Pipas.A info (?), web barre sur le bureau

Question

Bonjour,Une barre d'icones apparait à chaque démarrage de windows ou d'une nouvelle session sur le bureau à droite, dès que la souris passe dessus la connexion internet demande à être établie. il y a une tentative de connexion vers des sites web je pense.J'ai lancé un scan avec Antir Guard, rien trouvé. Un scan avec Microsoft Antispyware rien trouvé.Un scan avec Ad-Aware SE Personal, il a trouvé qques objets que j'ai mis en quarantaine dont voici la liste ci-dessous. Je pense qu'effectivement il faut les mettre en quarantaine. Mais les iconnes (une web barre ?) sont toujours apparantes, pillules miracle, XXX, casino... un bouton close permet de la fermer quand même. Plus bas le log de HijackThis et Spybot également...)ArchiveData(auto-quarantine- 2005-12-10 03-26-36.bckp)Referencefile : SE1R79 09.12.2005======================================================ADWARE.TOOLBAND»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»obj[0]=Regkey : toolband.toolbandobjobj[1]=Regkey : toolband.toolbandobj.1obj[4]=RegValue : S-1-5-21-1275210071-1645522239-839522115-1004\software\microsoft\internet explorer	oolbar\Webbrowser "{08bec6aa-49fc-4379-3587-4b21e286c19e}"obj[18]=Regkey : interface\{9d573d0e-663c-435f-bf31-2c4497373c41}COOLWEBSEARCH»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»obj[2]=Regkey : interface\{b1e68d42-02c4-465b-8368-5ed9b732e22d}obj[3]=Regkey : typelib\{110fa82f-db6c-3c24-8929-60961d10c56e}obj[19]=Regkey : software\microsoft\downloadmanagerobj[20]=RegValue : software\microsoft\internet explorer\main "Use Custom Search URL"obj[21]=RegValue : software\microsoft\internet explorer
ew windows "PopupMgr"obj[22]=RegValue : software\microsoft\internet explorer\main "Enable Browser Extensions"obj[23]=RegValue : software\microsoft\internet explorer\main "Search Bar"obj[24]=Dossier : C:\Documents and Settings\Yvanhoe\Favoris\Online Pharmacyobj[25]=Fichier : C:\Documents and Settings\Yvanhoe\Favoris\online pharmacy\CHEAPEST VIAGRA ONLINE.urlobj[26]=Fichier : C:\Documents and Settings\Yvanhoe\Favoris\online pharmacy\Cialis at HALF PRICE!.urlobj[27]=Fichier : C:\Documents and Settings\Yvanhoe\Favoris\online pharmacy\Fast Way To Loose Your Weight!.urlobj[28]=Fichier : C:\Documents and Settings\Yvanhoe\Favoris\online pharmacy\Guaranteed low price at Pills..urlobj[29]=Fichier : C:\Documents and Settings\Yvanhoe\Favoris\online pharmacy\SOMA at Special LOW PRICE.urlobj[30]=Fichier : C:\Documents and Settings\Yvanhoe\Favoris\online pharmacy\Tramadol Special Offer!.urlobj[31]=Fichier : C:\Documents and Settings\Yvanhoe\Favoris\online pharmacy\Try New VIAGRA! Works Faster and Longer!.urlobj[32]=Fichier : C:\WINDOWS\balloon.wavobj[33]=Fichier : C:\WINDOWS\wplog.txtobj[34]=Fichier : C:\WINDOWS\system32\wbem\logs\wbemess.log********************************************************************C'est un peu fastidieux à lire je reconnais.Je parcours les forums et j'installe HijackThis pour en savoir un peu plus. Apparement il y a des éléments indésirables. Dont voici le résultat du log :Logfile of HijackThis v1.99.1Scan saved at 19:29:33, on 11/12/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXEC:\Program Files\AVPersonal\AVWUPSRV.EXEC:\WINDOWS\System32\FTRTSVC.exeC:\WINDOWS\system32\slserv.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\wdfmgr.exeC:\WINDOWS\System32\alg.exeC:\WINDOWS\SOUNDMAN.EXEC:\program files\u-storage tools1.0\ustorage.exeC:\Program Files\AVPersonal\AVGNT.EXEC:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\PROGRA~1\Wanadoo\TaskBarIcon.exeC:\Program Files\Microsoft AntiSpyware\gcasDtServ.exeC:\Program Files\Spybot - Search & Destroy\SpybotSD.exeC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\PROGRA~1\Wanadoo\Toaster.exeC:\PROGRA~1\Wanadoo\Inactivity.exeC:\PROGRA~1\Wanadoo\PollingModule.exeC:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXEC:\Program Files\Wanadoo\Watch.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exeC:\unzipped\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLLO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [UStorage] c:\program files\u-storage tools1.0\ustorage.exe sys_auto_run C:\Program Files\U-Storage Tools1.0O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /minO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exeO4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exeO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dllO9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exeO9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exeO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cabO16 - DPF: {299A9646-5250-4BDC-AA93-30040D85EE20} (CaraPlus.ChatClient) - http://www.caraplus.com/activex/cab/Caraplus.CABO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cabO16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.cg14.fr/sig/mg60ctrl_windows_activex_ie.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101278865599O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133117562125O17 - HKLM\System\CCS\Services\Tcpip\..\{307093D7-ED3D-4D0A-B668-E7AD141791B0}: NameServer = 85.255.113.138,85.255.112.14O17 - HKLM\System\CCS\Services\Tcpip\..\{5657BF09-738B-4BF0-9D64-081CC7F449D7}: NameServer = 80.10.246.130 80.10.246.3O17 - HKLM\System\CCS\Services\Tcpip\..\{B9885C07-C9CA-496E-A7E6-6544E8A0A2E9}: NameServer = 85.255.113.138,85.255.112.14O17 - HKLM\System\CS1\Services\Tcpip\..\{307093D7-ED3D-4D0A-B668-E7AD141791B0}: NameServer = 85.255.113.138,85.255.112.14O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXEO23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXEO23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exeO23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe***********************************************************Ensuite j'installe Spybot pour faire le tour ou presque du problème et Spybot détecte Pipas.A dont je ne trouve pas beaucoup d'info avec google.Windows Security Center.AntiVirusOverride: Réglages (Modification du registre, nothing done)  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0Pipas.A: Réglages (Clé du registre, nothing done)  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionuins***********************************************************Ca ne me parle pas du tout. Si quelqu'un connait les lignes indésirables, les choses à bloquer. Merci. Et surtout le moyen de supprimer cette web barre du bureau qui doit être lié. Désolé pour la longueur du poste et les log !Cordialement

incognito02 · Answer

Bonsoir,Déconnecte toi d'internet c'est importantRelance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked : O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852" O17 - HKLM\System\CCS\Services\Tcpip\..\{307093D7-ED3D-4D0A-B668-E7AD141791B0}: NameServer = 85.255.113.138,85.255.112.14O17 - HKLM\System\CCS\Services\Tcpip\..\{B9885C07-C9CA-496E-A7E6-6544E8A0A2E9}: NameServer = 85.255.113.138,85.255.112.14O17 - HKLM\System\CS1\Services\Tcpip\..\{307093D7-ED3D-4D0A-B668-E7AD141791B0}: NameServer = 85.255.113.138,85.255.112.14 puis vérifie ceci:demarrer > connection > clic droit sur ta connection > propriétésgestion de reseauassure toi que protocole internet tcp/ip est en surbrillance (attention, ne décoche pas la case)> clic sur propriétés > selectionne "obtenir les adresses des serveurs automatiquement"valide avec okPrécise où en sont tes soucis.a+

Quidam14 · Answer

J'ai relancé Hitjackthis coché les cases, et "fix checked" la liste.Puis je suis allé voir dans les propriété de ma connexion "obtenir les adresses des serveurs automatiquement" était déjà sélectionné.J'ai redémarré le pc les icones indésirables sur le  bureau sont tjs en place. La connexion demande à être établie qd on passe la souris dessus.J'ai relancé HitjackThis et j'ai le log suivant : une des ligne 017 que j'ai supprimé précédement est revenu. Sais-tu à quoi correspond cette adresse serveur ?R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLLO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [UStorage] c:\program files\u-storage tools1.0\ustorage.exe sys_auto_run C:\Program Files\U-Storage Tools1.0O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /minO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exeO4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osbootO4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exeO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dllO9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exeO9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exeO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cabO16 - DPF: {299A9646-5250-4BDC-AA93-30040D85EE20} (CaraPlus.ChatClient) - http://www.caraplus.com/activex/cab/Caraplus.CABO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cabO16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.cg14.fr/sig/mg60ctrl_windows_activex_ie.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101278865599O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133117562125O17 - HKLM\System\CCS\Services\Tcpip\..\{5657BF09-738B-4BF0-9D64-081CC7F449D7}: NameServer = 80.10.246.1 80.10.246.132O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXEO23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXEO23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exeO23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exeMerci pour ton aide.

Quidam14 · Answer

Je précise également que lorsque je lance msconfig (dans démarrer > éxécuter) dans la liste des programmes qui doivent être lancé au démarrage j'avais décoché un ".EXE" un exécutable avec un nom que je ne connaissais pas. Hors maintenant à chaque démarrage le nom se trouvant devant la case qui est décoché change de nom !! le programme est sensé ne pas être éxécuté car décoché et en plus il change de nom dans la liste.Là il s'appelle "jopplerg.exe" il y a aussi MON76234.exe que je ne connais pas sapstr.exeil doit y avoir un programme ou un processus qui se cache et en plus change de nom à chaque arret de xp ou à chaque démarrage.je cherche encore des info. merci.

balltrap34 · Answer

salutpeut tu faire analyser ceciC:\Program Files\U-Storage Tools1.0 fait analyser ces fichiers ici23 editeur d anti virushttp://www.virustotal.com/xhtml/virustotal_en.htmlclik sur parcourir localise le fichier et clik sur send attend le rapportet donne nous le-----------------------

quidam14 · Answer

En fait ce fichier correspond au logiciel ou pilote installé avec ma clé usb.Par contre j'ai tout décoché dans la liste des programmes devant se lancer au démarrage (dans démarrer > éxécuter > msconfig > démarrage). J'ai relancé le pc les icones étaient tjs là. j'ai revérifier avec msconfig la liste des prog lancé au démarrage et là comme par magie un programme était coché seul (il ne devait pas y en avoir) c'est idemlog. Je le décoche, je redémarre et là oh miracle plus d'icones indésirables sur le bureau, et pas de programme coché dans la liste de msconfig. C'est tjs ça de gagner.Je me renseigne sur idemlog à moins que se fichier soit normal mais corrompu.infos donnée par msconfig pour idemlogcommande:  C:\Windows\system32\idemlog.exeemplacement: HKCU\Software\Microsoft\Windows\CurrentVersion\Runmerci

incognito02 · Answer

Bonsoir Balltrap,Idemlog me disait quelque chose .... grosse galère en perspective :Régis59 se bat avec depuis plusieurs jours sur ce post :http://www.commentcamarche.net/forum/affich-1970776-pb-de-viruslà, je suis trop novice, c'est une sacrée bestiole !Peux tu me donner un coup de main s'il te plait ?A++

Utilisateur anonyme · Answer

salutTélécharge hcsrch.zip ici: http://cjoint.com/?mmtCLUvLjDdezippe le et lance hcsrch.batcopie et colle le rapport iciTélécharge silentrunnershttp://www.silentrunners.org/Silent%20Runners.vbslance silentrunners.vbs, et si ton antivirus te le demande autorise le script. Attend qu'une fenetre s'ouvre et te préviennes que le scan est terminé. Au même endroit ou tu as enregistré silentrunner, doit se trouver un fichier texte (Startup programs....), ouvre le et copie et colle le contenu ici. a+

quidam14 · Answer

Bonsoir tout le monde merci pour vos infos, c'est encore mieux de s'y mettre à plusieurs surtout quand on est  pas le seul concerné ! ;-)j'ai fait un scan en ligne avec panda qui complète très bien spybot, Ad-Aware, ms antispyware et Antivir Guard, car j'ai obtenu une liste complète de virus, spy et adware sur mon pc et leur statut.Incident                      Statut                        AnalyseSpyware:spyware/searchcentrix Non désinfecté                C:\WINDOWS\SYSTEM32\IfHelper.dllAdware:adware/gator           Non désinfecté                C:\WINDOWS\GatorPdpLoudInstaller.log Adware:adware/sbsoft          Non désinfecté                C:\WINDOWS\rdt.ini  Virus:Trj/Downloader.FFZ      Désinfecté                    C:\WINDOWS\system32\csbjg.exeAdware:Adware/Spoon           Non désinfecté                C:\WINDOWS\system32\favset.exe Adware:Adware/IdeskBar        Non désinfecté                C:\WINDOWS\system32\idemlog.exe Virus:Trj/Agent.AWH           Désinfecté                    C:\WINDOWS\system32\logo_big.exeAdware:Adware/QuickWeb        Non désinfecté                C:\WINDOWS\system32\pppcgm.exeAdware:Adware/Findspy         Non désinfecté                C:\WINDOWS\system32\sphlp32.exeVirus:Trj/Agent.AWL           Désinfecté                    C:\WINDOWS\system32\yaemu.exej'ai supprimé manuellement le fichier sphlp32.exe concernant cet adware.je recherche les fix ou autres logiciels pour supprimer ceux qui n'ont pas été désinfectés. Si vous en connaissez pour ceux de cette liste.Actuellement je refais un scan en ligne sur bitdefender.fr en ligne pour confirmer éventuellement la liste obtenu et voir s'il n'y a pas de nouveaux résultats... toutes les soluces sont les bienvenus ca en aidera d'autres qui procède autrement.

quidam14 · Answer

voila le nouveau rapport de bitdefender en ligne qques trolans c dingue !.. je n'ai pas supprimé les fichiers incriminés.Est ce que quelqu'un sait si l'on peut supprimer des fichiers sans problème et si leur suppression élimine ces virus ?C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124855.exe Infecté par: Trojan.Downloader.FFZ C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124855.exe Echec de la désinfection C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124860.exe Infecté par: Trojan.DNSChanger.R C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124860.exe Echec de la désinfection C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124868.exe Infecté par: Trojan.Downloader.FFZ C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124868.exe Echec de la désinfection C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124873.exe Infecté par: Trojan.DNSChanger.R C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124873.exe Echec de la désinfection C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124877.exe Infecté par: Trojan.Downloader.FFZ C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124877.exe Echec de la désinfection C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124882.exe Infecté par: Trojan.DNSChanger.R C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124882.exe Echec de la désinfection C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124887.exe Infecté par: Trojan.Downloader.FFZ C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124887.exe Echec de la désinfection C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124896.exe Infecté par: Trojan.Downloader.FFZ C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124896.exe Echec de la désinfection C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124904.exe Infecté par: Trojan.Downloader.FFZ C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0124904.exe Echec de la désinfection C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125904.exe Infecté par: Trojan.Downloader.FFZ C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125904.exe Echec de la désinfection C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125913.exe Infecté par: Trojan.Downloader.FFZ C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125913.exe Echec de la désinfection C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125922.exe Infecté par: Trojan.Downloader.FFZ C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125922.exe Echec de la désinfection C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125971.exe Infecté par: Trojan.Downloader.FFZ C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125971.exe Echec de la désinfection C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125977.exe Infecté par: Trojan.Downloader.FFZ C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125977.exe Echec de la désinfection C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125987.exe Infecté par: Trojan.Downloader.FFZ C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125987.exe Echec de la désinfection C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125996.exe Infecté par: Trojan.Downloader.FFZ C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125996.exe Echec de la désinfection C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0126027.exe Infecté par: Trojan.Downloader.FFZ C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0126027.exe Echec de la désinfection C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0126029.exe Infecté par: Trojan.DNSChanger.R C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0126029.exe Echec de la désinfection C:\WINDOWS\system32\pppcgm.exe Infecté par: Trojan.Fakealert C:\WINDOWS\system32\pppcgm.exe Echec de la désinfection

incognito02 · Answer

Bonsoir,Démarre en mode sans échec : Pour cela, tu tapotes la touche F8 dès le début de l allumage du pc sans t arrêter Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal ! (Si F8 ne marche pas utilise la touche F5)supprime ce fichier :C:\WINDOWS\system32\pppcgm.exeredemarre en mode normal.puis fais ce que te demande Moe31 au N°7 de ce post.Bon courage.A+

quidam14 · Answer

Bonjour à tous,salut incognito02, Moe31, j'ai supprimé pppcgm.exe comme tu m'as dit.ci-dessous les rapports donnés par Hcsrch.bat et Silent Runners.vbsRapport : Hcsrch.batRapport fait à  5:55:15.15 le 14/12/2005Executé à partir de C:\Documents and Settings\Yvanhoe\Bureau\fixOS: Microsoft Windows XP [version 5.1.2600]*********************************************Vérification HKLM\...\...\...\...\ruins*********************************************Fichiers détectés :C:\WINDOWS\rdt.ini Présent !C:\WINDOWS\Help\SPAlert.chm Présent !C:\WINDOWS\system32\favset.exe Présent !C:\WINDOWS\system32\filesafer23.exe Présent !C:\WINDOWS\System32\howiper.exe Présent !C:\WINDOWS\System32\idemlog.exe Présent !*********************************************Recherche des processus aleatoiresd'après les modèles : cs***.exe, dm***.exe, ya***.exeC:\WINDOWS\System32*********************************************Recherche presence  idemlog.exe... C:\WINDOWS\System32\idemlog.exe Présent !Recherche des fichiers crees le 10/12/2005....!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!C:\WINDOWS\HelpC:\WINDOWS\rdt.iniC:\WINDOWS\wmsetup.logC:\WINDOWS\System32\close.bmpC:\WINDOWS\System32\favset.exeC:\WINDOWS\System32\filesafer23.exeC:\WINDOWS\System32\howiper.exeC:\WINDOWS\System32\idemlog.exeC:\WINDOWS\System32\idesk.conf*************** Fin du rapport ******************Rapport "Silent Runners.vbs", revision 41, http://www.silentrunners.org/Operating System: Windows XP SP2Output limited to non-default values, except where indicated by "{++}"Startup items buried in registry:---------------------------------HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}"WOOKIT" = "C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe" ["France Télécom R&D"]HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}"WOOTASKBARICON" = "C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe" ["France Télécom R&D"]"AVGCtrl" = ""C:\Program Files\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]"MSConfig" = "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto" [MS]HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]"{B446400D-0030-457b-8F64-422A19605186}" = "Logitech Gallery"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Logitech\ImageStudio\NameSpc.dll" ["Logitech Inc."]"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL" [null data]"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\INFECTION WARNING! "{9EF34FF2-3396-4527-9D27-04C8C1C67806}" = "Microsoft AntiSpyware Service Hook"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft AntiSpyware\shellextension.dll" [MS]HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]HKLM\Software\Classes\PROTOCOLS\Filter\INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]HKLM\Software\Classes\*\shellex\ContextMenuHandlers\AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL" [null data]AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]Active Desktop and Wallpaper:-----------------------------Active Desktop is disabled at this entry:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellStateHKCU\Control Panel\Desktop\"Wallpaper" = "C:\Documents and Settings\Yvanhoe\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"Enabled Screen Saver:---------------------HKCU\Control Panel\Desktop\"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]Winsock2 Service Provider DLLs:-------------------------------Namespace Service ProvidersHKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]Transport Service ProvidersHKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05Toolbars, Explorer Bars, Extensions:------------------------------------Explorer BarsHKLM\Software\Microsoft\Internet Explorer\Explorer Bars\{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "Real.com" [from CLSID]  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Shdocvw.dll" [MS]Extensions (Tools menu items, main toolbar menu buttons)HKCU\Software\Microsoft\Internet Explorer\Extensions\{1462651F-F4BA-4C76-A001-C4284D0FE16E}\"ButtonText" = "Wanadoo""Exec" = "http://www.wanadoo.fr" [file not found]HKLM\Software\Microsoft\Internet Explorer\Extensions\{85D1F590-48F4-11D9-9669-0800200C9A66}\"MenuText" = "Uninstall BitDefender Online Scanner v8""Exec" = "%windir%\bdoscandel.exe" [null data]{92780B25-18CC-41C8-B9BE-3C9C571A8263}\"ButtonText" = "Recherche"{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\"ButtonText" = "Real.com"{FB5F1910-F110-11D2-BB9E-00C04F795683}\"ButtonText" = "Messager Wanadoo""MenuText" = "Messager Wanadoo""Exec" = "C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe" ["France Telecom"]Miscellaneous IE Hijack Points------------------------------C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")Added lines (compared with English-language version):[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"Missing lines (compared with English-language version):[Strings]: 1 lineHKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\"{08C06D61-F1F3-4799-86F8-BE1A89362C85}" = "Search Class" [from CLSID]  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Wanadoo\SEARCH~1.DLL" [empty string]Running Services (Display Name, Service Name, Path {Service DLL}):------------------------------------------------------------------AntiVir Service, AntiVirService, ""C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]AntiVir Update, AVWUpSrv, ""C:\Program Files\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]France Telecom Routing Table Service, FTRTSVC, "C:\WINDOWS\System32\FTRTSVC.exe" ["France Telecom"]SmartLinkService, SLService, "slserv.exe" ["Smart Link"]Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]Print Monitors:---------------HKLM\System\CurrentControlSet\Control\Print\Monitors\hpzlnt05\Driver = "hpzlnt05.dll" ["HP"]Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]----------+ This report excludes default entries except where indicated.+ To see *everywhere* the script checks and *everything* it finds,  launch it from a command prompt or a shortcut with the -all parameter.+ To search all directories of local fixed drives for DESKTOP.INI  DLL launch points and all Registry CLSIDs for dormant Explorer Bars,  use the -supp parameter or answer "No" at the first message box.---------- (total run time: 37 seconds, including 13 seconds for message boxes)en espérant y voir plus clair avec vous.merci

Utilisateur anonyme · Answer

salutTélécharge ceci: (merci a S!RI pour ce petit programme).http://siri.urz.free.fr/Fix/SmitfraudFix.zipExécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapportCopie/colle le sur le poste stp.

quidam14 · Answer

salut Régis,voila le rapport de SmitfraudfixSmitFraudFix v2.08Rapport fait à  5:41:03.67 le 15/12/2005Executé à partir de C:\Documents and Settings\Yvanhoe\Bureau\fix\SmitfraudFix\SmitfraudFixOS: Microsoft Windows XP [version 5.1.2600]»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Yvanhoe\Application Data»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]"Source"="About:Home""SubscribedURL"="About:Home""FriendlyName"="Ma page d'accueil" »»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui""{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Utilisateur anonyme · Answer

saluttu peux remettre les rapports que t avais demandé moe?a+

quidam14 · Answer

Salut RegisLes rapports demandés par Moe sont ci-dessus en réponse n°12j'ai une liste de virus en n°10et ci-dessous un log de Spyware DoctorScan Results:scan start: 15/12/2005 18:02:01 scan stop: 15/12/2005 18:14:56 scanned items: 77774 found items: 40 found and ignored: 0 tools used: General Scanner, Process Scanner, Hosts scanner, LSP Scanner, Registry Scanner, Browser Defaults, Favorites and ZoneMap Scanner, ActiveX Scanner, Browser Activity Scanner, Disk Scanner        Infection Name Location Risk  Search Toolbar HKCU\Software\SearchToolbar Elevated  Search Toolbar HKCU\Software\SearchToolbar## Elevated  Search Toolbar HKCU\Software\SearchToolbar##Update Elevated  Search Toolbar HKCU\Software\SearchToolbar\History Elevated  Search Toolbar HKCU\Software\SearchToolbar\History## Elevated  Search Toolbar HKCU\Software\SearchToolbar\History\all Elevated  Search Toolbar HKCU\Software\SearchToolbar\History\all## Elevated  Search Toolbar HKCU\Software\SearchToolbar\History\all\History Elevated  Search Toolbar HKCU\Software\SearchToolbar\History\all\History## Elevated  Search Toolbar HKCU\Software\SearchToolbar\Popups Elevated  Search Toolbar HKCU\Software\SearchToolbar\Popups## Elevated  Search Toolbar HKLM\SOFTWARE\SearchToolbar Elevated  Search Toolbar HKLM\SOFTWARE\SearchToolbar## Elevated  Search Toolbar HKLM\SOFTWARE\SearchToolbar\Toolbar Elevated  Search Toolbar HKLM\SOFTWARE\SearchToolbar\Toolbar## Elevated  Search Toolbar HKLM\SOFTWARE\SearchToolbar\Toolbar##Version Elevated  Search Toolbar HKLM\SOFTWARE\SearchToolbar\Toolbar##OptdateTest Elevated  Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls High  Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls## High  Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls##xedocne High  Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls##gib_ogol High  Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls##repiwoh High  Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls##llun High  Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls##23plhps High  Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls##mgcppp High  Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls##tesvaf High  Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls##golmedi High  Trojan.Downloader.Ruins HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls##32refaselif High  Search Toolbar HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser##{08BEC6AA-49FC-4379-3587-4B21E286C19E} Elevated  Tracking Cookie(s) C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@xiti[1].txt Medium  Advertising C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@spywareremoversreview[1].txt Low  Advertising C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@www.smartadserver[1].txt Low  Tracking Cookie(s) C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@microsofteup.112.2o7[1].txt Medium  Tracking Cookie(s) C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@fl01.ct2.comclick[2].txt Medium  Tracking Cookie(s) C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@bluestreak[1].txt Medium  Tracking Cookie(s) C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@tribalfusion[1].txt Medium  Advertising C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@adtech[2].txt Low  Tracking Cookie(s) C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@cgi-bin[2].txt Medium  Search Toolbar C:\WINDOWS\rdt.ini Elevated  Trojan.MsnAgent C:\WINDOWS\help\SPAlert.chm J'ai tjs qques virus détecté mais pas de moyen pour les éradiquer. Le meilleur moyen c'est encore d'acheter une licence d'antivirus en ligne...

Utilisateur anonyme · Answer

salutok sur ca mais si jte demande de nouveaux rapports c est parce qu il y a une raisonMerci de ta comprehension

quidam14 · Answer

ok Régis je croyais que tu n'avais pas vu les log précédents, ça marche voila les nouveaux rapportsrapport hcsrch.bat :Rapport fait à 19:21:28.96 le 15/12/2005Executé à partir de C:\Documents and Settings\Yvanhoe\Bureau\fixOS: Microsoft Windows XP [version 5.1.2600]*********************************************Vérification HKLM\...\...\...\...\ruins*********************************************Fichiers détectés :C:\WINDOWS\rdt.ini Présent !C:\WINDOWS\Help\SPAlert.chm Présent !C:\WINDOWS\system32\filesafer23.exe Présent !C:\WINDOWS\System32\idemlog.exe Présent !*********************************************Recherche des processus aleatoiresd'après les modèles : cs***.exe, dm***.exe, ya***.exeC:\WINDOWS\System32*********************************************Recherche presence  idemlog.exe... C:\WINDOWS\System32\idemlog.exe Présent !Recherche des fichiers crees le 10/12/2005....!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!C:\WINDOWS\HelpC:\WINDOWS\rdt.iniC:\WINDOWS\System32\close.bmpC:\WINDOWS\System32\filesafer23.exeC:\WINDOWS\System32\idemlog.exeC:\WINDOWS\System32\idesk.conf*************** Fin du rapport ****************** Rapport silentrunner :"Silent Runners.vbs", revision 41, http://www.silentrunners.org/Operating System: Windows XP SP2Output limited to non-default values, except where indicated by "{++}"Startup items buried in registry:---------------------------------HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}"WOOKIT" = "C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe" ["France Télécom R&D"]HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}"WOOTASKBARICON" = "C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe" ["France Télécom R&D"]"AVGCtrl" = ""C:\Program Files\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]"TkBellExe" = ""C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot" ["RealNetworks, Inc."]"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]{5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}\(Default) = "PCTools Site Guard" [from CLSID]  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll" ["PC Tools"]{B56A7D7D-6927-48C8-A975-17DF180C71AC}\(Default) = "PCTools Browser Monitor" [from CLSID]  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll" ["PC Tools"]HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]"{B446400D-0030-457b-8F64-422A19605186}" = "Logitech Gallery"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Logitech\ImageStudio\NameSpc.dll" ["Logitech Inc."]"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL" [null data]"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\INFECTION WARNING! "{9EF34FF2-3396-4527-9D27-04C8C1C67806}" = "Microsoft AntiSpyware Service Hook"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft AntiSpyware\shellextension.dll" [MS]HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]HKLM\Software\Classes\PROTOCOLS\Filter\INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]HKLM\Software\Classes\*\shellex\ContextMenuHandlers\AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL" [null data]AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]Active Desktop and Wallpaper:-----------------------------Active Desktop is disabled at this entry:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellStateHKCU\Control Panel\Desktop\"Wallpaper" = "C:\Documents and Settings\Yvanhoe\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"Enabled Screen Saver:---------------------HKCU\Control Panel\Desktop\"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]Winsock2 Service Provider DLLs:-------------------------------Namespace Service ProvidersHKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]Transport Service ProvidersHKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05Toolbars, Explorer Bars, Extensions:------------------------------------Explorer BarsHKLM\Software\Microsoft\Internet Explorer\Explorer Bars\{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "Real.com" [from CLSID]  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Shdocvw.dll" [MS]Extensions (Tools menu items, main toolbar menu buttons)HKCU\Software\Microsoft\Internet Explorer\Extensions\{1462651F-F4BA-4C76-A001-C4284D0FE16E}\"ButtonText" = "Wanadoo""Exec" = "http://www.wanadoo.fr" [file not found]HKLM\Software\Microsoft\Internet Explorer\Extensions\{2D663D1A-8670-49D9-A1A5-4C56B4E14E84}\"ButtonText" = "Spyware Doctor""CLSIDExtension" = "{A1EDC4A1-940F-48E0-8DFD-E38F1D501021}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll" ["PC Tools"]{85D1F590-48F4-11D9-9669-0800200C9A66}\"MenuText" = "Uninstall BitDefender Online Scanner v8""Exec" = "%windir%\bdoscandel.exe" [null data]{92780B25-18CC-41C8-B9BE-3C9C571A8263}\"ButtonText" = "Recherche"{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\"ButtonText" = "Real.com"{FB5F1910-F110-11D2-BB9E-00C04F795683}\"ButtonText" = "Messager Wanadoo""MenuText" = "Messager Wanadoo""Exec" = "C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe" ["France Telecom"]Miscellaneous IE Hijack Points------------------------------C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")Added lines (compared with English-language version):[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"Missing lines (compared with English-language version):[Strings]: 1 lineHKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\"{08C06D61-F1F3-4799-86F8-BE1A89362C85}" = "Search Class" [from CLSID]  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Wanadoo\SEARCH~1.DLL" [empty string]Running Services (Display Name, Service Name, Path {Service DLL}):------------------------------------------------------------------AntiVir Service, AntiVirService, ""C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]AntiVir Update, AVWUpSrv, ""C:\Program Files\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data]avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data]avast! Mail Scanner, avast! Mail Scanner, ""C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]France Telecom Routing Table Service, FTRTSVC, "C:\WINDOWS\System32\FTRTSVC.exe" ["France Telecom"]PC Tools Spyware Doctor, SDhelper, "C:\Program Files\Spyware Doctor\sdhelp.exe" ["PC Tools"]SmartLinkService, SLService, "slserv.exe" ["Smart Link"]Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]Print Monitors:---------------HKLM\System\CurrentControlSet\Control\Print\Monitors\hpzlnt05\Driver = "hpzlnt05.dll" ["HP"]Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]----------+ This report excludes default entries except where indicated.+ To see *everywhere* the script checks and *everything* it finds,  launch it from a command prompt or a shortcut with the -all parameter.+ To search all directories of local fixed drives for DESKTOP.INI  DLL launch points and all Registry CLSIDs for dormant Explorer Bars,  use the -supp parameter or answer "No" at the first message box.---------- (total run time: 46 seconds, including 15 seconds for message boxes)Est ce que tu y vois quelquechose ?merci

Utilisateur anonyme · Answer

Tu peux me rajouter un hijack this?

quidam14 · Answer

le voilà j'avais hésité à en donner un ;-)Rapport HijackthisLogfile of HijackThis v1.99.1Scan saved at 21:47:58, on 16/12/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXEC:\WINDOWS\Explorer.EXEC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\Program Files\AVPersonal\AVWUPSRV.EXEC:\WINDOWS\System32\FTRTSVC.exeC:\Program Files\Spyware Doctor\sdhelp.exeC:\WINDOWS\system32\slserv.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\wdfmgr.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\PROGRA~1\Wanadoo\EspaceWanadoo.exeC:\PROGRA~1\Wanadoo\ComComp.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\WINDOWS\System32\alg.exeC:\PROGRA~1\Wanadoo\Toaster.exeC:\PROGRA~1\Wanadoo\Inactivity.exeC:\PROGRA~1\Wanadoo\PollingModule.exeC:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXEC:\PROGRA~1\Wanadoo\Watch.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\Internet Explorer\iexplore.exeC:\unzipped\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLLO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1	ools\iesdsg.dllO2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1	ools\iesdpb.dllO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1	ools\iesdpb.dllO9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dllO9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exeO9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exeO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cabO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {299A9646-5250-4BDC-AA93-30040D85EE20} (CaraPlus.ChatClient) - http://www.caraplus.com/activex/cab/Caraplus.CABO16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cabO16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cabO16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.cg14.fr/sig/mg60ctrl_windows_activex_ie.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101278865599O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133117562125O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{5657BF09-738B-4BF0-9D64-081CC7F449D7}: NameServer = 80.10.246.1 80.10.246.132O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXEO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXEO23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exeO23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Program Files\Spyware Doctor\sdhelp.exeO23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe)

Utilisateur anonyme · Answer

SalutTelecharge cecihttp://cjoint.com/?mrlUOG2MIaExecute le, ouvre HcsrchPuis le bloc note s ouvre, copie/colle le rapporta+

quidam14 · Answer

Salut Régisj'ai tjs le fichier idemlog, je ne sais pas s'il doit être supprimé seul et s'il doit l'être !voilà le rapport : Rapport fait à 15:50:36.15 le 17/12/2005Executé à partir de C:\Documents and Settings\Yvanhoe\Bureau\fix\mrlUOG2MIa_idemlog.exe\HcsrchOS: Microsoft Windows XP [version 5.1.2600]*********************************************Vérification HKLM\...\...\...\...\ruins*********************************************Fichiers détectés :C:\WINDOWS\rdt.ini Présent !C:\WINDOWS\Help\SPAlert.chm Présent !C:\WINDOWS\System32\close.bmp Présent !C:\WINDOWS\system32\filesafer23.exe Présent !C:\WINDOWS\System32\idesk.conf Présent !*********************************************Recherche des processus aleatoiresd'après les modèles : cs***.exe, dm***.exe, ya***.exeC:\WINDOWS\System32*********************************************Recherche presence  C:\WINDOWS\System32\idemlog.exe... C:\WINDOWS\System32\idemlog.exe Présent !Recherche des fichiers crees le 10/12/2005....!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!C:\WINDOWS\HelpC:\WINDOWS\rdt.iniC:\WINDOWS\System32\close.bmpC:\WINDOWS\System32\filesafer23.exeC:\WINDOWS\System32\idemlog.exeC:\WINDOWS\System32\idesk.conf*************** Fin du rapport ******************

Utilisateur anonyme · Answer

salutok cool ce prog (merci Moe)Remet un hijack this et on essaie de le virer suite a caa+

quidam14 · Answer

ok Régis voila le rapport Hijackthis :Logfile of HijackThis v1.99.1Scan saved at 19:04:53, on 17/12/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXEC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\Program Files\AVPersonal\AVWUPSRV.EXEC:\WINDOWS\System32\FTRTSVC.exeC:\Program Files\Spyware Doctor\sdhelp.exeC:\WINDOWS\system32\slserv.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\wdfmgr.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\PROGRA~1\Wanadoo\TaskBarIcon.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\WINDOWS\System32\alg.exeC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\PROGRA~1\Wanadoo\Toaster.exeC:\PROGRA~1\Wanadoo\Inactivity.exeC:\PROGRA~1\Wanadoo\PollingModule.exeC:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXEC:\Program Files\Wanadoo\Watch.exeC:\Program Files\Adobe\Photoshop 7.0\Photoshop.exeC:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZSTC05.EXEC:\Program Files\MSN Messenger\msnmsgr.exeC:\WINDOWS\explorer.exeC:\Program Files\Internet Explorer\iexplore.exeC:\unzipped\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLLO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1	ools\iesdsg.dllO2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1	ools\iesdpb.dllO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1	ools\iesdpb.dllO9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dllO9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exeO9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exeO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cabO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {299A9646-5250-4BDC-AA93-30040D85EE20} (CaraPlus.ChatClient) - http://www.caraplus.com/activex/cab/Caraplus.CABO16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cabO16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cabO16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.cg14.fr/sig/mg60ctrl_windows_activex_ie.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101278865599O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133117562125O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{5657BF09-738B-4BF0-9D64-081CC7F449D7}: NameServer = 80.10.246.1 80.10.246.132O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXEO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXEO23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exeO23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Program Files\Spyware Doctor\sdhelp.exeO23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

Utilisateur anonyme · Answer

re,¤Télécharge: Pocket Killbox ici http://www.downloads.subratam.org/KillBox.exe :: Démo d utilisation (merci a Balltrap34 pour cette réalisation) ::http://pageperso.aol.fr/balltrap34/killbox.htm -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ ¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked : O16 - DPF: {299A9646-5250-4BDC-AA93-30040D85EE20} (CaraPlus.ChatClient) - http://www.caraplus.com/activex/cab/Caraplus.CAB -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ 1- Double-clic sur KillBox.exe (Pocket Killbox) Avec la methode du bloc note, supprime ceci, voici la liste:C:\WINDOWS\rdt.ini C:\WINDOWS\Help\SPAlert.chm C:\WINDOWS\System32\close.bmp C:\WINDOWS\system32\filesafer23.exe C:\WINDOWS\System32\idesk.conf C:\WINDOWS\System32\idemlog.exeLaisse le pc redemarrer ou redemarre le s il ne le fait pasRemet un hijack this + le rapport du dernier proga+

quidam14 · Answer

j'ai procédé avec la méthode du bloc note killbox à plutot l'air efficace en matière de suppression de fichier, tous les fichiers ont été supprimés.Rapport Hijackthis :Logfile of HijackThis v1.99.1Scan saved at 02:46:10, on 18/12/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXEC:\WINDOWS\Explorer.EXEC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\Program Files\AVPersonal\AVWUPSRV.EXEC:\WINDOWS\System32\FTRTSVC.exeC:\Program Files\Spyware Doctor\sdhelp.exeC:\WINDOWS\system32\slserv.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\wdfmgr.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\PROGRA~1\Wanadoo\EspaceWanadoo.exeC:\PROGRA~1\Wanadoo\ComComp.exeC:\PROGRA~1\Wanadoo\Toaster.exeC:\PROGRA~1\Wanadoo\Inactivity.exeC:\PROGRA~1\Wanadoo\PollingModule.exeC:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXEC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\WINDOWS\System32\alg.exeC:\PROGRA~1\Wanadoo\Watch.exeC:\WINDOWS\system32\wuauclt.exeC:\unzipped\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLLO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1	ools\iesdsg.dllO2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1	ools\iesdpb.dllO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1	ools\iesdpb.dllO9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dllO9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exeO9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exeO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cabO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cabO16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cabO16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.cg14.fr/sig/mg60ctrl_windows_activex_ie.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101278865599O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133117562125O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cabO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXEO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXEO23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exeO23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Program Files\Spyware Doctor\sdhelp.exeO23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

Utilisateur anonyme · Answer

salutRemet un hijack this + le rapport du dernier prog Pour le hijack okmais ce qui m interresse le plus c est l autre programmeElle est toujours la cette barre?a+

quidam14 · Answer

Régis, La barre n'apparait plus depuis le poste n°5 du fil, je pense que les fichiers correspondant à cette barre ont été effacés aussi. J'ai supprimer les images bmp des icones dans le dossier system32 également.Apparement j'ai des trojan dans le style : \A0125987.exe Infecté par: Trojan.Downloader.FFZ C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125987.exe Echec de la désinfection C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125996.exe Infecté par: Trojan.Downloader.FFZ C:\System Volume Information\_restore{71D13899-52FF-44EF-9050-E0D0C86AF721}\RP211\A0125996.exe Echec de la désinfection ..etc..Est ce qu'un scan en ligne de panda ou bitdefender ne serait pas mieux et je poste les log ensuite ?merci

Utilisateur anonyme · Answer

salut¤Désactive ta restauration système (uniquement si tu es sous XP): Clic droit sur poste de travail puis, propriété, tu cliques sur onglet restauration système tu coches la case « désactiver la restauration » et applique.Puis,¤Réactive ta restauration système (uniquement si tu es sous XP): Clic droit sur poste de travail puis, propriété, tu cliques sur onglet restauration système tu décoches la case « désactiver la restauration » et applique.A+

quidam14 · Answer

salut Régisok j'ai supprimé les anciens points de restauration.j'ai le rapport du scan de panda en ligne :Incident                      Statut                        Analyse                                                                                                                                                                                                                                                         Spyware:spyware/searchcentrix Non désinfecté                C:\WINDOWS\System32\IfHelper.dll                                                                                                                                                                                                                                Spyware:spyware/searchcentrix Non désinfecté                C:\WINDOWS\SYSTEM32\IfHelper.dll                                                                                                                                                                                                                                Adware:adware/ideskbar        Non désinfecté                C:\WINDOWS\SYSTEM32\DRIVERS\zpmodemnt.sys                                                                                                                                                                                                                       Adware:adware/sbsoft          Non désinfecté                Registre Windows                                                                                                                                                                                                                                                Adware:Adware/IdeskBar        Non désinfecté                C:\!KillBox\idemlog.exe     idemlog a été supprimé par killBox mais il apparait dans C:\!KillBoxKillbox doit le saugarder...

Utilisateur anonyme · Answer

salutoui c est une sauvegarde...essai ceci stp5) Edwido http://download.ewido.net/ewido-setup.exe Pendant l'installation, sur la page "Additional Options", décoche les deux options "Install background guard" et "Install scan via context menu Ewido Security Suite. Clique sur mise à jour. Clique sur scanner puis sur scan complet du système. colle le rapporta+

quidam14 · Answer

Salut Régis,voilà le rapport Ewido--------------------------------------------------------- ewido anti-malware - Rapport de scan--------------------------------------------------------- + Créé le:		19:38:25, 20/12/2005 + Somme de contrôle:	89C31171 + Résultats du scan:	C:\!KillBox\filesafer23.exe -> Hijacker.Small : Ignoré	C:\!KillBox\idemlog.exe -> Hijacker.Small : Ignoré	C:\Documents and Settings\Yvanhoe\Mes documents	empo\MsgPlus-301.exe/sponsor.exe -> Downloader.Swizzor.ag : Ignoré	C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@112.2o7[2].txt -> Spyware.Cookie.2o7 : Nettoyer et sauvegarder	C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@247realmedia[1].txt -> Spyware.Cookie.247realmedia : Nettoyer et sauvegarder	C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@ad.yieldmanager[2].txt -> Spyware.Cookie.Yieldmanager : Nettoyer et sauvegarder	C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@adtech[2].txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder	C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@as1.falkag[2].txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder	C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@bluestreak[2].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder	C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@estat[1].txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder	C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@fl01.ct2.comclick[2].txt -> Spyware.Cookie.Comclick : Nettoyer et sauvegarder	C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@iv2.bluestreak[1].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder	C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@microsofteup.112.2o7[1].txt -> Spyware.Cookie.2o7 : Nettoyer et sauvegarder	C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder	C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@tribalfusion[1].txt -> Spyware.Cookie.Tribalfusion : Nettoyer et sauvegarder	C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@weborama[2].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder	C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@wreport.weborama[1].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder	C:\Documents and Settings\Yvanhoe\Cookies\yvanhoe@www.smartadserver[1].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder::Fin du rapportencore qques infections, j'ai supprimé les cookies pendant le scan.Ewido n'a pas dédecté les infections détecté par Panda.

Utilisateur anonyme · Answer

salutou en sont tes soucisa+

quidam14 · Answer

Salut Régis,et bien en fait je n'ai plus de barre d'icones sur le bureau la bestiole et je pense bien effacé du pc.Sinon avec ewido j'ai une des premières lignes du rapport qui est pose question (voir ci-dessous la ligne, du rapport du message n°32)C:\Documents and Settings\Yvanhoe\Mes documents	empo\MsgPlus-301.exe/sponsor.exe -> Downloader.Swizzor.ag : Ignoré aussi les lignes du rapport en ligne de Panda en poste n°30 avec les spy et autres.j'espère surtout ne plus avoir de trojan. En tout cas merci pour l'aide car je me rends bien compte qu'un seul antivirus ne suffit pas, surtout qd les versions ne sont pas complète (non acheté).a+

Utilisateur anonyme · Answer

SalutEn attendant regis, C:\Documents and Settings\Yvanhoe\Mes documents	empo\MsgPlus-301.exeTu peux supprimer MsgPlus-301.exe, c'est le fichier d'installation de MSN plus, il est détecté, car le sponsor contenu dans ce prog est un spyware, si tu l'as refusé lors de l'install de msn plus !, pas de soucis.Supprime aussi ces deux fichiers détectés par panda:C:\WINDOWS\System32\IfHelper.dll C:\WINDOWS\SYSTEM32\DRIVERS\zpmodemnt.sys Puis, redemarre ton pc et reposte un hijackthis.a+

Utilisateur anonyme · Answer

salut moemerci...Et le prog marche au poil !!!!!! J ai fait 6 essais, 6essais resolusChapeau !

Utilisateur anonyme · Answer

Salut RégisCool, mais il y a aussi le prog sité par pierrot40 au post 8 qui supprime cette infection aussi.Reste à voir s'il est updaté régulièrement.http://downloads.subratam.org/Fixwareout.exea+

Utilisateur anonyme · Answer

Ok merci MoePerso je prefere le prog qu on a utiliser  au moins celui la je sais ce qu il y a dedans lola+

Utilisateur anonyme · Answer

tu peux voir ce qu'il y a dans l'autre aussi, l'exe n'est qu'un installateur, le dossier se trouve ensuite dans C:\Fixwareoutil y a des bat+bfu

Utilisateur anonyme · Answer

re,j avais pas trouver le dossier lol, ayé je l ai lolIl detecte pas mal d infections... a suivrea+

quidam14 · Answer

Salut MoeJ'ai essayé de viré C:\WINDOWS\System32\IfHelper.dll avec Killbox et oups la barre des taches de windows à disparu pendant la tentative de suppression, j'ai eu un message comme quoi le fichier ne peux pas être supprimé. Du coup me suis retrouvé sans barre, plus de bureau sauf l'image en fond d'écran, le clavier répondait encore alors j'ai fermé ma session utilisateur et j'ai ouvert une nlle session tout est revenu.Est-ce IfHelper.dll qui fait ça ?Pour C:\WINDOWS\SYSTEM32\DRIVERS\zpmodemnt.sys j'hésite à le supprimer c peut être un fichier pour mon modem ?je poste un hijackthis quand même au cas où :Logfile of HijackThis v1.99.1Scan saved at 19:36:09, on 22/12/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXEC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\Program Files\AVPersonal\AVWUPSRV.EXEC:\Program Files\ewido anti-malware\ewidoctrl.exeC:\WINDOWS\System32\FTRTSVC.exeC:\Program Files\Spyware Doctor\sdhelp.exeC:\WINDOWS\system32\slserv.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\wdfmgr.exeC:\WINDOWS\System32\alg.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\PROGRA~1\Wanadoo\TaskBarIcon.exeC:\PROGRA~1\Wanadoo\EspaceWanadoo.exeC:\PROGRA~1\Wanadoo\ComComp.exeC:\PROGRA~1\Wanadoo\Toaster.exeC:\PROGRA~1\Wanadoo\Inactivity.exeC:\PROGRA~1\Wanadoo\PollingModule.exeC:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXEC:\PROGRA~1\Wanadoo\Watch.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\Outlook Express\msimn.exeC:\Program Files\Internet Explorer\iexplore.exeC:\unzipped\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLLO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1	ools\iesdsg.dllO2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1	ools\iesdpb.dllO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /autoO4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1	ools\iesdpb.dllO9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dllO9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exeO9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exeO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cabO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cabO16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cabO16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.cg14.fr/sig/mg60ctrl_windows_activex_ie.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101278865599O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133117562125O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{5657BF09-738B-4BF0-9D64-081CC7F449D7}: NameServer = 80.10.246.1 80.10.246.132O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXEO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXEO23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exeO23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exeO23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Program Files\Spyware Doctor\sdhelp.exeO23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

Utilisateur anonyme · Answer

Et pourtant:
http://www.sophos.com/virusinfo/analyses/trojadclickbm.html
C:\WINDOWS\SYSTEM32\DRIVERS\zpmodemnt.sys n'est pas un fichier pour ton modem, c'est un trojan

Télécharge Registry Search Tool, ici
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Dezippe le (clic droit dessus > extraire tout)
lance RegSrch.vbs, et si ton antivirus te le demande autorise le script.
Dans la fenetre du programme tape:
ZPMODEMSYSNTDRVNT
et valide avec ok
attend un peu et le bloc note va s'ouvrir, copie et colle le rapport ici.

a+

Utilisateur anonyme · Answer

jete un oeil ici:http://cjoint.com/?mwvd6NWImJDésolé le lien ne s'affiche pas :-(

quidam14 · Answer

Salut Moe merci pour l'info ;-) y en a tjs et partout de ces trojans !

je supprime le fichier tel quel ? Il y a 27 références dans le registre

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "ZPMODEMSYSNTDRVNT" 23/12/2005 06:05:36

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"Service"="ZPMODEMSYSNTDRVNT"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"DeviceDesc"="ZPMODEMSYSNTDRVNT"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ZPMODEMSYSNTDRVNT]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ZPMODEMSYSNTDRVNT]
"DisplayName"="ZPMODEMSYSNTDRVNT"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ZPMODEMSYSNTDRVNT\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ZPMODEMSYSNTDRVNT\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ZPMODEMSYSNTDRVNT\Enum]
"0"="Root\\LEGACY_ZPMODEMSYSNTDRVNT\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"Service"="ZPMODEMSYSNTDRVNT"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"DeviceDesc"="ZPMODEMSYSNTDRVNT"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ZPMODEMSYSNTDRVNT]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ZPMODEMSYSNTDRVNT]
"DisplayName"="ZPMODEMSYSNTDRVNT"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ZPMODEMSYSNTDRVNT\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"Service"="ZPMODEMSYSNTDRVNT"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"DeviceDesc"="ZPMODEMSYSNTDRVNT"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZPMODEMSYSNTDRVNT]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZPMODEMSYSNTDRVNT]
"DisplayName"="ZPMODEMSYSNTDRVNT"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZPMODEMSYSNTDRVNT\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZPMODEMSYSNTDRVNT\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZPMODEMSYSNTDRVNT\Enum]
"0"="Root\\LEGACY_ZPMODEMSYSNTDRVNT\\0000"

Utilisateur anonyme · Answer

salut quidam14

Essaye de faire ceci:

Démarrer > executer et tape cmd
Valide en appuyant sur OK

Dans la fenêtre qui s'ouvre, tape ou copie et colle ceci:

sc stop ZPMODEMSYSNTDRVNT

et valide en appuyant sur la touche Entrée

Ensuite,

ouvre le bloc note et copie et colle ceci à l'interieur:

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT] 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ZPMODEMSYSNTDRVNT] 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT] 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ZPMODEMSYSNTDRVNT] 

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT] 

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZPMODEMSYSNTDRVNT]

Puis Fichier > enregistrer sous
emplacement: choisis le bureau
Nom du fichier, met fix.reg
Type de fichier: selectionne "tous les fichiers"
clic sur enregistrer

ensuite double clic sur fix.reg et accepte de fusionner.

Puis,

Telecharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
et regarde ici comme employer la méthode du bloc note
http://pageperso.aol.fr/balltrap34/killbox.htm

ouvre le bloc note et copie et colle la liste des fichiers à supprimer ci-dessous:

C:\WINDOWS\System32\IfHelper.dll 
C:\WINDOWS\SYSTEM32\DRIVERS\zpmodemnt.sys

une fois fait, enregistre le à un endroit ou tu pourras le retrouver facilement (sur le bureau par exemple).

1/ lance killbox.exe
2/ ouvre le fichier txt qui contient la liste des fichiers à supprimer, clic sur edition dans le menu du haut et clic sur "selectionner tout"
3/ clic une seconde fois sur "edition" et clic sur "copier"
4/ referme le bloc note.
5/ Dans killbox, selectionne "Delete on Reboot"
6/ Dans le menu du haut clic sur File, puis sur paste from clipboard
(tu devrais voir apparaitre la liste des fichier qu'il va supprimer)
7/ clic sur le rond rouge
8/ une fenetre va apparaitre pour confirmation clic sur OUI
9/ une seconde fenetre te demande si tu veux redemarrer clic sur OUI

Si le pc ne redemarre pas automatiquement ou si killbox t'envois ce message:
"Pending file Rename Operations Registry Data has been Removed by External Process"
ignore le et redemarre le pc normallement

Refais un scan antivirus de contrôle sur le site de Panda.

a+

quidam14 · Answer

Salut Moe

la commande sc stop ZPMODEMSYSNTDRVNT dans la fenêtre de commande dos me renvoie ceci :

[SC] ControlService Failed 1062:
Le service n'a pas été démarré.

j'ai continué la procédure avec le ficheir fix.reg ça a marché.

les 2 fichiers
C:\WINDOWS\System32\IfHelper.dll
C:\WINDOWS\SYSTEM32\DRIVERS\zpmodemnt.sys
ont été supprimé avec killbox après 2 redémarrages du pc.

voila le rapport de Panda, il ne reste quasiment plus rien.

Incident Statut Analyse

Adware:adware/sbsoft Non désinfecté Registre Windows
Adware:Adware/IdeskBar Non désinfecté C:\!KillBox\idemlog.exe

Pendant le scan j'ai eu le message WIN32:CNX me semble je crois que c'est une fausse alerte d'avast! je regarde de quel fichier il s'agit.

Utilisateur anonyme · Answer

Histoire de verifierlance RegSrch.vbs, et si ton antivirus te le demande autorise le script. Dans la fenetre du programme tape: ZPMODEMSYSNTDRVNT et valide avec ok copie/colle le rapporta+

quidam14 · Answer

Salut Régis

il reste encore des traces dans le registre, 12 références trouvées.

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "ZPMODEMSYSNTDRVNT" 24/12/2005 04:25:23

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"Service"="ZPMODEMSYSNTDRVNT"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"DeviceDesc"="ZPMODEMSYSNTDRVNT"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"Service"="ZPMODEMSYSNTDRVNT"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"DeviceDesc"="ZPMODEMSYSNTDRVNT"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"Service"="ZPMODEMSYSNTDRVNT"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"DeviceDesc"="ZPMODEMSYSNTDRVNT"

Utilisateur anonyme · Answer

salut quidam14

Essaye de faire ceci:

Démarrer > executer et tape cmd
Valide en appuyant sur OK

Dans la fenêtre qui s'ouvre, tape ou copie et colle ceci:

sc delete ZPMODEMSYSNTDRVNT

et valide en appuyant sur la touche Entrée

ensuite repasse fix.reg (voir la manip dans ma réponse précédente)

Puis reposte un rapport de regsrch, si les entrées sont toujours présentes il faudra les virer manuellement.

a+

balltrap34 · Answer

si la manip de moe ne fonctionne pas fait ceci

ouvre le bloc note et copie colle ceci entre les etoiles
**********
REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"Service"=-

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"DeviceDesc"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"Service"=-

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"DeviceDesc"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"Service"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"DeviceDesc"=-

************
enregistre le sur ton bureau et nomme le xxx.reg
et dans la case en dessous type met sur tous fichiers

la vas sur ton bureau et double clik sur se fichier que tu vient de faire et accepte la fusion avec le registre

Utilisateur anonyme · Answer

salut balltrapContent de te voir ;-)Passe de bonnes fêtes et tout mes voeux de réussite pour la nouvelle année qui arrive...a+

balltrap34 · Answer

salut moea toi aussi passe d exelentes fete de fin d annéeet je te souhaite a toi et ta petite famille tous le bonheur et reussite du monde

quidam14 · Answer

Salut Moe31, Balltrap34, Régis

Bon et joyeux Noël à tout le monde ! passez de bonne fêtes !

J'ai essayé la manip Moe avec cmd ça n'a pas marché il y a tjs 12 référence de trouvées.
Balltrap j'ai ajouté au registre les nlles lignes.

J'ai relancé RegSrch avec ZPMODEMSYSNTDRVNT voilà le rapport :

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "ZPMODEMSYSNTDRVNT" 24/12/2005 20:22:31

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"Service"="ZPMODEMSYSNTDRVNT"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"DeviceDesc"="ZPMODEMSYSNTDRVNT"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"Service"="ZPMODEMSYSNTDRVNT"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"DeviceDesc"="ZPMODEMSYSNTDRVNT"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"Service"="ZPMODEMSYSNTDRVNT"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPMODEMSYSNTDRVNT\0000]
"DeviceDesc"="ZPMODEMSYSNTDRVNT"

Utilisateur anonyme · Answer

salut

Bon, je crois qu'il ne te reste qu'à les supprimer manuellement:
Demarrer > executer et tape regedit puis valide.

Rend toi sur ces clés:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\clic droit sur LEGACY_ZPMODEMSYSNTDRVNT puis clic sur supprimer

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\clic droit sur LEGACY_ZPMODEMSYSNTDRVNT puis clic sur supprimer

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\clic droit sur LEGACY_ZPMODEMSYSNTDRVNT puis clic sur supprimer

Si tu rencontre un problème de suppression, apres avoir fais un clic droit sur la clé en question, et au lieu de cliquer sur supprimer tu choisis "autorisations", selectionne ton compte et coche la case "contrôle total" et valide, ensuite reessaye de supprimer.

a+

quidam14 · Answer

salut moe

j'ai supprimé les 2 premières clés en forçant les autorisations. Une fois les 2 premières supprimées la 3 ème n'apparaissait pas dans le registre.
Du coup j'ai lancé une recherche de ZPMODEMSYSNTDRVNT avec RegSrch.vbs qui n'a trouvé aucune instance.

la bestiole doit être éradiquée. Merci pour l'aide si tu as des doutes sur l'éradication je prend tous conseils ;-)

balltrap34 · Answer

salut moedur ces autorisation sur les clefdommage qu une commande dos ne le fasse pas cela eviterait qu ont tatonne lol

Utilisateur anonyme · Answer

salut bernie, balltrapMerci pour le lien, il a l'air très bien ce programme, d'autant qu'on peut le faire lancer par un bat et automatiser sont exécution et celle du reg.a+

Pipas.A info (?), web barre sur le bureau

56 réponses

Votre réponse

Discussions similaires

Newsletters