[Virus] Rech Google altérée après infection

Liliom -  
Liliom Messages postés 22 Statut Membre -
Bonjour à tous,

J'ai voulu désinfecté mon ordi de Backdoor.Win32.Agent.rw et d'un autre Trojan-downloader dont j'ai oublié le nom :

Le premier avait infecté deux fichiers :
- un dans C:\WINDOWS\System32\idemlog.exe que j'ai mis à la corbeille en mode "sans-échec"
- l'autre qui correspondait à une modification du registre (HKEY_curent_USER\Software\Microsoft\Current version\Run [Desktop = C:\WINDOWS\System32\idemlog.exe] que j'ai mis à la corbeille en mode "sans-échec" que j'ai supprimé également.

Le deuxième était un trojan dont j'ai oublié le nom. En recherchant sur Internet, j'avais retrouvé un petit logiciel "fixer" (?) qui devait le désamorcer, mais qui a surtout planté mon système à l'éxecution.

A cela s'ajoute une barre de recherche sur Internet indésirable nommée "UnSpy PC Scanner & Monitor".

Résultat des courses :

1/ Mon ordinateur plante au démarrage si je démarre normalement. A l'ouverture de Windows, la barre des tâches n'apparait pas, et je ne peux accéder à RIEN sinon le gestionnaire des tâches. Par contre, tout fonctionne "au poil" quand je démarre en mode "sans-échec" et surtout en mode "dernière bonne configuration".

2/ Mes recherches sur Internet Explorer (mais pas Firefox) via Google sont altérées. A chaque recherche, je suis redirigé vers des sites en anglais soit de jeu (genre "casino"...), soit pornographiques, ou autres sites "habituels" dans ce genre de cas :s

Tous mes derniers scan se sont révélés infructueux (Ad-Aware + Spybot + TrendMicro en ligne + mon antivirus Kapersky) = Aucun fichier infecté!!! O_x

J'ai cru comprendre que HiJackThis pouvait parfois révéler des maux cachés, je l'ai donc téléchargé puis exécuté, mais étant relativement néophyte, je n'ai aucune idée de la manière dont il faut l'utiliser.

Voici le log :
Logfile of HijackThis v1.99.1
Scan saved at 01:03:53, on 10/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\WF2K.EXE
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\System32\qttask.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Téléchargements et apports persos\INTERNET\Sécurité Internet\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [WinFast_2K] C:\WINDOWS\System32\WF2K.EXE
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [dmkvi.exe] C:\WINDOWS\System32\dmkvi.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O16 - DPF: Interface Chat Voila - http://chat7.x-echo.com/version3/Applet/vchatsign.cab
O16 - DPF: Interface Chat Wanadoo - http://chat10.x-echo.com/version3/Applet/wchatsign.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.gpcservices.com/scan/Msie/bitdefender.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/hardwaredetection.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.rav.ro/scan/ravonline.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.1_02) -
O16 - DPF: {CAFEEFAC-0014-0001-0006-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.1_06) -
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4394/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{152F615E-5818-4B35-BE15-EC922E03D6FA}: NameServer = 85.255.116.133,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{3640D833-3EA0-490C-B2E1-153691E4749F}: NameServer = 85.255.116.133,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C2883D1-272F-4641-9AD0-CBBF29B53EF9}: NameServer = 85.255.116.133,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{A56EF07F-6B3B-47D5-BAB9-61BA4F33B6A2}: NameServer = 85.255.116.133,85.255.112.213
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Heeeeeelp please! :'(

Un grand merci d'avance à qui peut éclairer ma lanterne

42 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Infection par Backdoor.Win32.Agent.rw et un Trojan-downloader provoquant des plantages au démarrage, une barre de recherche indésirable et des redirections vers des sites externes, avec impossibilité d'accéder normalement au bureau. Des symptômes incluent une impossibilité d'accéder au bureau en mode normal, des programmes qui s'ouvrent mal et des paramètres de démarrage modifiés, avec HijackThis utilisé en dépannage. La discussion présente des extraits de rapports et de logs montrant des éléments comme des clés Run, des BHO et des services suspects, ainsi que des réponses proposant d'analyser les rapports et d'autres nettoyages. D'autres échanges évoquent des tentatives sans succès en mode sans échec et l'emploi de CleanUp40 avant d'interpréter des résultats, ce qui illustre les étapes encore nécessaires pour clarifier l'infection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    bsr

    "Heeeeeelp please! :'( " cool , cool , no fire here !

    pour commmencer à t'occuper
    fixe ceci
    O16 - DPF: Interface Chat Voila - http://chat7.x-echo.com/version3/Applet/vchatsign.cab
    O16 - DPF: Interface Chat Wanadoo - http://chat10.x-echo.com/version3/Applet/wchatsign.cab
    O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
    O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
    O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.gpcservices.com/scan/Msie/bitdefender.cab
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/hardwaredetection.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.rav.ro/scan/ravonline.cab
    O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.1_02) -
    O16 - DPF: {CAFEEFAC-0014-0001-0006-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.1_06) -
    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4394/mcfscan.cab
    puis les témoins de ton voyage en Ukraine
    O17 - HKLM\System\CCS\Services\Tcpip\..\{152F615E-5818-4B35-BE15-EC922E03D6FA}: NameServer = 85.255.116.133,85.255.112.213
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3640D833-3EA0-490C-B2E1-153691E4749F}: NameServer = 85.255.116.133,85.255.112.213
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4C2883D1-272F-4641-9AD0-CBBF29B53EF9}: NameServer = 85.255.116.133,85.255.112.213
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A56EF07F-6B3B-47D5-BAB9-61BA4F33B6A2}: NameServer = 85.255.116.133,85.255.112.213
    ------
    tu remets un hijac, ce sera plus court à lire - merci

    0
  2. Liliom
     
    @Moe31 :
    Après avoir exécuté "hcrsrch.bat", voici le log créé :

    Rapport fait à 22:07:09,05 le 10/01/2006
    Executé à partir de C:\T‚l‚chargements et apports persos\INTERNET\S‚curit‚ Internet\bkrBR8iVuS_Hcsrch
    OS: Microsoft Windows XP [version 5.1.2600]

    *********************************************

    Vérification HKLM\...\...\...\...\ruins

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
    "ogimd"=hex:11,09,00,00,e0,e3,df,d5,35,82,b3,44,a3,11,00,00,00

    Vérification HKLM\...\...\...\...\Urls
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]
    "xedocne"=hex:19,5a,00,00,14,10,28,24,e6,f5,8d,9c,9b,9a,ae,a3,bb,ba,4f,47,59,\
    5a,74,60,7d,b3,c9,33,de,d1,2d,e1,f3,03,00,08,dd,0d,db,d6,fd,c2,47,48,ab,51,\
    ad,93,72,81,8d,70,6b,8c,62,ae,bc,bd,5c,3f,00,00,00
    "gib_ogol"=hex:2e,75,00,00,03,3f,07,33,dd,e0,98,ab,b6,81,85,8e,96,a1,5a,52,76,\
    41,7a,4b,50,60,e6,ec,c6,fd,c4,30,e1,ea,1f,17,c8,38,36,3d,e8,2a,5e,42,40,4e,\
    44,b0,6f,60,90,90,98,8d,b2,b8,69,a5,db,d8,7b,41,00,00,00
    "repiwoh"=hex:76,7c,00,00,4b,77,4f,4b,05,18,60,63,7e,79,4d,46,5e,59,a2,aa,be,\
    b9,82,83,98,98,ae,a4,8e,b5,8c,c8,a9,a2,67,6f,30,70,7e,75,10,62,26,1a,08,06,\
    0c,48,2b,18,e8,d2,f3,c6,cd,89,d5,db,98,3b,40,00,00,00
    "llun"=hex:03,79,00,00,fe,ea,d2,de,88,8f,f7,f6,ed,ec,d0,d5,cd,cc,31,39,2d,2c,\
    11,16,0f,0f,3d,3b,3d,28,13,5f,1c,11,ea,e2,a7,e7,cd,c8,87,d1,b5,a9,bf,b5,93,\
    df,84,85,6a,62,24,77,49,44,36,3d,00,00,00
    "golmedi"=hex:99,25,00,00,94,90,a8,a4,66,75,0d,1c,1b,1a,2e,23,3b,3a,cf,c7,db,\
    da,ef,fc,e5,f5,4b,41,ab,56,69,a5,8a,7f,80,88,5d,8d,5b,56,7d,bf,c3,37,d5,23,\
    e9,25,f7,00,fb,0b,10,15,25,ea,cb,2c,bb,d4,40,00,00,00
    "23plhps"=hex:fc,1f,00,00,f1,ed,d5,c1,83,96,ee,f9,e4,f7,cb,dc,c4,d7,28,20,24,\
    37,08,19,06,16,34,22,34,33,0a,46,17,18,ed,e5,be,ee,c4,f3,9e,d8,ac,90,b6,bc,\
    8a,c6,9a,91,61,65,79,32,0b,07,53,51,26,b1,40,00,00,00
    "mgcppp"=hex:90,29,00,00,6d,99,a1,ad,7f,02,7a,05,10,63,27,28,30,43,c4,cc,d0,a3,\
    e4,e5,f2,82,40,4e,a0,5f,66,d2,83,84,79,71,2a,9a,50,5f,0a,44,38,3c,22,28,e6,\
    52,f5,fd,05,fe,e2,e0,9b,d7,35,ca,d5,3f,00,00,00
    "tesvaf"=hex:f7,24,00,00,ca,f6,ce,ca,84,9b,e3,e2,f9,f8,cc,c1,d9,d8,2d,25,39,38,\
    0d,02,1b,1b,29,27,09,34,0f,4b,28,1d,e6,ee,b3,f3,f9,f4,93,dd,a1,95,8b,81,8f,\
    cb,a8,a5,68,67,49,76,00,4c,52,63,b2,3f,00,00,00
    "32refaselif"=hex:85,7e,00,00,78,64,5c,58,0a,09,71,70,6f,6e,52,57,4f,4e,b3,bb,\
    af,ae,93,90,89,89,bf,b5,bf,aa,9d,d9,9e,93,74,7c,21,61,4f,4a,01,53,37,2b,39,\
    37,1d,59,1e,13,f4,e7,ed,fb,ce,c7,c2,8a,fd,fe,ba,a8,89,e8,44,00,00,00
    "putesprpgd"=hex:5e,7d,00,00,53,4f,77,63,2d,30,48,5b,46,51,75,7e,66,71,8a,82,\
    81,91,aa,bb,a1,b0,87,88,9b,8d,ab,bc,b6,af,56,43,19,5e,73,6e,eb,2d,00,00,00

    *********************************************

    Fichiers détectés :

    C:\WINDOWS\rdt.ini Présent !
    C:\WINDOWS\Help\SPAlert.chm Présent !
    C:\WINDOWS\System32\close.bmp Présent !
    C:\WINDOWS\System32\dating.bmp Présent !
    C:\WINDOWS\System32\gambling.bmp Présent !
    C:\WINDOWS\System32\idesk.conf Présent !
    C:\WINDOWS\System32\insurance.bmp Présent !
    C:\WINDOWS\System32\pharmacy.bmp Présent !
    C:\WINDOWS\System32\spyware.bmp Présent !
    C:\WINDOWS\System32\xxx.bmp Présent !
    C:\WINDOWS\System32\drivers\zpmodemnt.sys Présent !

    *********************************************

    Recherche des processus aleatoires
    d'après les modèles : cs***.exe, dm***.exe, ya***.exe

    C:\WINDOWS\System32

    *********************************************

    Recherche presence C:\WINDOWS\System32\idemlog.exe...

    non trouvé...

    @aranjuez31 :

    Voici le log créé par HiJack avec les lignes mentionnées fixées :

    Logfile of HijackThis v1.99.1
    Scan saved at 22:54:37, on 10/01/2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
    C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    C:\WINDOWS\System32\CTsvcCDA.EXE
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
    C:\WINDOWS\System32\WF2K.EXE
    C:\WINDOWS\System32\LVCOMSX.EXE
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
    C:\WINDOWS\System32\qttask.exe
    C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
    C:\Program Files\Logitech\Video\FxSvr2.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Microsoft Office\Office\WINWORD.EXE
    C:\Téléchargements et apports persos\INTERNET\Sécurité Internet\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.free.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
    O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
    O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
    O4 - HKLM\..\Run: [WinFast_2K] C:\WINDOWS\System32\WF2K.EXE
    O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
    O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
    O4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [dmlhp.exe] C:\WINDOWS\System32\dmlhp.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
    O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
    O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
    O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    MERCI de votre attention les gars :)

    ps : J'ai tenté de m'inscrire sur le forum, mais je n'arrive pas à recevoir le mail de validation !? Comment faire?
    0
  3. Utilisateur anonyme
     
    salut

    Telecharge: Pocket Killbox ici
    http://www.downloads.subratam.org/KillBox.exe
    l'aide détaillé de la manip (avec bloc note) ici:
    http://pageperso.aol.fr/balltrap34/killbox.htm

    Déconnecte toi d'internet et ferme tout les programmes en cours.

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Lance hijackthis et clic sur [do a system scan only]
    cocher la case au début des lignes suivantes:

    O4 - HKLM\..\Run: [dmlhp.exe] C:\WINDOWS\System32\dmlhp.exe

    valider en cliquant sur le bouton [fix checked]

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    ouvre le bloc note et copie et colle la liste des fichiers à supprimer ci-dessous
    une fois fait, enregistre le à un endroit ou tu pourras le retrouver facilement (sur le bureau par exemple).
    C:\WINDOWS\rdt.ini
    C:\WINDOWS\Help\SPAlert.chm
    C:\WINDOWS\System32\close.bmp
    C:\WINDOWS\System32\dating.bmp
    C:\WINDOWS\System32\gambling.bmp
    C:\WINDOWS\System32\idesk.conf
    C:\WINDOWS\System32\insurance.bmp
    C:\WINDOWS\System32\pharmacy.bmp
    C:\WINDOWS\System32\spyware.bmp
    C:\WINDOWS\System32\xxx.bmp
    C:\WINDOWS\System32\dmlhp.exe
    C:\WINDOWS\System32\drivers\zpmodemnt.sys

    1/ lance killbox.exe
    2/ ouvre le fichier txt qui contient la liste des fichiers à supprimer, clic sur edition dans le menu du haut et clic sur "selectionner tout"
    3/ clic une seconde fois sur "edition" et clic sur "copier"
    4/ referme le bloc note.
    5/ Dans killbox, selectionne "Delete on Reboot"
    6/ Dans le menu du haut clic sur File, puis sur paste from clipboard
    (tu devrais voir apparaitre la liste des fichier qu'il va supprimer)
    7/ clic sur le rond rouge
    8/ une fenetre va apparaitre pour confirmation clic sur OUI
    9/ une seconde fenetre te demande si tu veux redemarrer clic sur OUI

    Si le pc ne redemarre pas automatiquement ou si killbox t'envois ce message:
    "Pending file Rename Operations Registry Data has been Removed by External Process"
    ignore le et redemarre le pc normallement

    Ensuite reposte un hijackthis.

    a+
    0
    1. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
       
      bsr moe
      super ce hcsrch
      c'est de toi ?
      tout paraît simple avec cet outil
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    salut

    Oui c'est un bat perso, je m'en sert pour reperer certains fichier et surtout deux clés du registre:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]
    "xedocne"=hex:19,5a,00,00,14,10,28,24,e6,f5,8d,9c,9b,9a,ae,a3,bb,ba,4f,47,59,\

    on peut y lire le nom des fichiers (ecrit à l'envers) qui sont susceptibles d'êtres téléchargés:
    par exemple xedocne=encodex.exe

    Ca me permet de vérifier s'il y en a des nouveaux et de les inclures dans le bat.

    Sinon, il y a ce très bon fix, updaté régulièrement:
    http://downloads.subratam.org/Fixwareout.exe
    http://swandog46.geekstogo.com/Fixwareout.exe

    a+
    0
    1. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
       
      des bijoux précieux
      bravo
      0
  6. Liliom Messages postés 22 Statut Membre
     
    (Re)-Bonjour à vous,

    Petite précision sur le deuxième trojan qui m'a infecté (ça peut surement faire avancer le schmilblick^^) :
    En allant opérer dans l'explorateur, j'ai aperçu un fichier texte jusque la inconnu "C:\Windelf.txt" et un batch avec également "delf" dans le nom. Après recherche, cela m'a redonné le nom du virus qui m'a contaminé, soit "Trojan-Downloader.Win32.Delf.??". Et je pensais l'avoir éradiqué en lançant le programme trouvé sur le net "Win32delfkil.exe" mais celui-ci m'a fait planter l'ordinateur (et l'explorateur Windows ne fonctionne plus très bien depuis) et je n'ai donc pas su si le trojan avait bel et bien été éradiqué ou non :s .

    @Moe31 :
    J'ai voulu suivre tes consignes Moe31, mais n'ayant pas trouvé la ligne à fixer dans hijackthis que tu mentionnais, j'ai fais toute la procédure sans ça. J'espère que ça ne perturbe pas trop tes plans ;)

    Voici donc le log hijack après modifs :

    Logfile of HijackThis v1.99.1
    Scan saved at 09:40:02, on 11/01/2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
    C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    C:\WINDOWS\System32\CTsvcCDA.EXE
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
    C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    C:\WINDOWS\System32\WF2K.EXE
    C:\WINDOWS\System32\LVCOMSX.EXE
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
    C:\WINDOWS\System32\qttask.exe
    C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
    C:\Program Files\Logitech\Video\FxSvr2.exe
    C:\Téléchargements et apports persos\INTERNET\Sécurité Internet\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.free.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
    O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
    O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
    O4 - HKLM\..\Run: [WinFast_2K] C:\WINDOWS\System32\WF2K.EXE
    O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
    O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
    O4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [dmqcr.exe] C:\WINDOWS\System32\dmqcr.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
    O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
    O17 - HKLM\System\CCS\Services\Tcpip\..\{152F615E-5818-4B35-BE15-EC922E03D6FA}: NameServer = 85.255.116.133,85.255.112.213
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3640D833-3EA0-490C-B2E1-153691E4749F}: NameServer = 85.255.116.133,85.255.112.213
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4C2883D1-272F-4641-9AD0-CBBF29B53EF9}: NameServer = 85.255.116.133,85.255.112.213
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A56EF07F-6B3B-47D5-BAB9-61BA4F33B6A2}: NameServer = 85.255.116.133,85.255.112.213
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
    O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
    O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    C'est grave docteur?
    0
  7. Utilisateur anonyme
     
    Salut

    Win32delfkil.exe c'est un fix pour eradiquer le trojan delf, ce prog est clean.

    Telecharge silent runner ici:
    http://www.silentrunners.org/Silent%20Runners.vbs
    lance silentrunners.vbs, et si ton antivirus te le demande autorise le script.
    Attend qu'une fenetre s'ouvre et te préviennes que le scan est terminé.
    Au même endroit ou tu as enregistré silentrunner, doit se trouver un fichier texte (Startup programs....), ouvre le et copie et colle le contenu ici.

    lance silentrunner et sauvegarde le log, lance hijackthis et sauve le rapport, puis remet un log de hcrsch.bat et surtout ne redemarre plus ton pc après avoir posté tout ces rapports ici.
    Certains processus, changent de nom après chaques redemarrages du pc, c'est pour cela que tu n'a pas trouvé la ligne à supprimer avec hijackthis.

    a+
    0
  8. Liliom Messages postés 22 Statut Membre
     
    Ok patron, c'est clair^^

    Ayant pas mal de taf en ce moment, j'éprouve quelques difficultés à exécuter dans l'immédiat les procédures, mais dès ce soir je fais tout ça et je n'éteindrais pas l'ordinateur jusqu'à ce que j'ai ta réponse. A moins qu'il ne décide de se bloquer, en ce moment il est un peu capricieux le coco.

    Merci de ton aide, je te tiens au courant^^

    EDIT : Avant hier j'ai voulu vider le dossier temp dans "Document & settings" mais il s'y trouvait un répertoire (nommé par des numéros) impossible à supprimer. J'ai déplacé ce répertoire pour tenter de le glisser dans la corbeille mais rien n'y a fait. Est-ce que c'est gênant pour nos tests? Je le recolle dans le dossier temp dès ce soir...
    0
  9. Utilisateur anonyme
     
    Bah, pour le dossier insupprimable dans "temp" il faudrait voir en mode sans echecs si tu peux le supprimer.

    ok, bon courage pour ton taf

    a+
    0
  10. Liliom Messages postés 22 Statut Membre
     
    Pour le fichier temporaire "insupprimable", j'avais déjà essayé en mode "Sans échec" sans plus de succés. Au cas où, je l'ai replacé dans le dossier "Temp".

    Aussi, entre temps j'ai exécuté CleanUp40. J'me suis dit que ça pouvait pas faire de mal que de faire un peu de ménage au préalable.

    Sinon voici les rapports de :
    1/ SILENTRUNNER
    2/ HIJACKTHIS
    3/ "HCRSCH"

    Je ne redémarrerais pas mon pc. S'il plante entre temps, je relancerai les trois procédures et je rééditerais ce message.

    Pour l'aide précédemment apportée, il y a eu déjà des effets bénéfiques (halleluja!^^) : je ne suis plus obligé de faire F8 à chaque démarrage pour demander l'ouverture avec la "dernière bonne configuration utilisée". La barre des tâches apparaît à nouveau et mon pc ne bloque plus à ce niveau là, même s'il rame et "cherche" un peu plus à la normale. C'est moins stable, mais ça marche encore, et comme on dit : "Tant qu'il y a de l'espoir, y'a de la vie" :D

    Voici les différents rapports et merci d'avance pour l'aide :

    RAPPORT SILENTRUNNER :

    "Silent Runners.vbs", revision 43, http://www.silentrunners.org/
    Operating System: Windows XP
    Output limited to non-default values, except where indicated by "{++}"

    Startup items buried in registry:
    ---------------------------------

    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
    "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
    "Spamihilator" = ""C:\Program Files\Spamihilator\spamihilator.exe"" [file not found]
    "LogitechSoftwareUpdate" = ""C:\Program Files\Logitech\Video\ManifestEngine.exe" boot" ["Logitech Inc."]

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
    "OfficeGuard RegChecker" = ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"" [null data]
    "AVPCC" = ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait" ["Kaspersky Labs."]
    "Zone Labs Client" = "C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe" ["Zone Labs Inc."]
    "CTStartup" = "C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run" ["Creative Technology Ltd."]
    "WinFast_2K" = "C:\WINDOWS\System32\WF2K.EXE" ["Leadtek Research Inc."]
    "WinFast2KLoadDefault" = "rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings" [MS]
    "Tweak UI" = "RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp" [MS]
    "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
    "LVCOMSX" = "C:\WINDOWS\System32\LVCOMSX.EXE" ["Logitech Inc."]
    "LogitechVideoRepair" = "C:\Program Files\Logitech\Video\ISStart.exe" ["Logitech Inc."]
    "LogitechVideoTray" = "C:\Program Files\Logitech\Video\LogiTray.exe" ["Logitech Inc."]
    "UpdReg" = "C:\WINDOWS\Updreg.exe" ["Creative Technology Ltd."]
    "Jet Detection" = "C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [empty string]
    "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
    "NeroCheck" = "C:\WINDOWS\System32\NeroCheck.exe" ["Ahead Software Gmbh"]
    "QuickTime Task" = ""C:\WINDOWS\System32\qttask.exe" -atboottime" ["Apple Computer, Inc."]
    "SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe" ["Sun Microsystems, Inc."]
    "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
    "Easy-PrintToolBox" = "C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon" ["CANON INC."]
    "dmvdw.exe" = "C:\WINDOWS\System32\dmvdw.exe" [null data]

    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
    {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
    {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
    -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
    {9394EDE7-C8B5-483E-8773-474BF36AF6E4}\(Default) = "ST" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll" [MS]
    {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]
    {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}\(Default) = "MSNToolBandBHO" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll" [MS]

    HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
    "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
    -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
    "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
    "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
    "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
    -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
    "{3779D068-8AA6-11d2-B8FF-0080C84D9C69}" = "WinFast Information Property Sheet 2000"
    -> {CLSID}\InProcServer32\(Default) = "WF2KCPL.DLL" ["Leadtek Research Inc."]
    "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
    "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
    "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
    "{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3}" = "Mes photos Logitech"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Logitech\Video\Namespc2.dll" ["Logitech Inc."]
    "{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}" = "IZArc DragDrop Menu"
    -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\IZArc\IZArcCM.dll" [null data]
    "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" = "IZArc Shell Context Menu"
    -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\IZArc\IZArcCM.dll" [null data]
    "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]

    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
    INFECTION WARNING! "System" = "csrln.exe" [null data]

    HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
    IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}"
    -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\IZArc\IZArcCM.dll" [null data]
    Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\KAV Shared Files\AvpShlEx.dll" ["Kaspersky Labs."]
    Qzip3\(Default) = "{4C156620-A582-11D5-858B-444553540000}"
    -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\QuickZip\QzShlExt.dll" [null data]
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

    HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
    IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}"
    -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\IZArc\IZArcCM.dll" [null data]
    Qzip3\(Default) = "{4C156620-A582-11D5-858B-444553540000}"
    -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\QuickZip\QzShlExt.dll" [null data]
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

    HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
    FineReader\(Default) = "{AC0DD14A-8F29-4F88-BE1D-0F0ED1B06C9F}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ABBYY\FineReader 6.0\FECMenu.dll" ["ABBYY (BIT Software)"]
    Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\KAV Shared Files\AvpShlEx.dll" ["Kaspersky Labs."]
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

    Active Desktop and Wallpaper:
    -----------------------------

    Active Desktop is disabled at this entry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

    HKCU\Control Panel\Desktop\
    "Wallpaper" = "C:\Documents and Settings\Socrate\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"

    Enabled Screen Saver:
    ---------------------

    HKCU\Control Panel\Desktop\
    "SCRNSAVE.EXE" = "C:\WINDOWS\System32\scrnsave.scr" [MS]

    Startup items in "Socrate" & "All Users" startup folders:
    ---------------------------------------------------------

    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
    "DSLMON" -> shortcut to: "C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe /W" [empty string]
    "Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS]

    Winsock2 Service Provider DLLs:
    -------------------------------

    Namespace Service Providers

    HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
    000000000001\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]
    000000000002\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
    000000000003\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
    000000000004\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

    Transport Service Providers

    HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
    0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
    %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 28
    %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

    Toolbars, Explorer Bars, Extensions:
    ------------------------------------

    Toolbars

    HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
    "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]

    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
    "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]

    "{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "MSN" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll" [MS]

    HKLM\Software\Microsoft\Internet Explorer\Toolbar\
    "{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "0"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll" [MS]

    "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]

    "{327C2873-E90D-4C37-AA9D-10AC9BABA46C}" = "Easy-WebPrint"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Canon\Easy-WebPrint\Toolband.dll" [null data]

    Explorer Bars

    HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
    {9455301C-CF6B-11D3-A266-00C04F689C50}\ = "&Organise-notes Encarta" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL" [MS]

    Miscellaneous IE Hijack Points
    ------------------------------

    C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

    Added lines (compared with English-language version):
    [Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

    Missing lines (compared with English-language version):
    [Strings]: 1 line

    Running Services (Display Name, Service Name, Path {Service DLL}):
    ------------------------------------------------------------------

    AVP Control Centre Service, AVPCC, ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service" ["Kaspersky Labs."]
    C-DillaCdaC11BA, C-DillaCdaC11BA, "C:\WINDOWS\System32\drivers\CDAC11BA.EXE" ["C-Dilla Ltd"]
    C-DillaSrv, C-DillaSrv, "C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE" ["C-Dilla Ltd"]
    Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\System32\CTsvcCDA.EXE" ["Creative Technology Ltd"]
    KAV Monitor Service, KAVMonitorService, ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service" ["Kaspersky Labs."]
    NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
    TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs Inc."]
    WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\System32\MsPMSPSv.exe" [MS]

    Print Monitors:
    ---------------

    HKLM\System\CurrentControlSet\Control\Print\Monitors\
    Canon BJ Language Monitor iP1600\Driver = "CNMLM75.DLL" ["CANON INC."]

    ----------
    + This report excludes default entries except where indicated.
    + To see *everywhere* the script checks and *everything* it finds,
    launch it from a command prompt or a shortcut with the -all parameter.
    + To search all directories of local fixed drives for DESKTOP.INI
    DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
    use the -supp parameter or answer "No" at the first message box.
    ---------- (total run time: 32 seconds, including 4 seconds for message boxes)

    RAPPORT HIJACKTHIS :

    Logfile of HijackThis v1.99.1
    Scan saved at 18:38:41, on 11/01/2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
    C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    C:\WINDOWS\System32\CTsvcCDA.EXE
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
    C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    C:\WINDOWS\System32\WF2K.EXE
    C:\WINDOWS\System32\LVCOMSX.EXE
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
    C:\WINDOWS\System32\qttask.exe
    C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
    C:\Program Files\Logitech\Video\FxSvr2.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Microsoft Office\Office\WINWORD.EXE
    C:\Téléchargements et apports persos\INTERNET\Sécurité Internet\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.free.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
    O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
    O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
    O4 - HKLM\..\Run: [WinFast_2K] C:\WINDOWS\System32\WF2K.EXE
    O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
    O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
    O4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [dmvdw.exe] C:\WINDOWS\System32\dmvdw.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
    O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
    O17 - HKLM\System\CCS\Services\Tcpip\..\{152F615E-5818-4B35-BE15-EC922E03D6FA}: NameServer = 85.255.116.133,85.255.112.213
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3640D833-3EA0-490C-B2E1-153691E4749F}: NameServer = 85.255.116.133,85.255.112.213
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4C2883D1-272F-4641-9AD0-CBBF29B53EF9}: NameServer = 85.255.116.133,85.255.112.213
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A56EF07F-6B3B-47D5-BAB9-61BA4F33B6A2}: NameServer = 85.255.116.133,85.255.112.213
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
    O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
    O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    RAPPORT HCRSCH :

    Rapport fait à 18:39:45,11 le 11/01/2006
    Executé à partir de C:\T‚l‚chargements et apports persos\INTERNET\S‚curit‚ Internet\bkrBR8iVuS_Hcsrch
    OS: Microsoft Windows XP [version 5.1.2600]

    *********************************************

    Vérification HKLM\...\...\...\...\ruins

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
    "wdvmd"=hex:be,69,00,00,b7,b6,91,8f,80,51,e6,fb,f6,11,00,00,00

    Vérification HKLM\...\...\...\...\Urls
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]
    "xedocne"=hex:19,5a,00,00,14,10,28,24,e6,f5,8d,9c,9b,9a,ae,a3,bb,ba,4f,47,59,\
    5a,74,60,7d,b3,c9,33,de,d1,2d,e1,f3,03,00,08,dd,0d,db,d6,fd,c2,47,48,ab,51,\
    ad,93,72,81,8d,70,6b,8c,62,ae,bc,bd,5c,3f,00,00,00
    "gib_ogol"=hex:2e,75,00,00,03,3f,07,33,dd,e0,98,ab,b6,81,85,8e,96,a1,5a,52,76,\
    41,7a,4b,50,60,e6,ec,c6,fd,c4,30,e1,ea,1f,17,c8,38,36,3d,e8,2a,5e,42,40,4e,\
    44,b0,6f,60,90,90,98,8d,b2,b8,69,a5,db,d8,7b,41,00,00,00
    "repiwoh"=hex:76,7c,00,00,4b,77,4f,4b,05,18,60,63,7e,79,4d,46,5e,59,a2,aa,be,\
    b9,82,83,98,98,ae,a4,8e,b5,8c,c8,a9,a2,67,6f,30,70,7e,75,10,62,26,1a,08,06,\
    0c,48,2b,18,e8,d2,f3,c6,cd,89,d5,db,98,3b,40,00,00,00
    "llun"=hex:03,79,00,00,fe,ea,d2,de,88,8f,f7,f6,ed,ec,d0,d5,cd,cc,31,39,2d,2c,\
    11,16,0f,0f,3d,3b,3d,28,13,5f,1c,11,ea,e2,a7,e7,cd,c8,87,d1,b5,a9,bf,b5,93,\
    df,84,85,6a,62,24,77,49,44,36,3d,00,00,00
    "golmedi"=hex:99,25,00,00,94,90,a8,a4,66,75,0d,1c,1b,1a,2e,23,3b,3a,cf,c7,db,\
    da,ef,fc,e5,f5,4b,41,ab,56,69,a5,8a,7f,80,88,5d,8d,5b,56,7d,bf,c3,37,d5,23,\
    e9,25,f7,00,fb,0b,10,15,25,ea,cb,2c,bb,d4,40,00,00,00
    "23plhps"=hex:fc,1f,00,00,f1,ed,d5,c1,83,96,ee,f9,e4,f7,cb,dc,c4,d7,28,20,24,\
    37,08,19,06,16,34,22,34,33,0a,46,17,18,ed,e5,be,ee,c4,f3,9e,d8,ac,90,b6,bc,\
    8a,c6,9a,91,61,65,79,32,0b,07,53,51,26,b1,40,00,00,00
    "mgcppp"=hex:90,29,00,00,6d,99,a1,ad,7f,02,7a,05,10,63,27,28,30,43,c4,cc,d0,a3,\
    e4,e5,f2,82,40,4e,a0,5f,66,d2,83,84,79,71,2a,9a,50,5f,0a,44,38,3c,22,28,e6,\
    52,f5,fd,05,fe,e2,e0,9b,d7,35,ca,d5,3f,00,00,00
    "tesvaf"=hex:f7,24,00,00,ca,f6,ce,ca,84,9b,e3,e2,f9,f8,cc,c1,d9,d8,2d,25,39,38,\
    0d,02,1b,1b,29,27,09,34,0f,4b,28,1d,e6,ee,b3,f3,f9,f4,93,dd,a1,95,8b,81,8f,\
    cb,a8,a5,68,67,49,76,00,4c,52,63,b2,3f,00,00,00
    "32refaselif"=hex:85,7e,00,00,78,64,5c,58,0a,09,71,70,6f,6e,52,57,4f,4e,b3,bb,\
    af,ae,93,90,89,89,bf,b5,bf,aa,9d,d9,9e,93,74,7c,21,61,4f,4a,01,53,37,2b,39,\
    37,1d,59,1e,13,f4,e7,ed,fb,ce,c7,c2,8a,fd,fe,ba,a8,89,e8,44,00,00,00
    "putesprpgd"=hex:5e,7d,00,00,53,4f,77,63,2d,30,48,5b,46,51,75,7e,66,71,8a,82,\
    81,91,aa,bb,a1,b0,87,88,9b,8d,ab,bc,b6,af,56,43,19,5e,73,6e,eb,2d,00,00,00

    *********************************************

    Fichiers détectés :

    C:\WINDOWS\Help\SPAlert.chm Présent !
    C:\WINDOWS\System32\close.bmp Présent !
    C:\WINDOWS\System32\dating.bmp Présent !
    C:\WINDOWS\System32\gambling.bmp Présent !
    C:\WINDOWS\System32\idesk.conf Présent !
    C:\WINDOWS\System32\insurance.bmp Présent !
    C:\WINDOWS\System32\pharmacy.bmp Présent !
    C:\WINDOWS\System32\spyware.bmp Présent !
    C:\WINDOWS\System32\xxx.bmp Présent !
    C:\WINDOWS\System32\drivers\zpmodemnt.sys Présent !

    *********************************************

    Recherche des processus aleatoires
    d'après les modèles : cs***.exe, dm***.exe, ya***.exe

    C:\WINDOWS\System32

    *********************************************

    Recherche presence C:\WINDOWS\System32\idemlog.exe...

    non trouvé...

    ---------------------------

    A++ :p
    0
  11. Utilisateur anonyme
     
    Imprime, ou enregistre la manip dans le bloc note pour etre sur ne rien oublier et de tout faire dans l'ordre

    Ferme toutes les fenetres de tous les programmes en cours et important, deconnecte toi d'internet.

    Lance hijackthis et clic sur [do a system scan only]
    cocher la case au début des lignes suivantes:

    O4 - HKLM\..\Run: [dmvdw.exe] C:\WINDOWS\System32\dmvdw.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{152F615E-5818-4B35-BE15-EC922E03D6FA}: NameServer = 85.255.116.133,85.255.112.213
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3640D833-3EA0-490C-B2E1-153691E4749F}: NameServer = 85.255.116.133,85.255.112.213
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4C2883D1-272F-4641-9AD0-CBBF29B53EF9}: NameServer = 85.255.116.133,85.255.112.213
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A56EF07F-6B3B-47D5-BAB9-61BA4F33B6A2}: NameServer = 85.255.116.133,85.255.112.213

    valider en cliquant sur [fix checked]

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    ouvre le bloc note et copie et colle ceci à l'interieur:
    REGEDIT4 
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins] 
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls] 
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
    "System"=- 
    "System"=""

    Puis enregistrer sous et dans:
    Nom du fichier, met fix.reg
    Type de fichier: selectionne "tous les fichiers"
    clic sur enregistrer

    ensuite double clic sur fix.reg et accepte de fusionner
    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    ouvre le bloc note et copie et colle la liste des fichiers à supprimer ci-dessous
    une fois fait, enregistre le à un endroit ou tu pourras le retrouver facilement (sur le bureau par exemple).
    C:\WINDOWS\Help\SPAlert.chm
    C:\WINDOWS\System32\close.bmp
    C:\WINDOWS\System32\csrln.exe
    C:\WINDOWS\System32\dating.bmp
    C:\WINDOWS\System32\dmvdw.exe
    C:\WINDOWS\System32\gambling.bmp
    C:\WINDOWS\System32\idesk.conf
    C:\WINDOWS\System32\insurance.bmp
    C:\WINDOWS\System32\pharmacy.bmp
    C:\WINDOWS\System32\spyware.bmp
    C:\WINDOWS\System32\xxx.bmp
    C:\WINDOWS\System32\drivers\zpmodemnt.sys

    1/ lance killbox.exe
    2/ ouvre le fichier txt qui contient la liste des fichiers à supprimer, clic sur edition dans le menu du haut et clic sur "selectionner tout"
    3/ clic une seconde fois sur "edition" et clic sur "copier"
    4/ referme le bloc note.
    5/ Dans killbox, selectionne "Delete on Reboot"
    6/ Dans le menu du haut clic sur File, puis sur paste from clipboard
    (tu devrais voir apparaitre la liste des fichier qu'il va supprimer)
    7/ clic sur le rond rouge
    8/ une fenetre va apparaitre pour confirmation clic sur OUI
    9/ une seconde fenetre te demande si tu veux redemarrer clic sur OUI

    Si le pc ne redemarre pas automatiquement ou si killbox t'envois ce message:
    "Pending file Rename Operations Registry Data has been Removed by External Process"
    ignore le et redemarre le pc normallement

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Reposte un hijackthis+silentrunner+hcsrch et fais un scan av ici:
    http://www.bitdefender.fr
    et poste le rapport.

    a+
    0
  12. Liliom Messages postés 22 Statut Membre
     
    Voici les derniers rapports demandés après avoir suivi tes instructions :

    1/ Hijackthis
    2/ hcrsch
    3/ Silentrunner
    et enfin 4/ Bitdefender

    HIJACKTHIS :

    Logfile of HijackThis v1.99.1
    Scan saved at 22:13:58, on 11/01/2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
    C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    C:\WINDOWS\System32\CTsvcCDA.EXE
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
    C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    C:\WINDOWS\System32\WF2K.EXE
    C:\WINDOWS\System32\LVCOMSX.EXE
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
    C:\WINDOWS\System32\qttask.exe
    C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
    C:\Program Files\Logitech\Video\FxSvr2.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Téléchargements et apports persos\INTERNET\Sécurité Internet\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.free.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
    O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
    O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
    O4 - HKLM\..\Run: [WinFast_2K] C:\WINDOWS\System32\WF2K.EXE
    O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
    O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
    O4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
    O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
    O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
    O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    -----------

    HCRSCH :

    Rapport fait à 22:14:35,32 le 11/01/2006
    Executé à partir de C:\T‚l‚chargements et apports persos\INTERNET\S‚curit‚ Internet\bkrBR8iVuS_Hcsrch
    OS: Microsoft Windows XP [version 5.1.2600]

    *********************************************

    Vérification HKLM\...\...\...\...\ruins

    Vérification HKLM\...\...\...\...\Urls

    *********************************************

    Fichiers détectés :

    C:\WINDOWS\System32\close.bmp Présent !
    C:\WINDOWS\System32\dating.bmp Présent !
    C:\WINDOWS\system32\favset.exe Présent !
    C:\WINDOWS\system32\filesafer23.exe Présent !
    C:\WINDOWS\System32\gambling.bmp Présent !
    C:\WINDOWS\System32\idesk.conf Présent !
    C:\WINDOWS\System32\insurance.bmp Présent !
    C:\WINDOWS\System32\howiper.exe Présent !
    C:\WINDOWS\System32\pharmacy.bmp Présent !
    C:\WINDOWS\System32\pppcgm.exe Présent !
    C:\WINDOWS\System32\sphlp32.exe Présent !
    C:\WINDOWS\System32\spyware.bmp Présent !
    C:\WINDOWS\System32\xxx.bmp Présent !
    C:\WINDOWS\System32\drivers\zpmodemnt.sys Présent !

    *********************************************

    Recherche des processus aleatoires
    d'après les modèles : cs***.exe, dm***.exe, ya***.exe

    C:\WINDOWS\System32
    csrln.exe
    dmvdw.exe

    *********************************************

    Recherche presence C:\WINDOWS\System32\idemlog.exe...

    non trouvé...

    ------------------

    SILENTRUNNER :

    "Silent Runners.vbs", revision 43, http://www.silentrunners.org/
    Operating System: Windows XP
    Output limited to non-default values, except where indicated by "{++}"

    Startup items buried in registry:
    ---------------------------------

    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
    "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
    "Spamihilator" = ""C:\Program Files\Spamihilator\spamihilator.exe"" [file not found]
    "LogitechSoftwareUpdate" = ""C:\Program Files\Logitech\Video\ManifestEngine.exe" boot" ["Logitech Inc."]

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
    "OfficeGuard RegChecker" = ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"" [null data]
    "AVPCC" = ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait" ["Kaspersky Labs."]
    "Zone Labs Client" = "C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe" ["Zone Labs Inc."]
    "CTStartup" = "C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run" ["Creative Technology Ltd."]
    "WinFast_2K" = "C:\WINDOWS\System32\WF2K.EXE" ["Leadtek Research Inc."]
    "WinFast2KLoadDefault" = "rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings" [MS]
    "Tweak UI" = "RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp" [MS]
    "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
    "LVCOMSX" = "C:\WINDOWS\System32\LVCOMSX.EXE" ["Logitech Inc."]
    "LogitechVideoRepair" = "C:\Program Files\Logitech\Video\ISStart.exe" ["Logitech Inc."]
    "LogitechVideoTray" = "C:\Program Files\Logitech\Video\LogiTray.exe" ["Logitech Inc."]
    "UpdReg" = "C:\WINDOWS\Updreg.exe" ["Creative Technology Ltd."]
    "Jet Detection" = "C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [empty string]
    "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
    "NeroCheck" = "C:\WINDOWS\System32\NeroCheck.exe" ["Ahead Software Gmbh"]
    "QuickTime Task" = ""C:\WINDOWS\System32\qttask.exe" -atboottime" ["Apple Computer, Inc."]
    "SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe" ["Sun Microsystems, Inc."]
    "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
    "Easy-PrintToolBox" = "C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon" ["CANON INC."]

    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
    {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
    {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
    -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
    {9394EDE7-C8B5-483E-8773-474BF36AF6E4}\(Default) = "ST" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll" [MS]
    {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]
    {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}\(Default) = "MSNToolBandBHO" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll" [MS]

    HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
    "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
    -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
    "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
    "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
    "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
    -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
    "{3779D068-8AA6-11d2-B8FF-0080C84D9C69}" = "WinFast Information Property Sheet 2000"
    -> {CLSID}\InProcServer32\(Default) = "WF2KCPL.DLL" ["Leadtek Research Inc."]
    "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
    "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
    "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
    "{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3}" = "Mes photos Logitech"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Logitech\Video\Namespc2.dll" ["Logitech Inc."]
    "{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}" = "IZArc DragDrop Menu"
    -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\IZArc\IZArcCM.dll" [null data]
    "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" = "IZArc Shell Context Menu"
    -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\IZArc\IZArcCM.dll" [null data]
    "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]

    HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
    IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}"
    -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\IZArc\IZArcCM.dll" [null data]
    Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\KAV Shared Files\AvpShlEx.dll" ["Kaspersky Labs."]
    Qzip3\(Default) = "{4C156620-A582-11D5-858B-444553540000}"
    -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\QuickZip\QzShlExt.dll" [null data]
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

    HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
    IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}"
    -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\IZArc\IZArcCM.dll" [null data]
    Qzip3\(Default) = "{4C156620-A582-11D5-858B-444553540000}"
    -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\QuickZip\QzShlExt.dll" [null data]
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

    HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
    FineReader\(Default) = "{AC0DD14A-8F29-4F88-BE1D-0F0ED1B06C9F}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ABBYY\FineReader 6.0\FECMenu.dll" ["ABBYY (BIT Software)"]
    Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\KAV Shared Files\AvpShlEx.dll" ["Kaspersky Labs."]
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

    Active Desktop and Wallpaper:
    -----------------------------

    Active Desktop is disabled at this entry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

    HKCU\Control Panel\Desktop\
    "Wallpaper" = "C:\Documents and Settings\Socrate\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"

    Enabled Screen Saver:
    ---------------------

    HKCU\Control Panel\Desktop\
    "SCRNSAVE.EXE" = "C:\WINDOWS\System32\scrnsave.scr" [MS]

    Startup items in "Socrate" & "All Users" startup folders:
    ---------------------------------------------------------

    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
    "DSLMON" -> shortcut to: "C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe /W" [empty string]
    "Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS]

    Winsock2 Service Provider DLLs:
    -------------------------------

    Namespace Service Providers

    HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
    000000000001\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]
    000000000002\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
    000000000003\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
    000000000004\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

    Transport Service Providers

    HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
    0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
    %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 28
    %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

    Toolbars, Explorer Bars, Extensions:
    ------------------------------------

    Toolbars

    HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
    "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]

    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
    "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]

    "{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "MSN" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll" [MS]

    HKLM\Software\Microsoft\Internet Explorer\Toolbar\
    "{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "0"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll" [MS]

    "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]

    "{327C2873-E90D-4C37-AA9D-10AC9BABA46C}" = "Easy-WebPrint"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Canon\Easy-WebPrint\Toolband.dll" [null data]

    Explorer Bars

    HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
    {9455301C-CF6B-11D3-A266-00C04F689C50}\ = "&Organise-notes Encarta" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL" [MS]

    Miscellaneous IE Hijack Points
    ------------------------------

    C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

    Added lines (compared with English-language version):
    [Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

    Missing lines (compared with English-language version):
    [Strings]: 1 line

    Running Services (Display Name, Service Name, Path {Service DLL}):
    ------------------------------------------------------------------

    AVP Control Centre Service, AVPCC, ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service" ["Kaspersky Labs."]
    C-DillaCdaC11BA, C-DillaCdaC11BA, "C:\WINDOWS\System32\drivers\CDAC11BA.EXE" ["C-Dilla Ltd"]
    C-DillaSrv, C-DillaSrv, "C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE" ["C-Dilla Ltd"]
    Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\System32\CTsvcCDA.EXE" ["Creative Technology Ltd"]
    KAV Monitor Service, KAVMonitorService, ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service" ["Kaspersky Labs."]
    NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
    TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs Inc."]
    WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\System32\MsPMSPSv.exe" [MS]

    Print Monitors:
    ---------------

    HKLM\System\CurrentControlSet\Control\Print\Monitors\
    Canon BJ Language Monitor iP1600\Driver = "CNMLM75.DLL" ["CANON INC."]

    ----------
    + This report excludes default entries except where indicated.
    + To see *everywhere* the script checks and *everything* it finds,
    launch it from a command prompt or a shortcut with the -all parameter.
    + To search all directories of local fixed drives for DESKTOP.INI
    DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
    use the -supp parameter or answer "No" at the first message box.
    ---------- (total run time: 35 seconds, including 5 seconds for message boxes)

    ----------------------------------

    BITDEFENDER :

    BitDefender Online Scanner

    Rapport d'analyse généré à: Wed, Jan 11, 2006 - 22:28:56

    Voie d'analyse: C:\Documents and Settings\Socrate\Mes documents;C:\Documents and Settings\Socrate\Bureau\Encyclopédies Multimédia;C:\Documents and Settings\Socrate\Bureau\Jeux;C:\Documents and Settings\Socrate\Bureau\MUSIQUE ET Lecteurs;C:\Documents and Settings\Socrate\Bureau\PC;C:\Documents and Settings\Socrate\Bureau\PRINT;C:\Documents and Settings\Socrate\Bureau\SAUVEGARDE;C:\Documents and Settings\Socrate\Bureau\Thumb FTP P2P;C:\Documents and Settings\Socrate\Bureau\VIDEO et Photos;

    Statistiques

    Temps
    00:10:41

    Fichiers
    19024

    Directoires
    768

    Secteurs de boot
    3

    Archives
    489

    Paquets programmes
    289

    Résultats

    Virus identifiés
    0

    Fichiers infectés
    0

    Fichiers suspects
    0

    Avertissements
    0

    Désinfectés
    0

    Fichiers effacés
    0

    Info sur les moteurs

    Définition virus
    251175

    Version des moteurs
    AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)

    Analyse des plugins
    13

    Archive des plugins
    39

    Unpack des plugins
    4

    E-mail plugins
    6

    Système plugins
    1

    Paramètres d'analyse

    Première action
    Désinfecté

    Seconde Action
    Supprimé

    Heuristique
    Oui

    Acceptez les avertissements
    Oui

    Extensions analysées
    *;

    Excludez les extensions

    Analyse d'emails
    Oui

    Analyse des Archives
    Oui

    Analyser paquets programmes
    Oui

    Analyse des fichiers
    Oui

    Analyse de boot
    Oui

    Fichier analysé
    Statut

    Aucun virus trouvé.

    ---------------------------

    Voila,

    J'espère que ça fera un peu avancer l'affaire...

    A bientôt Meo31 et désolé de n'avoir pu poster ça plus tôt :)
    0
  13. Utilisateur anonyme
     
    bon, y'a du mieux mais c'est pas encore çà.

    Rend visible les fichiers cachés et système et essaye de supprimer manuellement ces fichiers:
    C:\WINDOWS\System32\dating.bmp
    C:\WINDOWS\system32\favset.exe
    C:\WINDOWS\system32\filesafer23.exe
    C:\WINDOWS\System32\gambling.bmp
    C:\WINDOWS\System32\idesk.conf
    C:\WINDOWS\System32\insurance.bmp
    C:\WINDOWS\System32\howiper.exe
    C:\WINDOWS\System32\pharmacy.bmp
    C:\WINDOWS\System32\pppcgm.exe
    C:\WINDOWS\System32\sphlp32.exe
    C:\WINDOWS\System32\spyware.bmp
    C:\WINDOWS\System32\xxx.bmp
    C:\WINDOWS\System32\drivers\zpmodemnt.sys
    C:\WINDOWS\System32\csrln.exe
    C:\WINDOWS\System32\dmvdw.exe

    ne passe pas par la fonction "Rechercher", rend toi directement dans les dossiers.
    panneau de configuration > options des dossiers > onglet affichage
    Cocher la case devant " afficher les fichiers et dossiers cachés "
    Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
    Décocher la case devant " masquer les fichiers protégés du système"
    clic sur [Appliquer] puis sur [ok] pour valider

    /!\ Ne pas oublier une fois le nettoyage terminé de faire l'inverse pour recacher les fichiers.

    Et dis moi si tu as des problèmes de suppression.

    a+
    0
  14. Liliom Messages postés 22 Statut Membre
     
    Sympa pour ta réactivité Moe

    La suppression n'a posé aucun problème

    J'ai refait un rapport pour le coup :

    Rapport fait à 23:36:15,55 le 11/01/2006
    Executé à partir de C:\T‚l‚chargements et apports persos\INTERNET\S‚curit‚ Internet\bkrBR8iVuS_Hcsrch
    OS: Microsoft Windows XP [version 5.1.2600]

    *********************************************

    Vérification HKLM\...\...\...\...\ruins

    Vérification HKLM\...\...\...\...\Urls

    *********************************************

    Fichiers détectés :

    C:\WINDOWS\System32\close.bmp Présent !

    *********************************************

    Recherche des processus aleatoires
    d'après les modèles : cs***.exe, dm***.exe, ya***.exe

    C:\WINDOWS\System32

    *********************************************

    Recherche presence C:\WINDOWS\System32\idemlog.exe...

    non trouvé...
    0
  15. Liliom Messages postés 22 Statut Membre
     
    Hé hé,

    si si, j'admire. Et le fait d'aider les autres, et le fait de comprendre tout ce charabia. :D

    En tout cas les faits sont là : Internet Explorer ne semble plus rediriger mes recherches *YESSS!!!*

    Je ne serais pas étonné que les autres antivirus donnent la même réponse, étant donné qu'avant de poster ici j'avais déjà essayé avec 3 antivir en ligne sans détection de fichiers infectés. Au cas où, je relancerai les antivirus que tu m'as cité, on n'est jamais trop prudent. Et l'informatique recèle des mystères parfois incompréhensibles... surtout pour moi. ;)

    Je posterai les résultats demain.

    Sinon, qu'est-ce que je fais des fichiers "windelf.txt" et "delfiles.bat" présent sur le c: ? Faut il que je les supprime aussi?

    A++ Moe (et bonne nuit si entre temps tu aurais décroché :p)
    0
  16. Utilisateur anonyme
     
    Tu peux supprimer sans probleme windelf.txt" et "delfiles.bat et tout les autres prog que je t'ai fais télécharger, ainsi que le dossier C:\!Killbox (les backups de killbox).
    Bah, vaut mieux perdre un peu de temps et faire les scans av, au moins tu seras sur que tout est ok.
    Si les scans sont négatifs, ou avant de les faire désactive la restauration système.
    Pendant que ton pc etait infecté, il à surement crée des points de restauration systeme, et si un jour tu as besoin de faire une restauration systeme, ce serait dommage de réactiver un point de sauvegarde infecté et de voir revenir tes trojans.

    Désactive la restauration systéme.
    Clic droit sur poste de travail > propriétés > onglet restauration système
    puis cocher "désactiver la restauration système".
    clic sur ok pour valider

    redemarre ton pc et reactive là :
    Clic droit sur poste de travail > propriétés > onglet restauration système
    puis décocher "désactiver la restauration système".
    Ca supprimera tous les points de sauvegardes dont ceux crées pendant que le pc était infecté.

    Ensuite tu peux créer un nouveau point de restauration:
    demarrer > executer tape msconfig
    clic sur "executer la restauration systeme"
    clic sur créer un point de restauration.
    et laisse toi guider.
    Ca te permettra de revenir sur un point de restauration sain en cas de plantage ou virus.

    a+ et tiens nous au courant.
    0
  17. Liliom Messages postés 22 Statut Membre
     
    Re-salut^^

    En ce qui concerne la restauration, pour une fois j'avais anticipé l'appel et je venais de créer un nouveau point quand j'ai reçu ton dernier message. Donc ça c'est fait :p

    Idem, j'ai supprimé les fichiers précédemment nommés sans problème. Pour le coup, comme j'étais dans ma période "ménage", j'ai tiré la chasse d'eau (lire "passé un coup de CleanUp41, CClean puis lancé une défragmentation"). C'est fou ce que ça fait du bien...

    Par contre, en ce qui concerne les antivirus en ligne, je n'ai pas réussi à les lancer :
    - Kaspersky : le bouton de "ScanOnline" ne réagissait pas quand je cliquais dessus (au cas où, j'avais essayé avec CTRL+clic-droit mais rien non plus). Je sèche. En même temps, mon antivirus perso est justement Kapersky, donc est-ce que ça vaut vraiment le coup que je cherche absolument à lancer celui-ci? O_o Sinon, je peux toujours le lancer en hors-ligne avec le mien mis-à-jour, mais je l'avais fait peu de temps avant sans résultat d'infection.

    - Panda ActiveScan : La fenêtre de téléchargement d'AcitveScan s'ouvre, télécharge (les ActiveX je crois?), puis semble se mettre en attente... puis rien. Pas de barre de progression, le pc n'avait pas l'air de travailler, j'ai fermé la fenêtre sans message... Je ne vois pas là. Il y a une procédure spécifique? Cette fenêtre d'ActiveScan (seuls les points de suspension donnent signe de vie :/) correspond-elle au scan et j'aurais donc dû la laisser ouverte plus longtemps?

    Sinon ça tourne pas mal pour le moment, c'est agréable. Il n'y a guère que l'explorateur Windows qui se coupe régulièrement et se relance à nouveau (?) : [Explorateur a rencontré un problème > L'explorateur se ferme et le bureau disparait > au bout d'une minute ça revient]. Pour le reste c'est nickel-chrome.

    A++
    0
  18. Utilisateur anonyme
     
    Salut Liliom

    C'est vrai que tu as kaspersky lol, j'avais pas fais attention, laisse tomber le scan sur leur site alors et passe la version installé sur ton pc mise à jour.
    Pour Panda c'est bizarre en effet, regarde dans ajout/suppression de programme si tu as une entrée concernant Panda, et regarde dans C:\Windows\System32 si tu as un dossier ActiveScan, et supprime le si c'est le cas, ensuite supprime à nouveau tout les fiers internet temporaires et réessaye le scan en ligne.

    Pour l'explorateur, ca arrive quelques fois, il existe une manip pour limiter ce désagrément, mais bon c'est pas une solution miracle.
    http://www.hotline-pc.org/processus.htm
    Lis l'article suivant sur le site:
    Mais pourquoi j'ai deux processus nommés Explorer.exe

    a+
    0
  19. Liliom Messages postés 22 Statut Membre
     
    Grmbl, rien n'y fait... Je clique sur "Analyser maintenant". Il me prévient qu'une fenêtre va s'ouvrir et que je devrais faire "Ok", mais rien de tel ne s'ouvre, sinon un fenêtre "Ative Scan a démarré", puis plus rien...

    J'ai une entrée PandaActivescan dans ajout/suppression de programme. J'ai donc tout supprimé, puis j'ai recommencé, mais rien n'y fait, ça bloque toujours :

    "Vous êtes sur le point de démarrer l'analyse et de vous faire une nouvelle opinion sur la sécurité de votre PC.
    Veuillez patienter pendant qu'ActiveScan termine le téléchargement."

    J'attends encore :D
    0
  • 1
  • 2
  • 3