.com/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lequipe.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr8.hpwis.com/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr8.hpwis.com/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr8.hpwis.com/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.comO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: (no name) - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - (no file)O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exeO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXEO4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /rO4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXEO4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetectO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [ShowShifter TVTV EPG Daemon] "C:\Program Files\Home Media Networks Limited\ShowShifter\TVTVD.exe"O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exeO4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXEO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [TJXUNSaWKU\X`vWYX] C:\WINDOWS\System32itmpjvtxxjpb.exeO4 - HKLM\..\Run: [Microsoft Help] C:\WINDOWS\System32\win32help.exeO4 - HKLM\..\RunServices: [TJXUNSaWKU\X`vWYX] C:\WINDOWS\System32itmpjvtxxjpb.exeO4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHookO4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dllO16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/FR/install.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005102501/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c11.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cabO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dllO23 - Service: microsoftdvdhelp (MicrosoftDVD) - Unknown owner - C:\WINDOWS\msdvd.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\R_SERVER.EXE" /service (file missing)Le PC va pas beaucoup mieux et je voulais aussi attirer ton attention sur des fichiers qui sont bizard et qui d'apres secuser.com sont des fichiers verolé:c:f59698.exec'est un exemple et il y en a beaucoup (environs 30)voila j'attend les ordres et j'execute...

Utilisateur anonyme · Answer

reToujours infecte mais y a du mieux !!Lance hijackthis, clic sur [Open the misc tools section] A coté du bouton [Générate startuplist log] coche les 2 cases puis clic sur [Générate startuplist log] copie et colle le rapport ici (c'est un rapport bien plus long et un peu plus détaillé) a+

babas57 · Answer

Bonjour,Je n'ais pas donné de nouvelles plus tôt car mon pc est en train de mourir...J'ai essayé de faire la manip que tu m'as demandé mais à chaque fois que j'appuyé sur [Open the misc tools section] hijackthis planté...L'infection été de plus en plus forte et des que je me connecté à internet le pc s'eteigné et se relancé, donc impossible de vous demander de l'aide.Et tout c'est agravé pendant le week end, jusqu'au point de non retour, c'est à dire impossible de relancer le PC même en mode sans echec. Il planté au moment au j'ai à l'ecran " LE LOGO WINDOWS XP EDITION FAMILLIALE VEUILLEZ PATIENTEZ"Et le malheureusement la seule chose que j'ai réussit à faire c'est une restauration HP (comme c'est un PC HP c'est la seule commande à laquelle j'avais accés avant qu'il reboot, c'est à dire pendant le lancement de la becanne)Je sais bien que ca ne me debarrasera pas de mes virus car c'est une mise à zero en therme de logiciel et non pas de fichier. Mais le pire c'est que pendant le reinstalation de windows le PC a planter !!!Donc maintenant je n'ais plus rien...Je pense pouvoir relancer windows (mais je n'aurais plus mais logiciel snif) mais dés son lancement il faudra que j'eradique ces sales virus qui me pourrissent l'existance.Je vais ramener mon PC portable du boulo à la maison comme ca je pourrais suivre tes indications sans aller sur internet avec le pc vérolé.Voila toute mes miséres...J'attend impatiement de tes nouvelles .Merci d'avance.

Utilisateur anonyme · Answer

saluttu peux quand meme nous fournir un log hijack this ou pas?a+

babas57 · Answer

RE,Pour l'instant non car mon pc ne se relance plus du tout...Mais si jarrive à le relancer je m'arrangerais pour envoyer un hijackthis.Et si je n'arrive pas à relancer windows et bien je n'ais plus qu'à casser ma tirelire pour racheter un PC et comme en ce moment c'est un peu galère en terme de tunnes et bien on en demandera un au pere noel. (même lui je crois pas qu'il puisse m'en payer un).Donc il faut que je le répar.......AU SECOURS !!!!

Utilisateur anonyme · Answer

Sinontu as acces au mode sans echec ?Pour eventuellement faire une restauration systeme...ou si tu as le cd windows, une reinstallationa+

babas57 · Answer

RE,Au demarrage du PC j'ai une page HP et quand j'appuis sur F10 il fait une restauration du systéme mais la restauration plante à la fin...Je sais je suis dans la mer..!!Mon ordi c'est toute ma vie snif !!!!!!

Utilisateur anonyme · Answer

salutau demarrage appuis sur F8 (ou F5 si ca marche pas)choisis mode sans echecsi les couleurs changent c est normalensuite va dans demarer < tous les prog < accessoires < outil systeme < choisit restauration systeme et suis la procedurea+

babas57 · Answer

Re,

J'ai deja essayé mais comme je te l'ais dit plus haut si je fait cette manip le pc se relance... Pire qu'avant.

La seule chose à laquelle j'ai accés c'est la restauration par HP car je suppose qu'il reboote sur la partition D: de mon disque dur (partition d'origine avec la restauration windows par HP)

Salut

Utilisateur anonyme · Answer

re,sinon tu as essayer de reinstaller avec le cd?a+

babas57 · Answer

Re,Voila j'ai reussit a relancer le pc j'ai fait un hijackthis et voila le resultat:Logfile of HijackThis v1.99.1Scan saved at 19:13:38, on 14/11/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exec:\Program Files\Norton AntiVirus
avapsvc.exeC:\WINDOWS\Explorer.EXEC:\windows\system\hpsysdrv.exeC:\HP\KBD\KBD.EXEC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\WINDOWS\ALCXMNTR.EXEC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exec:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\Program Files\Internet Explorer\iexplore.exeC:\WINDOWS\system32	ftp.exeC:\Documents and Settings\Propriétaire\Bureau\HijackThis.exeC:\WINDOWS\system32\cmd.exeC:\WINDOWS\system32\ftp.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr8.hpwis.com/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr8.hpwis.com/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr8.hpwis.com/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr8.hpwis.com/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr8.hpwis.com/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr8.hpwis.com/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr8.hpwis.com/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr8.hpwis.com/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr8.hpwis.com/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr8.hpwis.com/R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fr8.hpwis.com/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dllO2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dllO4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exeO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXEO4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /rO4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXEO4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exeO4 - HKLM\..\Run: [NAV CfgWiz] c:\PROGRA~1\NORTON~1\Cfgwiz.exe /RO4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetectO4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXEO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exeO4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHookO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dllO20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dllO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exetien moi au courant

Utilisateur anonyme · Answer

salut
relance hijack this, coche ceci et sur fix checked
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

supprime
C:\WINDOWS\ALCXMNTR.EXE

et
Lance ce scan en ligne:
http://www.bitdefender.fr/scan8/ie.html
Copie/colle le rapport

A+

babas57 · Answer

Re,J'ai reussit à télécharger antivir et a scanner le pc.Je ne l'ai pas fait avec bitdefender car à cause des virus ma connexion internet ressemble à du 28Kb/s...Voila le rapport antivir:Creation date of the report file:  lundi 14 novembre 2005  21:15AntiVir®/XP (2000 + NT) PersonalEdition ClassicBuild 1114 of 04.11.2005Mainprogram 6.32.00.51 of 03.11.2005VDF file 6.32.14.16 (0) of 07.11.2005This program is for PERSONAL USE only.Any other use is PROHIBITED.Informations regarding commercial versions of AntiVir may be obtained from:www.hbedv.com.Scanning for 244480 virus strains and unwanted programs.Licensed for:  AntiVir Personal EditionSerial number: 0000149991-WURGE-0001Please enter the workstation andcontact name with phone number in this form:Name        ___________________________________________Street      ___________________________________________Town        ___________________________________________Phone/Fax   ___________________________________________Email       ___________________________________________Platform:        Windows NT WorkstationWindows version: 5.1 Build 2600 (Service Pack 1)Username:        PropriétaireComputername:    BASTIENProcessor:       PentiumWorking memory:  523632 KB freeVersion information: AVWIN.DLL      : 6.32.00.51     561192  04.11.2005  07:50:54 AVEWIN32.DLL   : 6.32.0.57      954880  14.10.2005  15:08:24 AVGNT.EXE      : 6.32.00.02     180327  03.11.2005  17:06:56 AVGUARD.EXE    : 6.32.00.12     208424  03.11.2005  17:06:58 GUARDMSG.DLL   : 6.30.00.02      94248  01.02.2005  10:24:12 AVGCMSG.DLL    : 6.32.00.01     295029  03.11.2005  17:06:58 AVGNTDW.SYS    : 6.31.00.01      32896  29.04.2005  08:07:16 AVPACK32.DLL   : 6.32.00.02     319528  03.11.2005  16:57:42 AVGETVER.DLL   : 6.30.00.00      24576  28.01.2005  17:10:20 AVSHLEXT.DLL   : 6.30.00.01      40960  28.01.2005  17:10:22 AVSched32.EXE  : 6.32.00.01     110632  20.09.2005  14:16:26 AVSched32.DLL  : 6.30.00.00     122880  01.02.2005  10:24:12 AVREG.DLL      : 6.31.00.05      41000  07.09.2005  16:34:50 AVRep.DLL      : 6.32.00.152    1470504  07.11.2005  08:31:40 INETUPD.EXE    : 6.32.00.53     262203  04.11.2005  07:49:30 INETUPD.DLL    : 6.32.00.53     143360  04.11.2005  07:49:30 CTL3D32.DLL    : 2.31.000        27136  21.01.2003  16:09:00 MFC42.DLL      : 6.00.8665.0     995383  21.01.2003  19:14:00 MSVCRT.DLL     : 7.0.2600.1106 (xpsp1.020828-1920 MSVCRT.DLL     : 7.0.2600.1106      323072  21.01.2003  16:01:00 CTL3DV2.DLL    : No informationConfiguration file: Name of configuration file: C:\Program Files\AVPersonal\AVWIN.INI Name of report file:        C:\Program Files\AVPersonal\LOGFILES\AVWIN.LOG Start path:                 C:\Program Files\AVPersonal Command line:                Start mode:                  unknown Mode of report file: [ ] Do not create report [X] Overwrite report [ ] Append new report Data in report file: [X] Infected files [ ] Infected files with paths [ ] All scanned files [ ] Full information Abridge report file: [ ] Abridge report file Warnings in report: [X] Access denied/file locked [X] Wrong file size in directory [X] Wrong creation time in directory [ ] COM file is too large [X] Invalid start address [X] Invalid EXE header [X] Possibly damaged Summary report: [X] Create summary report     Output file: AVWIN.ACT     Maximum number of entries: 100 Where to search: [X] Memory [X] Boot record of selected drives [ ] Report unknown boot sectors [ ] All files [X] Program files     Extensions:  .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP  Response in case of a detection: [X] Repair with prompt [ ] Repair without prompt [ ] Delete with prompt [ ] Delete without prompt [ ] Write in report file only [X] Acoustic alarm Response in case of destroyed files: [X] Delete with prompt [ ] Delete without prompt [ ] Ignore Response in case of destroyed files: [X] No change [ ] Current system time [ ] Correct date Drag&drop settings: [X] Scan subdirectories Profile settings: [X] Scan subdirectories Archive options [X] Search archive [X] All archive types Miscellaneous options: Temporary path: %TEMP% -> C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp [X] Overwrite infected files [ ] Detect idle time [X] Allow interruptions of scan [ ] Load AVWin®/NT Guard on System start General settings: [X] Save options on exiting AntiVir Priority: medium Drives: A: Floppy drive C: Hard disk D: Hard disk E: CD-ROM F: CD-ROMStart of scan:  lundi 14 novembre 2005  21:15Memory test                          OKMaster boot record of hard disk HD0   OKBoot record of drive C:            OK      Access denied! Error during file opening!      Error code: 0x0002C:\        WARNING! Access error/file locked!C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery  AbetterInternetAurora.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  AlexaRelated.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  AlexaRelated1.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  CometCursors.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  CometCursors1.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  DyFuCA.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  ISearchTechISTbar.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  ISearchTechISTbar1.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  ISearchTechISTsvc.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  ISearchTechPowerScan.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  ISearchTechSideFind.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  ISearchTechYSB.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  ISearchTechYSB1.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  ISearchTechYSB2.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  ISearchTechYSB3.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  ISearchTechYSB4.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  ISearchTechYSB5.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  MediaMotor.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  MediaMotor1.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  MediaMotor2.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  nCase.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  SolutionsSearchAssistant.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  SolutionsSearchAssistant1.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  SolutionsSearchAssistant2.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  SolutionsSearchAssistant3.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  SolutionsSearchAssistant4.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  SolutionsSearchAssistant5.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  SolutionsSearchAssistant6.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  SolutionsZango.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  SolutionsZango1.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  SolutionsZango10.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  SolutionsZango11.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  SolutionsZango12.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  SolutionsZango2.zip  ArchiveType: ZIP  SolutionsZango3.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  SolutionsZango4.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  SolutionsZango5.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  SolutionsZango6.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  SolutionsZango7.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  SolutionsZango8.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  SolutionsZango9.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  SurfAccuracy.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  SurfAccuracy1.zip  ArchiveType: ZIP  WindowsAdTools.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterAntiVirusDisableNotify.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterAntiVirusDisableNotify1.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterAntiVirusDisableNotify2.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterAntiVirusDisableNotify3.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterAntiVirusDisableNotify4.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterAntiVirusOverride.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterAntiVirusOverride1.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterAntiVirusOverride2.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterAntiVirusOverride3.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterAntiVirusOverride4.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterFirewallDisableNotify.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterFirewallDisableNotify1.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterFirewallDisableNotify2.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterFirewallDisableNotify3.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterFirewallDisableNotify4.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterFirewallOverride.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterFirewallOverride1.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterFirewallOverride2.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterFirewallOverride3.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterFirewallOverride4.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterSPUpdate.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterSPUpdate1.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterSPUpdate2.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterSPUpdate3.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterSPUpdate4.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterTaskManager.zip  ArchiveType: ZIP  WindowsSecurityCenterTaskManager1.zip  ArchiveType: ZIP  WindowsSecurityCenterUpdateDisableNotify.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterUpdateDisableNotify1.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterUpdateDisableNotify2.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterUpdateDisableNotify3.zip  ArchiveType: ZIP      NOTE! The whole archive is password protected  WindowsSecurityCenterUpdateDisableNotify4.zip  ArchiveType: ZIP      NOTE! The whole archive is password protectedC:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0PUNGDAF  mtrslib2[1].js      [DETECTION] Contains signature of the Java script virus JS/Small.AG      WAS DELETED!C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\8HEJ4X4Z  ak47[1].exe      [DETECTION] Is the Trojan horse TR/LowZones.K.6      WAS DELETED!C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\UX4RM581  mtrslib2[1].js      [DETECTION] Contains signature of the Java script virus JS/Small.AG      WAS DELETED!C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\WLOHILGB  MediaTicketsInstaller[1].cab  ArchiveType: CAB (Microsoft)    --> MediaTicketsInstaller.ocx        NOTE! Bad header    --> MediaTicketsInstaller.INF        NOTE! Bad headerC:\Program Files\WinRAR  rarnew.dat  ArchiveType: RAR      NOTE! The archive is created by multiple volumesError! Could not change directory: System Volume InformationC:\WINDOWS  F ma.exe      [DETECTION] Contains signature of the dropper DR/QLowZones.1      WAS DELETED!  IEMonitor.ocx      [DETECTION] Contains signature of the dropper DR/QLowZones.2      WAS DELETED!  msstl.exe      [DETECTION] Contains signature of the worm WORM/SdBot.64512.14      WAS DELETED!C:\WINDOWS\system32  jkkjg.dll      [DETECTION] Is the Trojan horse TR/Dldr.ConHook.L      WAS DELETED!  mllmj.dll      [DETECTION] Is the Trojan horse TR/Dldr.ConHook.L      WAS DELETED!  rdriv.sys      [DETECTION] Is the Trojan horse TR/Rootkit.L      WAS DELETED!  remon.sys      [DETECTION] Is the Trojan horse TR/Rootkit.Agent.AB      WAS DELETED!  srshostu.exe      [DETECTION] Is the Trojan horse TR/Proxy.Agent.CM      WAS DELETED!  ssqro.dll      [DETECTION] Is the Trojan horse TR/Dldr.ConHook.L      WAS DELETED!  ssqrr.dll      [DETECTION] Is the Trojan horse TR/Dldr.ConHook.L      Could not be deleted!  syshost.exe      [DETECTION] Is the Trojan horse TR/Dldr.Small.bsj      WAS DELETED!  winl0gonn.exe      [DETECTION] Is the Trojan horse TR/Dldr.Small.bsj      WAS DELETED!  wirl0g0n.exe      [DETECTION] Is the Trojan horse TR/Dldr.Small.bsj      WAS DELETED!C:\WINDOWS\system32\config  default      Access denied! Error during file opening!      Error code: 0x000D      WARNING! Access error/file locked!  SAM      Access denied! Error during file opening!      Error code: 0x000D      WARNING! Access error/file locked!  SECURITY      Access denied! Error during file opening!      Error code: 0x000D      WARNING! Access error/file locked!  software      Access denied! Error during file opening!      Error code: 0x000D      WARNING! Access error/file locked!  system      Access denied! Error during file opening!      Error code: 0x000D      WARNING! Access error/file locked!End of scan:  lundi 14 novembre 2005  22:06Time taken:         50:42 min3038 directories were scanned75832 files were scanned   7 warning messages were issued  15 files were deleted   0 files were repaired  16 detectionsJ'ai toujours des virus mais ca a l'air d'aller un peu mieux.Voila aussi le dernier rapport hijackthis:Logfile of HijackThis v1.99.1Scan saved at 22:18:05, on 14/11/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\windows\system\hpsysdrv.exeC:\HP\KBD\KBD.EXEC:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\AVPersonal\AVGNT.EXEC:\Program Files\AVPersonal\AVGUARD.EXEC:\Program Files\AVPersonal\AVWUPSRV.EXEC:\WINDOWS\modlb.exec:\Program Files\Norton AntiVirus
avapsvc.exeC:\WINDOWS\shost.exec:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeC:\WINDOWS\REGEDIT.EXEC:\WINDOWS\System32\msiexec.exeC:\WINDOWS\System32\MsiExec.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\WINDOWS\system32\NOTEPAD.EXEC:\Documents and Settings\Propriétaire\Bureau\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr8.hpwis.com/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr8.hpwis.com/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr8.hpwis.com/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr8.hpwis.com/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr8.hpwis.com/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr8.hpwis.com/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr8.hpwis.com/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr8.hpwis.com/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr8.hpwis.com/R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fr8.hpwis.com/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\ssqrr.dllO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dllO2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dllO4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exeO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXEO4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /rO4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXEO4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exeO4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetectO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exeO4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exeO4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /minO4 - HKLM\..\RunServices: [MCX Update] wisp.exeO4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exeO4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHookO4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dllO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005102501/housecall.trendmicro.com/housecall/xscan53.cabO20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dllO20 - Winlogon Notify: ssqrr - C:\WINDOWS\SYSTEM32\ssqrr.dllO23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXEO23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXEO23 - Service: BusinessC (BusinessContinuity) - Unknown owner - C:\WINDOWS\msstl.exe (file missing)O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Mod Libary (modlb) - Unknown owner - C:\WINDOWS\modlb.exeO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exeque faire maintenant, car antivir n'arrete pas de sonner pour le fichier    ssqrr.dllj'attend

Utilisateur anonyme · Answer

rebha oui logique, nouvelle infection, pire en plusfais chier grrrrrrje vois que tu as desinstaller bidfender, tant mieuxa+

Utilisateur anonyme · Answer

Salut,

Imprime, ou enregistre ceci dans le bloc note pour ne rien oublier.

1/

télécharge : process xp ici:
http://www.sysinternals.com/files/procexpnt.zip

Télécharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe

:: Démo d utilisation (merci a Balltrap34 pour cette réalisation) ::
http://pageperso.aol.fr/balltrap34/killbox.htm

2/

Déconnecte toi du net.
Ferme tous les programmes en cours (média player, internet explorer, ...etc)

Dézippe (clic droit > extraire) process xp et double clic sur processxp.exe

* Dans la fenêtre principale de processxp double clic sur winlogon.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionne seulement les lignes qui contiennent ssqrr.dll puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec ok

* Dans la fenêtre principale de processxp double clic sur explorer.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionner seulement les lignes qui contiennent ssqrr.dll puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec ok

3/

puis lancer HijackThis:

clique sur "do a system scan only"

* Cocher la case au début de ces lignes:

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\ssqrr.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe

O4 - HKLM\..\RunServices: [MCX Update] wisp.exe

O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe

O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe

O20 - Winlogon Notify: ssqrr - C:\WINDOWS\SYSTEM32\ssqrr.dll

O23 - Service: BusinessC (BusinessContinuity) - Unknown owner - C:\WINDOWS\msstl.exe (file missing)

O23 - Service: Mod Libary (modlb) - Unknown owner - C:\WINDOWS\modlb.exe

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe

* Valider avec fix checked

----------------------------------------------------------------------------
¤Recherche et supprime ceci:
attention seulement les fichiers (si présents).

wisp.exe
msnq3insller.exe
C:\WINDOWS\msstl.exe
C:\WINDOWS\modlb.exe
C:\WINDOWS\shost.exe

----------------------------------------------------------------------------
¤Arrête ces services :

Clique sur Démarrer->exécuter->tape: services.msc

Double-clique: Service: BusinessC

Règle-le sur "Arrêté" et "Désactivé".

Fais de meme avec ceci
Mod Libary
Service Hosts

5/

Double clic sur killbox.exe (Pocket Killbox)

- coche: delete on reboot
- Dans "Full Path of File to Delete"
copie et colle:

C:\WINDOWS\SYSTEM32\ssqrr.dll

- clique sur la croix rouge
- une fenêtre va apparaître pour confirmation clique sur YES
- une seconde fenêtre te demande si tu veux redémarrer clique sur YES

Laisse le pc redémarrer.
Et après reposte un log HijackThis.

84 fichiers infecters par 4 virus .... HELP!!

27 réponses

Discussions similaires