VIRUS INFECTE
Fermé
mickael-sto
Messages postés
6
Date d'inscription
vendredi 20 janvier 2006
Statut
Membre
Dernière intervention
21 janvier 2006
-
20 janv. 2006 à 16:52
pikjojo - 6 mai 2008 à 21:01
pikjojo - 6 mai 2008 à 21:01
A voir également:
- VIRUS INFECTE
- Virus mcafee - Accueil - Piratage
- Youtu.be virus - Accueil - Guide virus
- Virus facebook demande d'amis - Accueil - Facebook
- Faux message virus ordinateur - Accueil - Arnaque
- Faux message virus iphone ✓ - Forum Virus
14 réponses
jean38
Messages postés
2534
Date d'inscription
samedi 16 avril 2005
Statut
Contributeur
Dernière intervention
17 juillet 2017
47
20 janv. 2006 à 16:56
20 janv. 2006 à 16:56
salut,
petit nid à virus, alors en premier lieu, telecharge ewido et fait un scan, tout ce qui sera enlevé ne sera plus a faire et on bossera sur le reste.
www.infos-du-net.com/telecharger/Ewido-Security-Suite.html
A+
Jean
petit nid à virus, alors en premier lieu, telecharge ewido et fait un scan, tout ce qui sera enlevé ne sera plus a faire et on bossera sur le reste.
www.infos-du-net.com/telecharger/Ewido-Security-Suite.html
A+
Jean
mickael-sto
Messages postés
6
Date d'inscription
vendredi 20 janvier 2006
Statut
Membre
Dernière intervention
21 janvier 2006
20 janv. 2006 à 18:03
20 janv. 2006 à 18:03
Merci.
Resultat:
Ewido 19 objets infectés-----19 nettoyés
nouveau scan:
Logfile of HijackThis v1.99.1
Scan saved at 17:54:07, on 20/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\tt38.exe
C:\sfx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\netdrvr.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Documents and Settings\Propriétaire\Mes documents\mise a jour\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://click-power.com/index1.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: ATLDistrib Object - {8271C2A2-2B93-445F-97BF-F5E5363225CC} - C:\WINDOWS\System32\ddabb.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\vtutr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [=123] c:\windows\mrjj.exe
O4 - HKLM\..\Run: [Services] C:\tt38.exe
O4 - HKLM\..\Run: [noC=] C:\windows\mrjj.exe
O4 - HKLM\..\Run: [MediaGateway] C:\Program Files\MediaGateway\MediaGateway.exe
O4 - HKLM\..\Run: [Sin Espias] C:\Program Files\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [stnospy] C:\Program Files\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\sfx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O15 - Trusted Zone: *.elitemediagroup.net
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137707959640
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab
O16 - DPF: {9AC54695-69A4-46F1-BE10-10C74F9520D5} - http://cabs.elitemediagroup.net/cabs/mediaview.cab
O20 - Winlogon Notify: ddabb - C:\WINDOWS\System32\ddabb.dll
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\k0pm0a71ed.dll
O20 - Winlogon Notify: vtutr - C:\WINDOWS\SYSTEM32\vtutr.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
encore merci Mick.
Resultat:
Ewido 19 objets infectés-----19 nettoyés
nouveau scan:
Logfile of HijackThis v1.99.1
Scan saved at 17:54:07, on 20/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\tt38.exe
C:\sfx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\netdrvr.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Documents and Settings\Propriétaire\Mes documents\mise a jour\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://click-power.com/index1.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: ATLDistrib Object - {8271C2A2-2B93-445F-97BF-F5E5363225CC} - C:\WINDOWS\System32\ddabb.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\vtutr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [=123] c:\windows\mrjj.exe
O4 - HKLM\..\Run: [Services] C:\tt38.exe
O4 - HKLM\..\Run: [noC=] C:\windows\mrjj.exe
O4 - HKLM\..\Run: [MediaGateway] C:\Program Files\MediaGateway\MediaGateway.exe
O4 - HKLM\..\Run: [Sin Espias] C:\Program Files\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [stnospy] C:\Program Files\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\sfx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O15 - Trusted Zone: *.elitemediagroup.net
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137707959640
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab
O16 - DPF: {9AC54695-69A4-46F1-BE10-10C74F9520D5} - http://cabs.elitemediagroup.net/cabs/mediaview.cab
O20 - Winlogon Notify: ddabb - C:\WINDOWS\System32\ddabb.dll
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\k0pm0a71ed.dll
O20 - Winlogon Notify: vtutr - C:\WINDOWS\SYSTEM32\vtutr.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
encore merci Mick.
ben13010
Messages postés
3356
Date d'inscription
vendredi 24 septembre 2004
Statut
Contributeur
Dernière intervention
5 octobre 2012
387
20 janv. 2006 à 18:41
20 janv. 2006 à 18:41
salut
c'est pas fini tu as une infection vundo en 02 et 020
bye
c'est pas fini tu as une infection vundo en 02 et 020
bye
bonjour, je ne saurais pas t'aider désolé car je ne sais pas lire le rapport hajiack. c'est ce qui m'amène, j'aimerais savoir ou apprendre à lire hijack, comme ça je n'embêterais plus tout le monde pour si peu. voilà merci d'avance et bonne chance pour ton virus ;)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
mickael-sto
Messages postés
6
Date d'inscription
vendredi 20 janvier 2006
Statut
Membre
Dernière intervention
21 janvier 2006
21 janv. 2006 à 09:22
21 janv. 2006 à 09:22
Salut tout le monde......
Je suis vraiment désolé mais comment faire pour désinfécter l'infection vundo en 02 et 020.......
C'est vrai ça, comment savoir lire les rapports.
Je ne vois aucun inconvenient à donner un coup de main.. maisil faudrait savoir lire et détécter tout ça...
Encore merci. Mick
Je suis vraiment désolé mais comment faire pour désinfécter l'infection vundo en 02 et 020.......
C'est vrai ça, comment savoir lire les rapports.
Je ne vois aucun inconvenient à donner un coup de main.. maisil faudrait savoir lire et détécter tout ça...
Encore merci. Mick
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
21 janv. 2006 à 15:32
21 janv. 2006 à 15:32
là ?<http://www.commentcamarche.net/faq/sujet-266-Analyse-Interpr%E9tation-d%27un-log-HijackThis>, ---> base de connaissances.
ben13010
Messages postés
3356
Date d'inscription
vendredi 24 septembre 2004
Statut
Contributeur
Dernière intervention
5 octobre 2012
387
21 janv. 2006 à 10:25
21 janv. 2006 à 10:25
ok
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\vtutr.dll
et
O20 - Winlogon Notify: vtutr - C:\WINDOWS\SYSTEM32\vtutr.dll
tu remarque que c'est la meme dll (qui est verolé )
fais ceci
télécharge : process xp ici:
http://www.sysinternals.com/files/procexpnt.zip
decompresse le
Déconnecte toi
Ferme tous les programmes
double clic sur processxp.exe
* Dans la fenêtre principale de processxp double clic sur winlogon.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionne seulement les lignes qui contiennent la dll vtutr.dll puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec ok
* Dans la fenêtre principale de processxp double clic sur explorer.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionner seulement les lignes qui contiennent la dll vtutr.dll puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec ok
ensuite tu ouvre la kill box
Télécharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
Démo d utilisation (merci a Balltrap34 pour cette réalisation) :
http://pageperso.aol.fr/balltrap34/killbox.htm
tu colle les dll suspectes et tu les effaces
Comme ceci:
Double clic sur killbox.exe (Pocket Killbox)
- coche: delete on reboot
- Dans "Full Path of File to Delete"
copie et colle: C:\WINDOWS\SYSTEM32\vtutr.dll
- clique sur la croix rouge
- une fenêtre va apparaître pour confirmation clique sur YES
- une seconde fenêtre te demande si tu veux redémarrer clique sur YES
Laisse le pc redémarrer.
Et après reposte un log HijackThis. la desinfection est pas encore finie
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\vtutr.dll
et
O20 - Winlogon Notify: vtutr - C:\WINDOWS\SYSTEM32\vtutr.dll
tu remarque que c'est la meme dll (qui est verolé )
fais ceci
télécharge : process xp ici:
http://www.sysinternals.com/files/procexpnt.zip
decompresse le
Déconnecte toi
Ferme tous les programmes
double clic sur processxp.exe
* Dans la fenêtre principale de processxp double clic sur winlogon.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionne seulement les lignes qui contiennent la dll vtutr.dll puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec ok
* Dans la fenêtre principale de processxp double clic sur explorer.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionner seulement les lignes qui contiennent la dll vtutr.dll puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec ok
ensuite tu ouvre la kill box
Télécharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
Démo d utilisation (merci a Balltrap34 pour cette réalisation) :
http://pageperso.aol.fr/balltrap34/killbox.htm
tu colle les dll suspectes et tu les effaces
Comme ceci:
Double clic sur killbox.exe (Pocket Killbox)
- coche: delete on reboot
- Dans "Full Path of File to Delete"
copie et colle: C:\WINDOWS\SYSTEM32\vtutr.dll
- clique sur la croix rouge
- une fenêtre va apparaître pour confirmation clique sur YES
- une seconde fenêtre te demande si tu veux redémarrer clique sur YES
Laisse le pc redémarrer.
Et après reposte un log HijackThis. la desinfection est pas encore finie
ben13010
Messages postés
3356
Date d'inscription
vendredi 24 septembre 2004
Statut
Contributeur
Dernière intervention
5 octobre 2012
387
21 janv. 2006 à 11:49
21 janv. 2006 à 11:49
re
tu as meme une autre infection vundo
O2 - BHO: ATLDistrib Object - {8271C2A2-2B93-445F-97BF-F5E5363225CC} - C:\WINDOWS\System32\ddabb.dll
O20 - Winlogon Notify: ddabb - C:\WINDOWS\System32\ddabb.dll
repete la meme procedure avec process xp mais en changeant la ddl
tu as meme une autre infection vundo
O2 - BHO: ATLDistrib Object - {8271C2A2-2B93-445F-97BF-F5E5363225CC} - C:\WINDOWS\System32\ddabb.dll
O20 - Winlogon Notify: ddabb - C:\WINDOWS\System32\ddabb.dll
repete la meme procedure avec process xp mais en changeant la ddl
mickael-sto
Messages postés
6
Date d'inscription
vendredi 20 janvier 2006
Statut
Membre
Dernière intervention
21 janvier 2006
21 janv. 2006 à 13:03
21 janv. 2006 à 13:03
Merci encore à vous.
Alors en ce qui concerne WINLOGON.exe ça marque :
!RegisterWaitForlnputldle+0*4a ?????? Alors pas comprendre!
donc impossible de trouver le fichier vtutr.dll
pour Killbox au moment de reboter:
pendindFileRenameOperationsRegistry Data Has been Removed by External Process.
J'ai donc rebooter et la plus rien, un redémarage en mode sans échec, quelques vérifications, un nouveau reboot et là un nouveau scan, maisje crois que rien n'a changer:
Logfile of HijackThis v1.99.1
Scan saved at 12:58:28, on 21/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\tt38.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Propriétaire\Mes documents\mise a jour\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://click-power.com/index1.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: ATLDistrib Object - {8271C2A2-2B93-445F-97BF-F5E5363225CC} - C:\WINDOWS\System32\ddabb.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\system32\vtutr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [=123] c:\windows\mrjj.exe
O4 - HKLM\..\Run: [Services] C:\tt38.exe
O4 - HKLM\..\Run: [noC=] C:\windows\mrjj.exe
O4 - HKLM\..\Run: [Sin Espias] C:\Program Files\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [stnospy] C:\Program Files\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137707959640
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab
O16 - DPF: {9AC54695-69A4-46F1-BE10-10C74F9520D5} - http://cabs.elitemediagroup.net/cabs/mediaview.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://fr.errorsafe.com/pages/scanner_fr/ErrorSafeScannerInstallFR.cab
O20 - Winlogon Notify: ddabb - C:\WINDOWS\System32\ddabb.dll
O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\g0lm0a31ed.dll (file missing)
O20 - Winlogon Notify: vtutr - C:\WINDOWS\SYSTEM32\vtutr.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINDOWS\system32\netdrvr.exe (file missing)
Merci d'avance Mick.
Alors en ce qui concerne WINLOGON.exe ça marque :
!RegisterWaitForlnputldle+0*4a ?????? Alors pas comprendre!
donc impossible de trouver le fichier vtutr.dll
pour Killbox au moment de reboter:
pendindFileRenameOperationsRegistry Data Has been Removed by External Process.
J'ai donc rebooter et la plus rien, un redémarage en mode sans échec, quelques vérifications, un nouveau reboot et là un nouveau scan, maisje crois que rien n'a changer:
Logfile of HijackThis v1.99.1
Scan saved at 12:58:28, on 21/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\tt38.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Propriétaire\Mes documents\mise a jour\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://click-power.com/index1.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: ATLDistrib Object - {8271C2A2-2B93-445F-97BF-F5E5363225CC} - C:\WINDOWS\System32\ddabb.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\system32\vtutr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [=123] c:\windows\mrjj.exe
O4 - HKLM\..\Run: [Services] C:\tt38.exe
O4 - HKLM\..\Run: [noC=] C:\windows\mrjj.exe
O4 - HKLM\..\Run: [Sin Espias] C:\Program Files\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [stnospy] C:\Program Files\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137707959640
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab
O16 - DPF: {9AC54695-69A4-46F1-BE10-10C74F9520D5} - http://cabs.elitemediagroup.net/cabs/mediaview.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://fr.errorsafe.com/pages/scanner_fr/ErrorSafeScannerInstallFR.cab
O20 - Winlogon Notify: ddabb - C:\WINDOWS\System32\ddabb.dll
O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\g0lm0a31ed.dll (file missing)
O20 - Winlogon Notify: vtutr - C:\WINDOWS\SYSTEM32\vtutr.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINDOWS\system32\netdrvr.exe (file missing)
Merci d'avance Mick.
jpdeclermont
Messages postés
1790
Date d'inscription
mercredi 7 décembre 2005
Statut
Membre
Dernière intervention
3 septembre 2006
382
21 janv. 2006 à 13:21
21 janv. 2006 à 13:21
bonjour,
pourtant elles sont là ces dll ....
lance porcessxp, clique sur find dll dans la barre de recherche, tu mets
vtutr.dll et clique sur search ....
copie/colle le résultat ici
-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
pourtant elles sont là ces dll ....
lance porcessxp, clique sur find dll dans la barre de recherche, tu mets
vtutr.dll et clique sur search ....
copie/colle le résultat ici
-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
mickael-sto
Messages postés
6
Date d'inscription
vendredi 20 janvier 2006
Statut
Membre
Dernière intervention
21 janvier 2006
21 janv. 2006 à 14:29
21 janv. 2006 à 14:29
ok voici le resultat
explorer.exe 1624 C:\WINDOWS\system32\vtutr.dll
EXPLORER.EXE 3628 C:\WINDOWS\system32\vtutr.dll
EXPLORER.EXE 3664 C:\WINDOWS\system32\vtutr.dll
EXPLORER.EXE 3884 C:\WINDOWS\system32\vtutr.dll
merci mick
explorer.exe 1624 C:\WINDOWS\system32\vtutr.dll
EXPLORER.EXE 3628 C:\WINDOWS\system32\vtutr.dll
EXPLORER.EXE 3664 C:\WINDOWS\system32\vtutr.dll
EXPLORER.EXE 3884 C:\WINDOWS\system32\vtutr.dll
merci mick
jpdeclermont
Messages postés
1790
Date d'inscription
mercredi 7 décembre 2005
Statut
Membre
Dernière intervention
3 septembre 2006
382
21 janv. 2006 à 14:43
21 janv. 2006 à 14:43
re-
ok, rien dans le winlogon, mais dans explorer ...
donc reprends la manip....
1) Vérifie (même procédure) pour ddabb.dll
2)
- Dans la fenêtre principale de processxp double clic sur explorer.exe
- Dans la nouvelle fenêtre qui s'ouvre cliquer sur threads
- Ne sélectionner que les lignes qui contiennent vtutr.dll et/ouddabb.dll puis cliquer
sur kill pour chacune des lignes trouvées.
- Une fois fait, valide OK.
3)
- Lancer HijackThis
- Cliquer sur "do a system scan only"
- Cocher la case au début de ces lignes:
O2 - BHO: ATLDistrib Object - {8271C2A2-2B93-445F-97BF-F5E5363225CC} - C:\WINDOWS\System32\ddabb.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\system32\vtutr.dll
O4 - HKLM\..\Run: [=123] c:\windows\mrjj.exe
O4 - HKLM\..\Run: [Services] C:\tt38.exe
O4 - HKLM\..\Run: [noC=] C:\windows\mrjj.exe
O4 - HKLM\..\Run: [Sin Espias] C:\Program Files\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [stnospy] C:\Program Files\SinEspias\no-spy.exe /autorun
O20 - Winlogon Notify: ddabb - C:\WINDOWS\System32\ddabb.dll
O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\g0lm0a31ed.dll (file missing)
O20 - Winlogon Notify: vtutr - C:\WINDOWS\SYSTEM32\vtutr.dll
- Valider avec "fix checked"
4)
- Double clique sur killbox.exe (Pocket Killbox)
- Cocher "delete on reboot"
- Dans "Full Path of File to Delete", copie et colle:
C:\WINDOWS\system32\vtutr.dll
C:\WINDOWS\System32\ddabb.dll
- Cliquer sur la croix rouge
- Une fenêtre apparaît pour confirmation, cliquer YES .
- Une seconde fenêtre te demande si tu veux redémarrer, clique sur YES.
si tu as un message comme ça,
PendingFileRenameOperationsRegistrydata has been removed by external Process
ignore-le et laisse redémarrer ou redémarre manuellement
Laisse le pc redémarrer.
relance hijacthis, reposte un log ici, c'est pas fini :)
-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
ok, rien dans le winlogon, mais dans explorer ...
donc reprends la manip....
1) Vérifie (même procédure) pour ddabb.dll
2)
- Dans la fenêtre principale de processxp double clic sur explorer.exe
- Dans la nouvelle fenêtre qui s'ouvre cliquer sur threads
- Ne sélectionner que les lignes qui contiennent vtutr.dll et/ouddabb.dll puis cliquer
sur kill pour chacune des lignes trouvées.
- Une fois fait, valide OK.
3)
- Lancer HijackThis
- Cliquer sur "do a system scan only"
- Cocher la case au début de ces lignes:
O2 - BHO: ATLDistrib Object - {8271C2A2-2B93-445F-97BF-F5E5363225CC} - C:\WINDOWS\System32\ddabb.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\system32\vtutr.dll
O4 - HKLM\..\Run: [=123] c:\windows\mrjj.exe
O4 - HKLM\..\Run: [Services] C:\tt38.exe
O4 - HKLM\..\Run: [noC=] C:\windows\mrjj.exe
O4 - HKLM\..\Run: [Sin Espias] C:\Program Files\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [stnospy] C:\Program Files\SinEspias\no-spy.exe /autorun
O20 - Winlogon Notify: ddabb - C:\WINDOWS\System32\ddabb.dll
O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\g0lm0a31ed.dll (file missing)
O20 - Winlogon Notify: vtutr - C:\WINDOWS\SYSTEM32\vtutr.dll
- Valider avec "fix checked"
4)
- Double clique sur killbox.exe (Pocket Killbox)
- Cocher "delete on reboot"
- Dans "Full Path of File to Delete", copie et colle:
C:\WINDOWS\system32\vtutr.dll
C:\WINDOWS\System32\ddabb.dll
- Cliquer sur la croix rouge
- Une fenêtre apparaît pour confirmation, cliquer YES .
- Une seconde fenêtre te demande si tu veux redémarrer, clique sur YES.
si tu as un message comme ça,
PendingFileRenameOperationsRegistrydata has been removed by external Process
ignore-le et laisse redémarrer ou redémarre manuellement
Laisse le pc redémarrer.
relance hijacthis, reposte un log ici, c'est pas fini :)
-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
ben13010
Messages postés
3356
Date d'inscription
vendredi 24 septembre 2004
Statut
Contributeur
Dernière intervention
5 octobre 2012
387
21 janv. 2006 à 15:38
21 janv. 2006 à 15:38
salut jp
vu que tu as bien avancé avec notre ami , je te laisse le post si tu te sens
aplus
vu que tu as bien avancé avec notre ami , je te laisse le post si tu te sens
aplus
jpdeclermont
Messages postés
1790
Date d'inscription
mercredi 7 décembre 2005
Statut
Membre
Dernière intervention
3 septembre 2006
382
21 janv. 2006 à 15:47
21 janv. 2006 à 15:47
re-
salut ben :)
on va attendre la réponse ... y a encore du boulot d'après ce que j'ai vu
mais suis pas sur de rester encore longtemps en ligne cet aprem
-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
salut ben :)
on va attendre la réponse ... y a encore du boulot d'après ce que j'ai vu
mais suis pas sur de rester encore longtemps en ligne cet aprem
-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
mickael-sto
Messages postés
6
Date d'inscription
vendredi 20 janvier 2006
Statut
Membre
Dernière intervention
21 janvier 2006
21 janv. 2006 à 22:43
21 janv. 2006 à 22:43
De retour....
Pourtant je fais ce que vous me dites de faire mais bon..
Logfile of HijackThis v1.99.1
Scan saved at 15:36:05, on 21/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Documents and Settings\Propriétaire\Mes documents\mise a jour\HijackThis.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://click-power.com/index1.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: ATLDistrib Object - {8271C2A2-2B93-445F-97BF-F5E5363225CC} - C:\WINDOWS\System32\ddabb.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\system32\vtutr.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137707959640
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab
O16 - DPF: {9AC54695-69A4-46F1-BE10-10C74F9520D5} - http://cabs.elitemediagroup.net/cabs/mediaview.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://fr.errorsafe.com/pages/scanner_fr/ErrorSafeScannerInstallFR.cab
O20 - Winlogon Notify: ddabb - C:\WINDOWS\System32\ddabb.dll
O20 - Winlogon Notify: vtutr - C:\WINDOWS\SYSTEM32\vtutr.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINDOWS\system32\netdrvr.exe (file missing)
O23 - Service: P-SYS (P-SYS Service) - Unknown owner - C:\WINDOWS\termsvrs.exe (file missing)
Pourtant je fais ce que vous me dites de faire mais bon..
Logfile of HijackThis v1.99.1
Scan saved at 15:36:05, on 21/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Documents and Settings\Propriétaire\Mes documents\mise a jour\HijackThis.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://click-power.com/index1.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: ATLDistrib Object - {8271C2A2-2B93-445F-97BF-F5E5363225CC} - C:\WINDOWS\System32\ddabb.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\system32\vtutr.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137707959640
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab
O16 - DPF: {9AC54695-69A4-46F1-BE10-10C74F9520D5} - http://cabs.elitemediagroup.net/cabs/mediaview.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://fr.errorsafe.com/pages/scanner_fr/ErrorSafeScannerInstallFR.cab
O20 - Winlogon Notify: ddabb - C:\WINDOWS\System32\ddabb.dll
O20 - Winlogon Notify: vtutr - C:\WINDOWS\SYSTEM32\vtutr.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINDOWS\system32\netdrvr.exe (file missing)
O23 - Service: P-SYS (P-SYS Service) - Unknown owner - C:\WINDOWS\termsvrs.exe (file missing)
ben13010
Messages postés
3356
Date d'inscription
vendredi 24 septembre 2004
Statut
Contributeur
Dernière intervention
5 octobre 2012
387
21 janv. 2006 à 23:09
21 janv. 2006 à 23:09
elimine les 2 infections vundo decrites plus haut ; sinon on avance pas
dandav
Messages postés
2
Date d'inscription
dimanche 1 avril 2007
Statut
Membre
Dernière intervention
29 avril 2008
1 avril 2007 à 17:35
1 avril 2007 à 17:35
bonjour ben,je suis nouveau et j'ai smitfraud toolbar888 win32 trogen
etc....,
j'ai fait smitfraudfix ( mode sans échec ) ccleaner,cleaner.spybot,ad aware,vundofix, et il revient toujour ??? crois tu pouvoir m'aider ?
merci a l'avance
etc....,
j'ai fait smitfraudfix ( mode sans échec ) ccleaner,cleaner.spybot,ad aware,vundofix, et il revient toujour ??? crois tu pouvoir m'aider ?
merci a l'avance
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
>
dandav
Messages postés
2
Date d'inscription
dimanche 1 avril 2007
Statut
Membre
Dernière intervention
29 avril 2008
2 avril 2007 à 12:18
2 avril 2007 à 12:18
Bonjour dandav
On va vérifier s'il y a d'autres trojans & malwares.
Fais une analyse par HijackThis, comme ceci:
- Avec connexion au Net en service,
- télécharge la version original de hijackthis < http://www.merijn.org/files/hijackthis.zip > https://www.pcastuces.com/logitheque/hijackthis.htm
- et un Tutorial de BipBip avec copies d'écran ici < http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm >
- Déconnecte-toi du net pour installer le programme.
- Ensuite, installe HJT ( = HijackThis ) dans C:\Program Files par exemple. Pour cela : [Enregistrer] > « Poste de Travail » > « C:\ » > « Program Files » > [Enregistrer]
( s'il n'y est pas, crée un raccourci sur vers le bureau )
-Redémarre ton PC impérativement.
- Lance HJT en cliquant l'icône bureau, puis sur « Do a system scan and save a logfile »
- à la fin du scan le bloc-notes va s'ouvrir sur le bureau
- tu fais un copier/coller de tout son contenu.
- Et tu le postes sur le forum
POURQUOI l'installer là ?
Le problème consiste à avoir un dossier dédié à HijackThis;
car lors de l'utilisation il créera un dossier backup permettant de revenir en arrière en cas d'erreur.
L'emplacement de ce dossier importe peu à l'exclusion des dossiers temporaires qui sont vidés pratiquement systématiquement lors d'une procédure de nettoyage.
Ce nettoyage effacerait donc les backups; ce qui empêcherait tout retour en arrière.
Un "log" c'est la trace écrite de ce que un programme a fait et du résultat de son action
Continue avec ceci SVP
1)- •- Télécharge « clean.zip »
http://www.malekal.com/download/clean.zip
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".
< http://img227.imageshack.us/img227/9384/screenshot149ih1.gif >
2)- Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.zip
Fais un clic droit sur "SDFix.zip" et choisis "Extraire tout"
3)- Redémarre en mode sans échec.
Tutos: Comment faire pour... à la lettre D
< https://forum.pcastuces.com/default.asp >
( note bien ce que tu as à faire, parce que tu n'auras plus accès à IE durant cette procédure ).
4)- Analyses
•- Ouvre le dossier « clean » qui se trouve sur ton bureau.
- Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaître, suis les consignes
< http://img483.imageshack.us/img483/6285/screenshot210io7.gif >
Choisis l’option 2.
Clean va travailler. Il va produire un rapport.
•- Double-clique sur "RunThis.bat" de SDFix
Tape Y pour lancer le script.
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire
Presse une touche pour redémarrer en mode normal
Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche
5) Rapports:
- Poste qui se trouve ici C:\rapport_clean.txt. (- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )
- Ouvre le "dossier SDFix" et copie/colle ici le contenu du fichier "Report.txt"
6)- Termine par scan kaspersky < https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr >
Clic sur l'image Kaspersky Online Scanner
Clic sur "J'accepte"
Installe le ActiveX
Tu attends que la mise à jour se termine,
une fois terminé, clic sur "Suivant"
Clic sur "Paramètres d'analyse "
Coche la case "Étendue" > [Ok]
Clic sur "Poste de travail" pour faire un "scan complet "
Une fois le scan fini à 100%, clic sur « Enregistrer rapport sous... »
Enregistrer le rapport au format .txt (en nom tu mets rapport ou
ce que tu veux et en type tu choisis fichier texte (*.txt)
Tu ouvres le fichier que tu viens de sauvegarder,
copie et colle sur le forum.
Merci
Al.
On va vérifier s'il y a d'autres trojans & malwares.
Fais une analyse par HijackThis, comme ceci:
- Avec connexion au Net en service,
- télécharge la version original de hijackthis < http://www.merijn.org/files/hijackthis.zip > https://www.pcastuces.com/logitheque/hijackthis.htm
- et un Tutorial de BipBip avec copies d'écran ici < http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm >
- Déconnecte-toi du net pour installer le programme.
- Ensuite, installe HJT ( = HijackThis ) dans C:\Program Files par exemple. Pour cela : [Enregistrer] > « Poste de Travail » > « C:\ » > « Program Files » > [Enregistrer]
( s'il n'y est pas, crée un raccourci sur vers le bureau )
-Redémarre ton PC impérativement.
- Lance HJT en cliquant l'icône bureau, puis sur « Do a system scan and save a logfile »
- à la fin du scan le bloc-notes va s'ouvrir sur le bureau
- tu fais un copier/coller de tout son contenu.
- Et tu le postes sur le forum
POURQUOI l'installer là ?
Le problème consiste à avoir un dossier dédié à HijackThis;
car lors de l'utilisation il créera un dossier backup permettant de revenir en arrière en cas d'erreur.
L'emplacement de ce dossier importe peu à l'exclusion des dossiers temporaires qui sont vidés pratiquement systématiquement lors d'une procédure de nettoyage.
Ce nettoyage effacerait donc les backups; ce qui empêcherait tout retour en arrière.
Un "log" c'est la trace écrite de ce que un programme a fait et du résultat de son action
Continue avec ceci SVP
1)- •- Télécharge « clean.zip »
http://www.malekal.com/download/clean.zip
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".
< http://img227.imageshack.us/img227/9384/screenshot149ih1.gif >
2)- Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.zip
Fais un clic droit sur "SDFix.zip" et choisis "Extraire tout"
3)- Redémarre en mode sans échec.
Tutos: Comment faire pour... à la lettre D
< https://forum.pcastuces.com/default.asp >
( note bien ce que tu as à faire, parce que tu n'auras plus accès à IE durant cette procédure ).
4)- Analyses
•- Ouvre le dossier « clean » qui se trouve sur ton bureau.
- Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaître, suis les consignes
< http://img483.imageshack.us/img483/6285/screenshot210io7.gif >
Choisis l’option 2.
Clean va travailler. Il va produire un rapport.
•- Double-clique sur "RunThis.bat" de SDFix
Tape Y pour lancer le script.
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire
Presse une touche pour redémarrer en mode normal
Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche
5) Rapports:
- Poste qui se trouve ici C:\rapport_clean.txt. (- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )
- Ouvre le "dossier SDFix" et copie/colle ici le contenu du fichier "Report.txt"
6)- Termine par scan kaspersky < https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr >
Clic sur l'image Kaspersky Online Scanner
Clic sur "J'accepte"
Installe le ActiveX
Tu attends que la mise à jour se termine,
une fois terminé, clic sur "Suivant"
Clic sur "Paramètres d'analyse "
Coche la case "Étendue" > [Ok]
Clic sur "Poste de travail" pour faire un "scan complet "
Une fois le scan fini à 100%, clic sur « Enregistrer rapport sous... »
Enregistrer le rapport au format .txt (en nom tu mets rapport ou
ce que tu veux et en type tu choisis fichier texte (*.txt)
Tu ouvres le fichier que tu viens de sauvegarder,
copie et colle sur le forum.
Merci
Al.
Bonjour voici mon rapport a moi si quelqu un peu m aider car c sur le pc de mon boulot et ca plante tout le temp je vous met mon rapport log merci bien a celui qui me repond
Rapport:
Logfile of HijackThis v1.99.1
Scan saved at 07:43:53, on 18/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\basfipm.exe
C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
C:\Program Files\Trend Micro\Client Server Security Agent\ntrtscan.exe
C:\Program Files\Fichiers communs\SolidDocuments\SolidPrintPDF\SolidPrintService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\Client Server Security Agent\tmlisten.exe
C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
C:\WINDOWS\TEMP\MPBD3E.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Documents and Settings\thomas\Bureau\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell.ca/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://outlook.live.com/owa/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.bing.com/search?form=MO0035&q=open+QRP+file
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: download-boosters Toolbar - {e4000b62-fa5d-4b39-b254-0a4c485aaf11} - C:\Program Files\download-boosters\tbdown.dll
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtutr.exe
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: download-boosters Toolbar - {e4000b62-fa5d-4b39-b254-0a4c485aaf11} - C:\Program Files\download-boosters\tbdown.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [xoubepuqlh] c:\windows\system32\xoubepuqlh.exe xoubepuqlh
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [tjkwczrm] c:\windows\system32\tjkwczrm.exe tjkwczrm
O4 - HKLM\..\Run: [thvulwcm] c:\windows\system32\thvulwcm.exe thvulwcm
O4 - HKLM\..\Run: [fc1299b9] rundll32.exe "C:\WINDOWS\system32\toctcobu.dll",b
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [AdVantage] "C:\Program Files\AdVantage\AdVantage.exe"
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [knvssakpo] c:\windows\system32\knvssakpo.exe knvssakpo
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = dompnier.local
O17 - HKLM\Software\..\Telephony: DomainName = dompnier.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{10882A65-65F9-428C-801E-53110F1D0ED8}: NameServer = 192.168.10.100
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = dompnier.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{10882A65-65F9-428C-801E-53110F1D0ED8}: NameServer = 192.168.10.100
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = dompnier.local
O17 - HKLM\System\CS2\Services\Tcpip\..\{10882A65-65F9-428C-801E-53110F1D0ED8}: NameServer = 192.168.10.100
O18 - Protocol: dialux - {8352FA4C-39C6-11D3-ADBA-00A0244FB1A2} - C:\Program Files\DIALux\DLXToolBox.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\System32\basfipm.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Scan en temps réel Trend Micro Client/Server Security Agent (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\ntrtscan.exe
O23 - Service: Pare-feu personnel Trend Micro Client/Server Security Agent (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
O23 - Service: SolidPrintReadSpool (SpReadSpool) - VoyagerSoft, LLC - C:\Program Files\Fichiers communs\SolidDocuments\SolidPrintPDF\SolidPrintService.exe
O23 - Service: Trend Micro Client-Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\tmlisten.exe
Rapport:
Logfile of HijackThis v1.99.1
Scan saved at 07:43:53, on 18/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\basfipm.exe
C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
C:\Program Files\Trend Micro\Client Server Security Agent\ntrtscan.exe
C:\Program Files\Fichiers communs\SolidDocuments\SolidPrintPDF\SolidPrintService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\Client Server Security Agent\tmlisten.exe
C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
C:\WINDOWS\TEMP\MPBD3E.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Documents and Settings\thomas\Bureau\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell.ca/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://outlook.live.com/owa/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.bing.com/search?form=MO0035&q=open+QRP+file
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: download-boosters Toolbar - {e4000b62-fa5d-4b39-b254-0a4c485aaf11} - C:\Program Files\download-boosters\tbdown.dll
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtutr.exe
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: download-boosters Toolbar - {e4000b62-fa5d-4b39-b254-0a4c485aaf11} - C:\Program Files\download-boosters\tbdown.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [xoubepuqlh] c:\windows\system32\xoubepuqlh.exe xoubepuqlh
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [tjkwczrm] c:\windows\system32\tjkwczrm.exe tjkwczrm
O4 - HKLM\..\Run: [thvulwcm] c:\windows\system32\thvulwcm.exe thvulwcm
O4 - HKLM\..\Run: [fc1299b9] rundll32.exe "C:\WINDOWS\system32\toctcobu.dll",b
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [AdVantage] "C:\Program Files\AdVantage\AdVantage.exe"
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [knvssakpo] c:\windows\system32\knvssakpo.exe knvssakpo
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = dompnier.local
O17 - HKLM\Software\..\Telephony: DomainName = dompnier.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{10882A65-65F9-428C-801E-53110F1D0ED8}: NameServer = 192.168.10.100
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = dompnier.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{10882A65-65F9-428C-801E-53110F1D0ED8}: NameServer = 192.168.10.100
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = dompnier.local
O17 - HKLM\System\CS2\Services\Tcpip\..\{10882A65-65F9-428C-801E-53110F1D0ED8}: NameServer = 192.168.10.100
O18 - Protocol: dialux - {8352FA4C-39C6-11D3-ADBA-00A0244FB1A2} - C:\Program Files\DIALux\DLXToolBox.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\System32\basfipm.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Scan en temps réel Trend Micro Client/Server Security Agent (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\ntrtscan.exe
O23 - Service: Pare-feu personnel Trend Micro Client/Server Security Agent (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
O23 - Service: SolidPrintReadSpool (SpReadSpool) - VoyagerSoft, LLC - C:\Program Files\Fichiers communs\SolidDocuments\SolidPrintPDF\SolidPrintService.exe
O23 - Service: Trend Micro Client-Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\tmlisten.exe
