Sujet Précédent Sujet Suivant

Pipas.A info (?), web barre sur le bureau

Quidam14 -  
 Utilisateur anonyme -
Bonjour,

Une barre d'icones apparait à chaque démarrage de windows ou d'une nouvelle session sur le bureau à droite, dès que la souris passe dessus la connexion internet demande à être établie. il y a une tentative de connexion vers des sites web je pense.

J'ai lancé un scan avec Antir Guard, rien trouvé. Un scan avec Microsoft Antispyware rien trouvé.

Un scan avec Ad-Aware SE Personal, il a trouvé qques objets que j'ai mis en quarantaine dont voici la liste ci-dessous. Je pense qu'effectivement il faut les mettre en quarantaine. Mais les iconnes (une web barre ?) sont toujours apparantes, pillules miracle, XXX, casino... un bouton close permet de la fermer quand même. Plus bas le log de HijackThis et Spybot également...)

ArchiveData(auto-quarantine- 2005-12-10 03-26-36.bckp)
Referencefile : SE1R79 09.12.2005
======================================================

ADWARE.TOOLBAND
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : toolband.toolbandobj
obj[1]=Regkey : toolband.toolbandobj.1
obj[4]=RegValue : S-1-5-21-1275210071-1645522239-839522115-1004\software\microsoft\internet explorer\toolbar\Webbrowser "{08bec6aa-49fc-4379-3587-4b21e286c19e}"
obj[18]=Regkey : interface\{9d573d0e-663c-435f-bf31-2c4497373c41}

COOLWEBSEARCH
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[2]=Regkey : interface\{b1e68d42-02c4-465b-8368-5ed9b732e22d}
obj[3]=Regkey : typelib\{110fa82f-db6c-3c24-8929-60961d10c56e}
obj[19]=Regkey : software\microsoft\downloadmanager
obj[20]=RegValue : software\microsoft\internet explorer\main "Use Custom Search URL"
obj[21]=RegValue : software\microsoft\internet explorer\new windows "PopupMgr"
obj[22]=RegValue : software\microsoft\internet explorer\main "Enable Browser Extensions"
obj[23]=RegValue : software\microsoft\internet explorer\main "Search Bar"
obj[24]=Dossier : C:\Documents and Settings\Yvanhoe\Favoris\Online Pharmacy
obj[25]=Fichier : C:\Documents and Settings\Yvanhoe\Favoris\online pharmacy\CHEAPEST VIAGRA ONLINE.url
obj[26]=Fichier : C:\Documents and Settings\Yvanhoe\Favoris\online pharmacy\Cialis at HALF PRICE!.url
obj[27]=Fichier : C:\Documents and Settings\Yvanhoe\Favoris\online pharmacy\Fast Way To Loose Your Weight!.url
obj[28]=Fichier : C:\Documents and Settings\Yvanhoe\Favoris\online pharmacy\Guaranteed low price at Pills..url
obj[29]=Fichier : C:\Documents and Settings\Yvanhoe\Favoris\online pharmacy\SOMA at Special LOW PRICE.url
obj[30]=Fichier : C:\Documents and Settings\Yvanhoe\Favoris\online pharmacy\Tramadol Special Offer!.url
obj[31]=Fichier : C:\Documents and Settings\Yvanhoe\Favoris\online pharmacy\Try New VIAGRA! Works Faster and Longer!.url
obj[32]=Fichier : C:\WINDOWS\balloon.wav
obj[33]=Fichier : C:\WINDOWS\wplog.txt
obj[34]=Fichier : C:\WINDOWS\system32\wbem\logs\wbemess.log

********************************************************************

C'est un peu fastidieux à lire je reconnais.
Je parcours les forums et j'installe HijackThis pour en savoir un peu plus. Apparement il y a des éléments indésirables. Dont voici le résultat du log :

Logfile of HijackThis v1.99.1
Scan saved at 19:29:33, on 11/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\program files\u-storage tools1.0\ustorage.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UStorage] c:\program files\u-storage tools1.0\ustorage.exe sys_auto_run C:\Program Files\U-Storage Tools1.0
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: {299A9646-5250-4BDC-AA93-30040D85EE20} (CaraPlus.ChatClient) - http://www.caraplus.com/activex/cab/Caraplus.CAB
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.cg14.fr/sig/mg60ctrl_windows_activex_ie.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101278865599
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133117562125
O17 - HKLM\System\CCS\Services\Tcpip\..\{307093D7-ED3D-4D0A-B668-E7AD141791B0}: NameServer = 85.255.113.138,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{5657BF09-738B-4BF0-9D64-081CC7F449D7}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9885C07-C9CA-496E-A7E6-6544E8A0A2E9}: NameServer = 85.255.113.138,85.255.112.14
O17 - HKLM\System\CS1\Services\Tcpip\..\{307093D7-ED3D-4D0A-B668-E7AD141791B0}: NameServer = 85.255.113.138,85.255.112.14
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

***********************************************************

Ensuite j'installe Spybot pour faire le tour ou presque du problème et Spybot détecte Pipas.A dont je ne trouve pas beaucoup d'info avec google.

Windows Security Center.AntiVirusOverride: Réglages (Modification du registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0

Pipas.A: Réglages (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins

***********************************************************

Ca ne me parle pas du tout. Si quelqu'un connait les lignes indésirables, les choses à bloquer. Merci. Et surtout le moyen de supprimer cette web barre du bureau qui doit être lié. Désolé pour la longueur du poste et les log !

Cordialement
A voir également:

56 réponses

Réponse 1 / 56
incognito02 Messages postés 3487 Statut Contributeur 138
 
Bonsoir,

Déconnecte toi d'internet c'est important

Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"

O17 - HKLM\System\CCS\Services\Tcpip\..\{307093D7-ED3D-4D0A-B668-E7AD141791B0}: NameServer = 85.255.113.138,85.255.112.14

O17 - HKLM\System\CCS\Services\Tcpip\..\{B9885C07-C9CA-496E-A7E6-6544E8A0A2E9}: NameServer = 85.255.113.138,85.255.112.14

O17 - HKLM\System\CS1\Services\Tcpip\..\{307093D7-ED3D-4D0A-B668-E7AD141791B0}: NameServer = 85.255.113.138,85.255.112.14

puis vérifie ceci:
demarrer > connection > clic droit sur ta connection > propriétés
gestion de reseau
assure toi que protocole internet tcp/ip est en surbrillance (attention, ne décoche pas la case)> clic sur propriétés > selectionne "obtenir les adresses des serveurs automatiquement"
valide avec ok

Précise où en sont tes soucis.

a+

0
Réponse 2 / 56
Quidam14
 
J'ai relancé Hitjackthis coché les cases, et "fix checked" la liste.

Puis je suis allé voir dans les propriété de ma connexion "obtenir les adresses des serveurs automatiquement" était déjà sélectionné.

J'ai redémarré le pc les icones indésirables sur le bureau sont tjs en place. La connexion demande à être établie qd on passe la souris dessus.

J'ai relancé HitjackThis et j'ai le log suivant : une des ligne 017 que j'ai supprimé précédement est revenu. Sais-tu à quoi correspond cette adresse serveur ?

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UStorage] c:\program files\u-storage tools1.0\ustorage.exe sys_auto_run C:\Program Files\U-Storage Tools1.0
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: {299A9646-5250-4BDC-AA93-30040D85EE20} (CaraPlus.ChatClient) - http://www.caraplus.com/activex/cab/Caraplus.CAB
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.cg14.fr/sig/mg60ctrl_windows_activex_ie.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101278865599
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133117562125
O17 - HKLM\System\CCS\Services\Tcpip\..\{5657BF09-738B-4BF0-9D64-081CC7F449D7}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

Merci pour ton aide.
0
Réponse 3 / 56
Quidam14
 
Je précise également que lorsque je lance msconfig (dans démarrer > éxécuter) dans la liste des programmes qui doivent être lancé au démarrage j'avais décoché un ".EXE" un exécutable avec un nom que je ne connaissais pas. Hors maintenant à chaque démarrage le nom se trouvant devant la case qui est décoché change de nom !! le programme est sensé ne pas être éxécuté car décoché et en plus il change de nom dans la liste.
Là il s'appelle "jopplerg.exe" il y a aussi MON76234.exe que je ne connais pas sapstr.exe

il doit y avoir un programme ou un processus qui se cache et en plus change de nom à chaque arret de xp ou à chaque démarrage.

je cherche encore des info. merci.
0
Réponse 4 / 56
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut
peut tu faire analyser ceci
C:\Program Files\U-Storage Tools1.0
fait analyser ces fichiers ici
23 editeur d anti virus
http://www.virustotal.com/xhtml/virustotal_en.html
clik sur parcourir localise le fichier et clik sur send attend le rapport
et donne nous le
-----------------------
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 56
quidam14
 
En fait ce fichier correspond au logiciel ou pilote installé avec ma clé usb.

Par contre j'ai tout décoché dans la liste des programmes devant se lancer au démarrage (dans démarrer > éxécuter > msconfig > démarrage). J'ai relancé le pc les icones étaient tjs là. j'ai revérifier avec msconfig la liste des prog lancé au démarrage et là comme par magie un programme était coché seul (il ne devait pas y en avoir) c'est idemlog. Je le décoche, je redémarre et là oh miracle plus d'icones indésirables sur le bureau, et pas de programme coché dans la liste de msconfig. C'est tjs ça de gagner.

Je me renseigne sur idemlog à moins que se fichier soit normal mais corrompu.

infos donnée par msconfig pour idemlog

commande: C:\Windows\system32\idemlog.exe
emplacement: HKCU\Software\Microsoft\Windows\CurrentVersion\Run

merci
0
pierrot40
 
bonsoir
Je me bats aussi depuis hier avec cette barre d'icones qui apparait a chaque connection internet, et par hasard j'ai suivi votre discution ici. Moi je n'y connais absolument rien dans le domaine des virus et de ce genre de probleme, mais parrallelement à ce site j'ai trouvé un site américain ou j'ai réussi a comprendre l'essentiel de ce qu'il préconisent contre cette barre d'icones et apparemment ça marche, puisque je viens de redémmarrer mon ordi et la barre n'y est plus. Voila comment procéder : il disent de télécharger sur ce lien http://downloads.subratam.org/Fixwareout.exe, qui apparemment fait un scan spécial et demande rapidement de redémmarrer l'ordi, mais apres un temps ça continue de travailler et ça demande de faire un scan de hijackthis. Le seul hic est que les deux truc a "fixer " par haijackthis, je ne les ai pas dans le log de hijackthis...... voici la texte en entier
Hi tmucha

Welcome to the forum

Please download FixWareout from one of these sites:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

Save it to your desktop and run it. Click Next, then Install, then make sure "Run fixit" is checked and click Finish. The fix will begin; follow the prompts. You will be asked to reboot your computer; please do so. Your system may take longer than usual to load; this is normal.

When your system reboots, follow the prompts. Afterwards, HijackThis will launch. Please click Scan,
and check the following items:

O17 - HKLM\System\CCS\Services\Tcpip\..\{99C1771F-F6B8-4D83-BA93-8E3EC2A99607}: NameServer = 85.255.115.58,85.255.112.130
O17 - HKLM\System\CCS\Services\Tcpip\..\{FFFDAF61-F634-4FB2-949C-D843C6943A28}: NameServer = 85.255.115.58,85.255.112.130
===========================================================
Click Fix Checked. Close HijackThis, and click OK to proceed.

Finally, please post the contents of report.txt (it should open), along with a new HijackThis log.

Note: If there are connection problems >
(These instruction's are basicly for home users.)
Before doing this write down all the settings, Note that not all system/setups even have these settings, While some connection service's will require them.

In the windows control panel. If you are using Windows XP's Category View, select the Network and Internet Connections category otherwise double click on Network Connections. Then right click on your default connection, usually local area connection for cable and dsl, and left click on properties. Double-click on the Internet Protocol (TCP/IP) item and select the radio dial that says Obtain DNS servers automatically
Press OK twice to get out of the properties screen and reboot if it asks.
That option might not be avaiable one some systems
0
Réponse 6 / 56
incognito02 Messages postés 3487 Statut Contributeur 138
 
Bonsoir Balltrap,

Idemlog me disait quelque chose .... grosse galère en perspective :
Régis59 se bat avec depuis plusieurs jours sur ce post :
http://www.commentcamarche.net/forum/affich-1970776-pb-de-virus

là, je suis trop novice, c'est une sacrée bestiole !

Peux tu me donner un coup de main s'il te plait ?

A++

0
Réponse 7 / 56
Utilisateur anonyme
 
salut

Télécharge hcsrch.zip ici:
http://cjoint.com/?mmtCLUvLjD
dezippe le et lance hcsrch.bat
copie et colle le rapport ici

Télécharge silentrunners
http://www.silentrunners.org/Silent%20Runners.vbs
lance silentrunners.vbs, et si ton antivirus te le demande autorise le script.
Attend qu'une fenetre s'ouvre et te préviennes que le scan est terminé.
Au même endroit ou tu as enregistré silentrunner, doit se trouver un fichier texte (Startup programs....), ouvre le et copie et colle le contenu ici.

a+
0
Réponse 8 / 56
quidam14
 
Bonsoir tout le monde merci pour vos infos, c'est encore mieux de s'y mettre à plusieurs surtout quand on est pas le seul concerné ! ;-)

j'ai fait un scan en ligne avec panda qui complète très bien spybot, Ad-Aware, ms antispyware et Antivir Guard, car j'ai obtenu une liste complète de virus, spy et adware sur mon pc et leur statut.

Incident Statut Analyse

Spyware:spyware/searchcentrix Non désinfecté C:\WINDOWS\SYSTEM32\IfHelper.dll

Adware:adware/gator Non désinfecté C:\WINDOWS\GatorPdpLoudInstaller.log

Adware:adware/sbsoft Non désinfecté C:\WINDOWS\rdt.ini

Virus:Trj/Downloader.FFZ Désinfecté C:\WINDOWS\system32\csbjg.exe

Adware:Adware/Spoon Non désinfecté C:\WINDOWS\system32\favset.exe

Adware:Adware/IdeskBar Non désinfecté C:\WINDOWS\system32\idemlog.exe

Virus:Trj/Agent.AWH Désinfecté C:\WINDOWS\system32\logo_big.exe

Adware:Adware/QuickWeb Non désinfecté C:\WINDOWS\system32\pppcgm.exe

Adware:Adware/Findspy Non désinfecté C:\WINDOWS\system32\sphlp32.exe

Virus:Trj/Agent.AWL Désinfecté C:\WINDOWS\system32\yaemu.exe

j'ai supprimé manuellement le fichier sphlp32.exe concernant cet adware.

je recherche les fix ou autres logiciels pour supprimer ceux qui n'ont pas été désinfectés. Si vous en connaissez pour ceux de cette liste.

Actuellement je refais un scan en ligne sur bitdefender.fr en ligne pour confirmer éventuellement la liste obtenu et voir s'il n'y a pas de nouveaux résultats.

.. toutes les soluces sont les bienvenus ca en aidera d'autres qui procède autrement.
0
Réponse 9 / 56
quidam14
 
voila le nouveau rapport de bitdefender en ligne qques trolans c dingue !.. je n'ai pas supprimé les fichiers incriminés.

Est ce que quelqu'un sait si l'on peut supprimer des fichiers sans problème et si leur suppression élimine ces virus ?

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124855.exe
Infecté par: Trojan.Downloader.FFZ

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124855.exe
Echec de la désinfection

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124860.exe
Infecté par: Trojan.DNSChanger.R

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124860.exe
Echec de la désinfection

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124868.exe
Infecté par: Trojan.Downloader.FFZ

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124868.exe
Echec de la désinfection

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124873.exe
Infecté par: Trojan.DNSChanger.R

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124873.exe
Echec de la désinfection

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124877.exe
Infecté par: Trojan.Downloader.FFZ

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124877.exe
Echec de la désinfection

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124882.exe
Infecté par: Trojan.DNSChanger.R

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124882.exe
Echec de la désinfection

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124887.exe
Infecté par: Trojan.Downloader.FFZ

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124887.exe
Echec de la désinfection

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124896.exe
Infecté par: Trojan.Downloader.FFZ

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124896.exe
Echec de la désinfection

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124904.exe
Infecté par: Trojan.Downloader.FFZ

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124904.exe
Echec de la désinfection

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125904.exe
Infecté par: Trojan.Downloader.FFZ

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125904.exe
Echec de la désinfection

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125913.exe
Infecté par: Trojan.Downloader.FFZ

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125913.exe
Echec de la désinfection

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125922.exe
Infecté par: Trojan.Downloader.FFZ

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125922.exe
Echec de la désinfection

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125971.exe
Infecté par: Trojan.Downloader.FFZ

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125971.exe
Echec de la désinfection

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125977.exe
Infecté par: Trojan.Downloader.FFZ

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125977.exe
Echec de la désinfection

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125987.exe
Infecté par: Trojan.Downloader.FFZ

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125987.exe
Echec de la désinfection

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125996.exe
Infecté par: Trojan.Downloader.FFZ

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125996.exe
Echec de la désinfection

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0126027.exe
Infecté par: Trojan.Downloader.FFZ

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0126027.exe
Echec de la désinfection

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0126029.exe
Infecté par: Trojan.DNSChanger.R

C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0126029.exe
Echec de la désinfection

C:\WINDOWS\system32\pppcgm.exe
Infecté par: Trojan.Fakealert

C:\WINDOWS\system32\pppcgm.exe
Echec de la désinfection
0
Réponse 10 / 56
incognito02 Messages postés 3487 Statut Contributeur 138
 
Bonsoir,

Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l allumage du pc sans t arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5)

supprime ce fichier :
C:\WINDOWS\system32\pppcgm.exe

redemarre en mode normal.
puis fais ce que te demande Moe31 au N°7 de ce post.

Bon courage.

A+
0
Réponse 11 / 56
quidam14
 
Bonjour à tous,

salut incognito02, Moe31, j'ai supprimé pppcgm.exe comme tu m'as dit.

ci-dessous les rapports donnés par Hcsrch.bat et Silent Runners.vbs

Rapport : Hcsrch.bat

Rapport fait à 5:55:15.15 le 14/12/2005
Executé à partir de C:\Documents and Settings\Yvanhoe\Bureau\fix
OS: Microsoft Windows XP [version 5.1.2600]

*********************************************

Vérification HKLM\...\...\...\...\ruins

*********************************************

Fichiers détectés :

C:\WINDOWS\rdt.ini Présent !
C:\WINDOWS\Help\SPAlert.chm Présent !
C:\WINDOWS\system32\favset.exe Présent !
C:\WINDOWS\system32\filesafer23.exe Présent !
C:\WINDOWS\System32\howiper.exe Présent !
C:\WINDOWS\System32\idemlog.exe Présent !

*********************************************

Recherche des processus aleatoires
d'après les modèles : cs***.exe, dm***.exe, ya***.exe

C:\WINDOWS\System32

*********************************************

Recherche presence idemlog.exe...

C:\WINDOWS\System32\idemlog.exe Présent !
Recherche des fichiers crees le 10/12/2005....

!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!

C:\WINDOWS\Help
C:\WINDOWS\rdt.ini
C:\WINDOWS\wmsetup.log
C:\WINDOWS\System32\close.bmp
C:\WINDOWS\System32\favset.exe
C:\WINDOWS\System32\filesafer23.exe
C:\WINDOWS\System32\howiper.exe
C:\WINDOWS\System32\idemlog.exe
C:\WINDOWS\System32\idesk.conf

*************** Fin du rapport ******************

Rapport

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"WOOKIT" = "C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe" ["France Télécom R&D"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"WOOTASKBARICON" = "C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe" ["France Télécom R&D"]
"AVGCtrl" = ""C:\Program Files\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"MSConfig" = "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{B446400D-0030-457b-8F64-422A19605186}" = "Logitech Gallery"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Logitech\ImageStudio\NameSpc.dll" ["Logitech Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL" [null data]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{9EF34FF2-3396-4527-9D27-04C8C1C67806}" = "Microsoft AntiSpyware Service Hook"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft AntiSpyware\shellextension.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL" [null data]
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Yvanhoe\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "Real.com" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{1462651F-F4BA-4C76-A001-C4284D0FE16E}\
"ButtonText" = "Wanadoo"
"Exec" = "http://www.wanadoo.fr" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{85D1F590-48F4-11D9-9669-0800200C9A66}\
"MenuText" = "Uninstall BitDefender Online Scanner v8"
"Exec" = "%windir%\bdoscandel.exe" [null data]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherche"

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messager Wanadoo"
"MenuText" = "Messager Wanadoo"
"Exec" = "C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe" ["France Telecom"]

Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

Missing lines (compared with English-language version):
[Strings]: 1 line

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
"{08C06D61-F1F3-4799-86F8-BE1A89362C85}" = "Search Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Wanadoo\SEARCH~1.DLL" [empty string]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Program Files\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
France Telecom Routing Table Service, FTRTSVC, "C:\WINDOWS\System32\FTRTSVC.exe" ["France Telecom"]
SmartLinkService, SLService, "slserv.exe" ["Smart Link"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzlnt05\Driver = "hpzlnt05.dll" ["HP"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]

----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 37 seconds, including 13 seconds for message boxes)

en espérant y voir plus clair avec vous.

merci
0
Réponse 12 / 56
Utilisateur anonyme
 
salut

Télécharge ceci: (merci a S!RI pour ce petit programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

0
Réponse 13 / 56
quidam14
 
salut Régis,

voila le rapport de Smitfraudfix

SmitFraudFix v2.08

Rapport fait à 5:41:03.67 le 15/12/2005
Executé à partir de C:\Documents and Settings\Yvanhoe\Bureau\fix\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Yvanhoe\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
0
Réponse 14 / 56
Utilisateur anonyme
 
salut

tu peux remettre les rapports que t avais demandé moe?

a+
0
Réponse 15 / 56
quidam14
 
Salut Regis

Les rapports demandés par Moe sont ci-dessus en réponse n°12

j'ai une liste de virus en n°10

et ci-dessous un log de Spyware Doctor
Scan Results:
scan start: 15/12/2005 18:02:01
scan stop: 15/12/2005 18:14:56
scanned items: 77774
found items: 40
found and ignored: 0
tools used: General Scanner, Process Scanner, Hosts scanner, LSP Scanner, Registry Scanner, Browser Defaults, Favorites and ZoneMap Scanner, ActiveX Scanner, Browser Activity Scanner, Disk Scanner

Infection Name Location Risk
Search Toolbar HKCU\Software\SearchToolbar Elevated
Search Toolbar HKCU\Software\SearchToolbar## Elevated
Search Toolbar HKCU\Software\SearchToolbar##Update Elevated
Search Toolbar HKCU\Software\SearchToolbar\History Elevated
Search Toolbar HKCU\Software\SearchToolbar\History## Elevated
Search Toolbar HKCU\Software\SearchToolbar\History\all Elevated
Search Toolbar HKCU\Software\SearchToolbar\History\all## Elevated
Search Toolbar HKCU\Software\SearchToolbar\History\all\History Elevated
Search Toolbar HKCU\Software\SearchToolbar\History\all\History## Elevated
Search Toolbar HKCU\Software\SearchToolbar\Popups Elevated
Search Toolbar HKCU\Software\SearchToolbar\Popups## Elevated
Search Toolbar HKLM\SOFTWARE\SearchToolbar Elevated
Search Toolbar HKLM\SOFTWARE\SearchToolbar## Elevated
Search Toolbar HKLM\SOFTWARE\SearchToolbar\Toolbar Elevated
Search Toolbar HKLM\SOFTWARE\SearchToolbar\Toolbar## Elevated
Search Toolbar HKLM\SOFTWARE\SearchToolbar\Toolbar##Version Elevated
Search Toolbar HKLM\SOFTWARE\SearchToolbar\Toolbar##OptdateTest Elevated
Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls High
Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls## High
Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls##xedocne High
Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls##gib_ogol High
Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls##repiwoh High
Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls##llun High
Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls##23plhps High
Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls##mgcppp High
Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls##tesvaf High
Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls##golmedi High
Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls##32refaselif High
Search Toolbar HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser##{08BEC6AA-49FC-4379-3587-4B21E286C19E} Elevated
Tracking Cookie(s) C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@xiti[1].txt Medium
Advertising C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@spywareremoversreview[1].txt Low
Advertising C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@www.smartadserver[1].txt Low
Tracking Cookie(s) C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@microsofteup.112.2o7[1].txt Medium
Tracking Cookie(s) C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@fl01.ct2.comclick[2].txt Medium
Tracking Cookie(s) C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@bluestreak[1].txt Medium
Tracking Cookie(s) C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@tribalfusion[1].txt Medium
Advertising C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@adtech[2].txt Low
Tracking Cookie(s) C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@cgi-bin[2].txt Medium
Search Toolbar C:\WINDOWS\rdt.ini Elevated
Trojan.MsnAgent C:\WINDOWS\help\SPAlert.chm

J'ai tjs qques virus détecté mais pas de moyen pour les éradiquer. Le meilleur moyen c'est encore d'acheter une licence d'antivirus en ligne...
0
Réponse 16 / 56
Utilisateur anonyme
 
salut

ok sur ca mais si jte demande de nouveaux rapports c est parce qu il y a une raison

Merci de ta comprehension
0
Réponse 17 / 56
quidam14
 
ok Régis je croyais que tu n'avais pas vu les log précédents, ça marche voila les nouveaux rapports

rapport hcsrch.bat :

Rapport fait à 19:21:28.96 le 15/12/2005
Executé à partir de C:\Documents and Settings\Yvanhoe\Bureau\fix
OS: Microsoft Windows XP [version 5.1.2600]

*********************************************

Vérification HKLM\...\...\...\...\ruins

*********************************************

Fichiers détectés :

C:\WINDOWS\rdt.ini Présent !
C:\WINDOWS\Help\SPAlert.chm Présent !
C:\WINDOWS\system32\filesafer23.exe Présent !
C:\WINDOWS\System32\idemlog.exe Présent !

*********************************************

Recherche des processus aleatoires
d'après les modèles : cs***.exe, dm***.exe, ya***.exe

C:\WINDOWS\System32

*********************************************

Recherche presence idemlog.exe...

C:\WINDOWS\System32\idemlog.exe Présent !
Recherche des fichiers crees le 10/12/2005....

!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!

C:\WINDOWS\Help
C:\WINDOWS\rdt.ini
C:\WINDOWS\System32\close.bmp
C:\WINDOWS\System32\filesafer23.exe
C:\WINDOWS\System32\idemlog.exe
C:\WINDOWS\System32\idesk.conf

*************** Fin du rapport ******************

Rapport silentrunner :

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"WOOKIT" = "C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe" ["France Télécom R&D"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"WOOTASKBARICON" = "C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe" ["France Télécom R&D"]
"AVGCtrl" = ""C:\Program Files\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"TkBellExe" = ""C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}\(Default) = "PCTools Site Guard" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll" ["PC Tools"]
{B56A7D7D-6927-48C8-A975-17DF180C71AC}\(Default) = "PCTools Browser Monitor" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll" ["PC Tools"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{B446400D-0030-457b-8F64-422A19605186}" = "Logitech Gallery"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Logitech\ImageStudio\NameSpc.dll" ["Logitech Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL" [null data]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{9EF34FF2-3396-4527-9D27-04C8C1C67806}" = "Microsoft AntiSpyware Service Hook"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft AntiSpyware\shellextension.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL" [null data]
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Yvanhoe\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "Real.com" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{1462651F-F4BA-4C76-A001-C4284D0FE16E}\
"ButtonText" = "Wanadoo"
"Exec" = "http://www.wanadoo.fr" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{2D663D1A-8670-49D9-A1A5-4C56B4E14E84}\
"ButtonText" = "Spyware Doctor"
"CLSIDExtension" = "{A1EDC4A1-940F-48E0-8DFD-E38F1D501021}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll" ["PC Tools"]

{85D1F590-48F4-11D9-9669-0800200C9A66}\
"MenuText" = "Uninstall BitDefender Online Scanner v8"
"Exec" = "%windir%\bdoscandel.exe" [null data]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherche"

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messager Wanadoo"
"MenuText" = "Messager Wanadoo"
"Exec" = "C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe" ["France Telecom"]

Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

Missing lines (compared with English-language version):
[Strings]: 1 line

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
"{08C06D61-F1F3-4799-86F8-BE1A89362C85}" = "Search Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Wanadoo\SEARCH~1.DLL" [empty string]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Program Files\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
France Telecom Routing Table Service, FTRTSVC, "C:\WINDOWS\System32\FTRTSVC.exe" ["France Telecom"]
PC Tools Spyware Doctor, SDhelper, "C:\Program Files\Spyware Doctor\sdhelp.exe" ["PC Tools"]
SmartLinkService, SLService, "slserv.exe" ["Smart Link"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzlnt05\Driver = "hpzlnt05.dll" ["HP"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]

----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 46 seconds, including 15 seconds for message boxes)

Est ce que tu y vois quelquechose ?
merci
0
Réponse 18 / 56
Utilisateur anonyme
 
Tu peux me rajouter un hijack this?
0
Réponse 19 / 56
quidam14
 
le voilà j'avais hésité à en donner un ;-)

Rapport Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 21:47:58, on 16/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {299A9646-5250-4BDC-AA93-30040D85EE20} (CaraPlus.ChatClient) - http://www.caraplus.com/activex/cab/Caraplus.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.cg14.fr/sig/mg60ctrl_windows_activex_ie.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101278865599
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133117562125
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5657BF09-738B-4BF0-9D64-081CC7F449D7}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

)
0
Réponse 20 / 56
Utilisateur anonyme
 
Salut

Telecharge ceci
http://cjoint.com/?mrlUOG2MIa

Execute le, ouvre Hcsrch
Puis le bloc note s ouvre, copie/colle le rapport

a+
0

Discussions similaires

Logiciel équivalent à Crystal Disk Info pour Mac.
Lady1994 -
Daenerys_WD -

1 réponse
Comment s’inscrire sur célibataire du web
Mimi412 -
MPMP10 -

6 réponses