Cheval de Troie pénible....

big_novice -  
 Regis59 -
Bonjour,

Voila, j'y connais (presque) rien en informatique et j'ai besoin de vos conseils avisés s'il vous plait. Je vous remercie d'avance de votre aide.

J'ai un anti virus, AVG qui me détecte un Cheval de Troie Clicker.FR. Il se trouve dans C: WINDOWS\System32\sphlp32.exe.

La fenetre de Virus Détecté s'affiche mais je ne peux ni le supprimer, ni le réparer, ni le mettre en quarantaine car "le programme est en cours d'exécution". Or à part Internet Explorer, rien n'est en route...
J'ai cherché ce fameux sphlp32.exe dans mes programmes mais je ne trouve rien, comme s'il n'existait pas.

Merci de vos conseils

44 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un cheval de Troie détecté dans sphlp32.exe peut bloquer les outils de sécurité et compromettre le système, l'infection étant associée à AVG et à des composants réseau comme Clicker.FR. Des solutions techniques reviennent, l'utilisation de HijackThis pour identifier les entrées malveillantes, l'exécution en mode sans échec pour supprimer les fichiers suspects et la suppression manuelle des éléments nuisibles. En parallèle, certains recommandent des outils supplémentaires comme ewido ou un antivirus en ligne, puis de redémarrer et de refaire un scan pour vérifier l'élimination complète des processus résidents. Une précision utile est de vérifier l'intégrité des programmes légitimes liés au système et d'éviter les modifications de registre non vérifiées, afin de limiter les risques de réinfection après nettoyage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    salut supprime le manuelement comme ceci

    1.redemarre en mode sans echec (redemarage + tapotte sans arret sur F8 desque l'ordi s'allume)

    2. affiche les fichier cacher comme ceci :
    clicker sur demarrer/panneau de configuration/option des dossiers/affichage
    Cocher afficher les dossiers cacher
    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
    Puis fais «Ok» pour valider les changements.
    Decocher masquer les extentions dont le type est connues

    3.ensuite va dans demarrer/rechercher et tape:
    sphlp32.exe
    suprime le et vide ta corebeille

    refait un scan si tt va bien masque les fichiers caché en suivant le meme chemin

    @+++++++++++
    0
  2. big_novice
     
    Bonjour,

    J'ai effectivement suivi tes conseils à la lettre et force est de constater que ce charmant Cheval de Troie est toujours là à me pourrir la vie...

    Une autre solution à me proposer ?

    Merci d'avance à tous et toutes.
    0
    1. Kristopher Messages postés 3752 Statut Contributeur 106
       
      Bonsoir big_novice,

      Scanne ton PC avec cet antivirus en ligne :
      http://www.secuser.com/antivirus/index.htm
      Coche la case "Auto Clean" et clique sur "Poste de travail".

      Bonne chasse :)

      ++
      0
  3. big_novice
     
    Merci de ton aide Kristopher,

    Cependant, je viens d utiliser l'antivirus en ligne mais le cheval de troie est toujours la !!!

    c'est ralant...

    Merci encore pour d'autre solutions

    @+
    0
    1. Kristopher Messages postés 3752 Statut Contributeur 106
       
      Hello :)

      - Télécharge HijackThis : http://www.01net.com/telecharger/windows/Internet/internet_utlitaire/fiches/29061.html
      - Installe le dans son propre dossier.
      Par exemple, C:\HijackThis
      Choisis l'option "do a scan and a logfile", il va te générer un rapport, copie et colle sur le forum.
      Regarde la démo : http://pageperso.aol.fr/balltrap34/demohijack.htm

      Bon, je dois y aller mais je pense que quelqu'un prendra le relais.

      Bonne chance.

      ++
      0
  4. big_novice
     
    Bonsoir a vous tous,

    Kristopher m'a bien aidé, mais je compte sur vous tous pour prendre le relais et faire avancer le schmilblick !!!

    Voici le log de HijackThis :

    Logfile of HijackThis v1.99.1
    Scan saved at 20:49:06, on 13/02/2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\windows\System32\smss.exe
    C:\windows\system32\csrss.exe
    C:\windows\system32\winlogon.exe
    C:\windows\system32\services.exe
    C:\windows\system32\lsass.exe
    C:\windows\System32\Ati2evxx.exe
    C:\windows\system32\svchost.exe
    C:\windows\System32\svchost.exe
    C:\windows\System32\svchost.exe
    C:\windows\System32\svchost.exe
    C:\windows\system32\spoolsv.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\windows\System32\svchost.exe
    C:\WINDOWS\System32\wdfmgr.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\windows\system32\Ati2evxx.exe
    C:\windows\Explorer.EXE
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\windows\AGRSMMSG.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
    C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
    C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
    C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    C:\WINDOWS\System32\hphmon05.exe
    C:\PROGRA~1\Wanadoo\CnxMon.exe
    C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
    C:\windows\System32\ctfmon.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\windows\Explorer.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\WinRAR\WinRAR.exe
    C:\DOCUME~1\BOISSI~1\LOCALS~1\Temp\Rar$EX01.859\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
    O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
    O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
    O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
    O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
    O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
    O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
    O4 - HKLM\..\Run: [yaemu.exe] C:\windows\System32\yaemu.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5BBCDEEF-9E87-4C50-AE99-F80DDB513337}: NameServer = 85.255.116.154,85.255.112.188
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 85.255.116.154 85.255.112.188
    O17 - HKLM\System\CS1\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188
    O17 - HKLM\System\CS2\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\windows\System32\Ati2evxx.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

    Si ca peux vous servir, parce que pour moi...

    Merci a tous ceux qui m aideront (et aux autres!)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bonsoir,

    Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

    O4 - HKLM\..\Run: [yaemu.exe] C:\windows\System32\yaemu.exe

    O17 - HKLM\System\CCS\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188

    O17 - HKLM\System\CCS\Services\Tcpip\..\{5BBCDEEF-9E87-4C50-AE99-F80DDB513337}: NameServer = 85.255.116.154,85.255.112.188

    O17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 85.255.116.154 85.255.112.188

    O17 - HKLM\System\CS1\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188

    O17 - HKLM\System\CS2\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188

    Recherche et supprime ce fichier : C:\windows\System32\yaemu.exe

    Précise tes soucis si il en reste.

    bon courage.

    A+

    0
  7. Utilisateur anonyme
     
    re,

    Fais moi poste 7 stp
    0
  8. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Excuses moi Quentin !

    Tu a été plus rapide que moi !

    Vous faites un concours avecBalltrap à celui qui dégainera le plus vite ! lol

    Je te laisse oeuvrer !

    A++
    0
  9. Utilisateur anonyme
     
    salut lance hijack / coche ces ligne puis clike sur "fix checked"

    O4 - HKLM\..\Run: [yaemu.exe] C:\windows\System32\yaemu.exe

    O17 - HKLM\System\CCS\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5BBCDEEF-9E87-4C50-AE99-F80DDB513337}: NameServer = 85.255.116.154,85.255.112.188
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 85.255.116.154 85.255.112.188
    O17 - HKLM\System\CS1\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188
    O17 - HKLM\System\CS2\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188

    1.redemarre en mode sans echec (redemarage + tapotte sans arret sur F8 desque l'ordi s'allume)

    2. affiche les fichier cacher comme ceci :
    clicker sur demarrer/panneau de configuration/option des dossiers/affichage
    Cocher afficher les dossiers cacher
    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
    Puis fais «Ok» pour valider les changements.
    Decocher masquer les extentions dont le type est connues

    3.ensuite va dans demarrer/rechercher et tape:

    yaemu.exe
    sphlp32.exe

    suprime le et vide ta corebeille

    refait un scan si tt va bien masque les fichiers caché en suivant le meme chemin

    redemare en mode normal :

    telecharge et execute ces antispywares ( pense a les mettre a jour avant de les lancées)
    (1) ad-aware version 1.06

    (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
    voir demo
    http://pageperso.aol.fr/balltrap34/adwseflash.zip
    ***
    (2) spybot version 1.4

    (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite

    voir demo d utilisation
    http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
    ***

    ps : un grand merci a balltrap pour les lien :)

    (3) Edwido
    http://download.ewido.net/ewido-setup.exe
    Pendant l'installation, sur la page "Additional Options", décoche les deux options "Install background guard" et "Install scan via context menu Ewido Security Suite. Clique sur mise à jour.

    Clique sur scanner puis sur scan complet du système. puis colle le rapport ici suivi d'un hijack

    @+++++++++++++
    0
  10. Utilisateur anonyme
     
    Incognito,
    On me surnommait Lucky Luke

    Et je redemande une nouvelle fois

    Télécharge ceci
    http://cjoint.com/?cnvaqFvPFF
    Décompresse Hcsrch.zip
    Lance Hcsrch.exe
    Un rapport va etre dans le bloc-note
    Copie/colle le ici stp

    a+
    0
  11. Utilisateur anonyme
     
    dsl je suis lente en redaction j'ai pas vu vos postes

    @++++++++++++
    bonne soirée
    0
  12. big_novice
     
    Bonsoir a tous et merci de votre élan de solidarité...

    La vache, vous avez dégainé vite !!!

    Alors voici le log de hcsrch pour regis59 :
    Rapport fait à 21:19:56,54 le 13/02/2006
    Executé à partir de C:\Documents and Settings\BOISSIS Franck\Bureau
    OS: Microsoft Windows XP [version 5.1.2600]

    *********************************************

    Vérification HKLM\...\...\...\...\ruins

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
    "xedocne"=hex:c7,3d,00,00,b9,a8,8f,9b,9e,91,fa,38,f9,e2,c9,13,00,00,00
    "repiwoh"=hex:21,49,00,00,1c,0d,3d,27,24,3b,56,82,53,44,63,13,00,00,00
    "23plhps"=hex:75,6a,00,00,7d,78,78,4c,50,15,62,6e,0f,30,3f,13,00,00,00
    "mgcppp"=hex:b8,4b,00,00,bd,b5,8d,b6,aa,98,23,d0,e5,c0,12,00,00,00
    "tesvaf"=hex:51,4c,00,00,22,2f,62,69,03,78,ba,7b,1c,6b,12,00,00,00
    "32refaselif"=hex:1f,4d,00,00,10,15,2e,29,27,3d,40,49,44,8c,b7,a0,71,6a,81,17,\
    00,00,00
    "gib_ogol"=hex:8e,43,00,00,6f,60,50,50,58,4d,32,38,69,2e,e3,1e,14,00,00,00
    "}CD42B95DD210-0EC9-3F24-3C61-6035DE97{"=hex:31,49,00,00,39,f5,cf,db,c0,db,a1,\
    ac,b2,83,87,8a,81,99,5b,68,76,6a,41,73,5f,49,33,2c,0b,3c,07,0e,00,08,e3,e7,\
    e6,fe,c0,d8,c1,13,2e,00,00,00
    "qcwmd"=hex:68,18,00,00,59,48,7a,66,6c,2b,08,2d,18,11,00,00,00
    "dcebj"=hex:e8,24,00,00,c7,d7,e8,e6,f9,ab,88,ad,98,11,00,00,00

    *********************************************

    Fichiers détectés :

    C:\windows\rdt.ini Présent !

    *********************************************

    Recherche des processus aleatoires
    d'après les modèles : cs***.exe, dm***.exe, ya***.exe

    C:\windows\System32
    dmkuq.exe
    dmmfa.exe
    dmugn.exe
    dmwvg.exe
    yaemu.exe

    *********************************************

    Recherche presence hclean32.exe...

    non trouvé...
    0
  13. Utilisateur anonyme
     
    Re,

    Télécharge kill box ici:
    http://www.killbox.net/downloads/KillBox.exe

    Mais on s en servira apres

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Déconnecte toi d'internet c'est important

    puis vérifie ceci:
    demarrer > connection > clic droit sur ta connection > propriétés
    gestion de reseau
    assure toi que protocole internet tcp/ip est en surbrillance (attention, ne décoche pas la case)> clic sur propriétés > selectionne "obtenir les adresses des serveurs automatiquement"
    valide avec ok
    -----------------------------------------------------------------
    ¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

    O4 - HKLM\..\Run: [yaemu.exe] C:\windows\System32\yaemu.exe

    O17 - HKLM\System\CCS\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188

    O17 - HKLM\System\CCS\Services\Tcpip\..\{5BBCDEEF-9E87-4C50-AE99-F80DDB513337}: NameServer = 85.255.116.154,85.255.112.188

    O17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 85.255.116.154 85.255.112.188

    O17 - HKLM\System\CS1\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188

    O17 - HKLM\System\CS2\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    ouvre le bloc note et copie et colle ceci à l'interieur:

    REGEDIT4

    [-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\HCLEAN32.EXE]

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Windows\CurrentVersion\ruins]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
    "Disabled"=-

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WareOut]

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=-
    "System"=""

    [-HKEY_LOCAL_MACHINE\SOFTWARE\WareOut]

    Puis enregistrer sous et dans:
    Nom du fichier, met fix.reg
    Type de fichier: selectionne "tous les fichiers"
    clic sur enregistrer

    ensuite double clic sur fix.reg et accepte de fusionner

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    ouvre le bloc note et copie et colle la liste des fichiers à supprimer
    ci-dessous
    une fois fait, enregistre le à un endroit ou tu pourras le retrouver
    facilement (sur le bureau par exemple).

    Voici la liste:

    C:\windows\System32\yaemu.exe
    C:\windows\rdt.ini
    C:\windows\System32\
    C:\windows\System32\dmkuq.exe
    C:\windows\System32\dmmfa.exe
    C:\windows\System32\dmugn.exe
    C:\windows\System32\dmwvg.exe

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    1/Double-clic sur KillBox.exe (Pocket Killbox)
    2/ ouvre le fichier txt qui contient la liste des fichiers à supprimer,
    clic sur edition dans le menu du haut et clic sur "selectionner tout"
    3/ clic une seconde fois sur "edition" et clic sur "copier"
    4/ referme le bloc note.
    5/ Dans killbox, selectionne "Delete on Reboot" puis clic
    sur "ALL FILES"
    6/ Dans le menu du haut clic sur File, puis sur paste
    from clipboard

    (tu devrais voir apparaitre la liste des fichier qu'il va supprimer)
    7/ clic sur le rond rouge
    8/ une fenetre va apparaitre pour confirmation clic sur OUI
    9/ une seconde fenetre te demande si tu veux redemarrer clic sur
    OUI

    Si le pc ne redemarre pas automatiquement ou si killbox t'envois ce message:
    "Pending file Rename Operations Registry Data has been Removed by
    External Process"
    ignore le et redemarre le pc normallement

    Remet un rapport Hijackthis + le programme Hcsrch

    a+

    --
    Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansheestyle)
    0
  14. big_novice
     
    Re,

    Voici le loh de hitjackThis :

    Logfile of HijackThis v1.99.1
    Scan saved at 22:12:02, on 13/02/2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\windows\System32\smss.exe
    C:\windows\system32\csrss.exe
    C:\windows\system32\winlogon.exe
    C:\windows\system32\services.exe
    C:\windows\system32\lsass.exe
    C:\windows\System32\Ati2evxx.exe
    C:\windows\system32\svchost.exe
    C:\windows\System32\svchost.exe
    C:\windows\System32\svchost.exe
    C:\windows\System32\svchost.exe
    C:\windows\system32\spoolsv.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\windows\System32\svchost.exe
    C:\WINDOWS\System32\wdfmgr.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\windows\system32\Ati2evxx.exe
    C:\windows\Explorer.EXE
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\windows\AGRSMMSG.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
    C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
    C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
    C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    C:\WINDOWS\System32\hphmon05.exe
    C:\PROGRA~1\Wanadoo\CnxMon.exe
    C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
    C:\windows\System32\ctfmon.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\windows\Explorer.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\WinRAR\WinRAR.exe
    C:\DOCUME~1\BOISSI~1\LOCALS~1\Temp\Rar$EX00.328\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
    O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
    O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
    O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
    O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
    O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
    O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
    O4 - HKLM\..\Run: [dmwcq.exe] C:\windows\System32\dmwcq.exe
    O4 - HKLM\..\Run: [jbecd.exe] C:\windows\System32\jbecd.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 80.10.246.130 80.10.246.3
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\windows\System32\Ati2evxx.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

    Et celui de hcsrch :

    Rapport fait à 22:12:56,49 le 13/02/2006
    Executé à partir de C:\Documents and Settings\BOISSIS Franck\Bureau
    OS: Microsoft Windows XP [version 5.1.2600]

    *********************************************

    Vérification HKLM\...\...\...\...\ruins

    *********************************************

    Fichiers détectés :

    C:\windows\rdt.ini Présent !

    *********************************************

    Recherche des processus aleatoires
    d'après les modèles : cs***.exe, dm***.exe, ya***.exe

    C:\windows\System32
    dmkuq.exe
    dmmfa.exe
    dmugn.exe
    dmwcq.exe
    dmwvg.exe
    yaemu.exe

    *********************************************

    Recherche presence hclean32.exe...

    non trouvé...

    Voila, simplement je nai pas utilisé KillBox comme tu me l'as demandé... J'ai vu dans la liste des programmes, certains qui me semblaient important, style AVG ou autre donc je n'ai rien supprimé
    J'ai pas pris le risque...

    Faut il ?
    0
  15. big_novice
     
    Re,

    Pour info, le cheval de troie est toujours la et un autre s'est ajouté visiblement car j ai désormais une barre de tache en anglais juste en dessous de la barre d adresse avec gambing internet pharmacy finance insurance adult

    La, faut m aider mes chers amis internautes !!

    A toute
    0
  16. big_novice
     
    Bonsoir,

    Non, ca ne ressemble pas a l image mais c est juste en dessous de la barre d adresse internet avec Remove Toolbar, a coté il y a ce qui s apparente a un moteur de recherche puis Gamblin etc... avec des petites loupes a coté de chaque rubrique...

    Voici le log du programme et oui on voit des trucs présents... mais comment les virer ?

    Voila le log :

    Rapport fait à 19:53:12,68 le 14/02/2006
    Executé à partir de C:\Documents and Settings\BOISSIS Franck\Bureau
    OS: Microsoft Windows XP [version 5.1.2600]

    *********************************************

    Vérification HKLM\...\...\...\...\ruins

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
    "xedocne"=hex:19,04,00,00,eb,1a,d9,25,c8,c3,54,8a,ab,4c,9b,13,00,00,00
    "gib_ogol"=hex:e7,04,00,00,c6,cb,eb,fb,f3,f4,95,83,c0,91,ba,a1,14,00,00,00
    "repiwoh"=hex:b5,4c,00,00,88,b9,89,b3,90,a7,e2,2e,cf,f0,ff,13,00,00,00
    "23plhps"=hex:44,57,00,00,22,29,09,1d,01,ca,b3,bf,7c,61,4c,13,00,00,00
    "mgcppp"=hex:18,08,00,00,1d,15,2d,d6,ca,38,83,b0,45,a0,12,00,00,00
    "tesvaf"=hex:de,57,00,00,d1,a2,f1,fc,f6,ef,c9,8e,83,9e,12,00,00,00
    "32refaselif"=hex:b0,09,00,00,83,84,b9,b8,96,ac,d3,d8,f7,3f,06,33,e0,d5,10,17,\
    00,00,00
    "}CD42B95DD210-0EC9-3F24-3C61-6035DE97{"=hex:c6,17,00,00,d4,60,5a,a6,bf,46,3c,\
    3b,29,2e,12,11,fc,04,f6,f7,ed,11,dc,de,ca,34,4e,bb,a6,ab,92,95,7f,77,7e,72,\
    9d,65,5f,a7,bc,fe,2e,00,00,00
    "ocrmd"=hex:4f,64,00,00,26,21,64,1f,0b,c0,71,0a,61,11,00,00,00
    "ojubj"=hex:9d,64,00,00,92,62,b7,aa,b9,76,c7,d8,d7,11,00,00,00

    *********************************************

    Fichiers détectés :

    C:\windows\balloon.wav Présent !
    C:\windows\rdt.ini Présent !
    C:\windows\system32\favset.exe Présent !
    C:\windows\system32\filesafer23.exe Présent !
    C:\windows\System32\howiper.exe Présent !
    C:\windows\System32\pppcgm.exe Présent !
    C:\windows\System32\sphlp32.exe Présent !

    *********************************************

    Recherche des processus aleatoires
    d'après les modèles : cs***.exe, dm***.exe, ya***.exe

    C:\windows\System32
    csrsx.exe
    dmkuq.exe
    dmmfa.exe
    dmrco.exe
    dmugn.exe
    dmwvg.exe

    *********************************************

    Recherche presence C:\windows\System32\idemlog.exe...

    non trouvé...

    Merci d'avance de ton aide !!!
    0
    1. Kristopher Messages postés 3752 Statut Contributeur 106
       
      Hello,

      Je donnerai volontier une solution, mais je laisse mister regis s'en occuper :)

      Ne t'inquiètes pas big_novice, tu es entre de très bonnes mains :)

      ++
      0
  17. Utilisateur anonyme
     
    Salut

    ouvre le bloc note et copie et colle ceci à l'interieur:

    REGEDIT4

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Windows\CurrentVersion\ruins]

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]

    Puis enregistrer sous et dans:
    Nom du fichier, met fix.reg
    Type de fichier: selectionne "tous les fichiers"
    clic sur enregistrer

    ensuite double clic sur fix.reg et accepte de fusionner

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    ouvre le bloc note et copie et colle la liste des fichiers à supprimer
    ci-dessous
    une fois fait, enregistre le à un endroit ou tu pourras le retrouver
    facilement (sur le bureau par exemple).

    Voici la liste:

    C:\windows\balloon.wav
    C:\windows\rdt.ini
    C:\windows\system32\favset.exe
    C:\windows\system32\filesafer23.exe
    C:\windows\System32\howiper.exe
    C:\windows\System32\pppcgm.exe
    C:\windows\System32\sphlp32.exe
    C:\windows\System32\csrsx.exe
    C:\windows\System32\dmkuq.exe
    C:\windows\System32\dmmfa.exe
    C:\windows\System32\dmrco.exe
    C:\windows\System32\dmugn.exe
    C:\windows\System32\dmwvg.exe

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    1/Double-clic sur KillBox.exe (Pocket Killbox)
    2/ ouvre le fichier txt qui contient la liste des fichiers à supprimer,
    clic sur edition dans le menu du haut et clic sur "selectionner tout"
    3/ clic une seconde fois sur "edition" et clic sur "copier"
    4/ referme le bloc note.
    5/ Dans killbox, selectionne "Delete on Reboot" puis clic
    sur "ALL FILES"
    6/ Dans le menu du haut clic sur File, puis sur paste
    from clipboard
    (tu devrais voir apparaitre la liste des fichier qu'il va supprimer)
    7/ clic sur le rond rouge
    8/ une fenetre va apparaitre pour confirmation clic sur OUI
    9/ une seconde fenetre te demande si tu veux redemarrer clic sur
    OUI

    Si le pc ne redemarre pas automatiquement ou si killbox t'envois ce message:
    "Pending file Rename Operations Registry Data has been Removed by
    External Process"
    ignore le et redemarre le pc normallement

    Remet un rapport Hijackthis + le programme Hcsrch

    a+
    0
  18. big_novice
     
    Bonsoir,

    Deja merci car je crois que mon probleme de cheval de troie est barré !!!

    Voici le log HitjachThis :
    Logfile of HijackThis v1.99.1
    Scan saved at 21:56:43, on 15/02/2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\windows\System32\smss.exe
    C:\windows\system32\csrss.exe
    C:\windows\system32\winlogon.exe
    C:\windows\system32\services.exe
    C:\windows\system32\lsass.exe
    C:\windows\System32\Ati2evxx.exe
    C:\windows\system32\svchost.exe
    C:\windows\System32\svchost.exe
    C:\windows\System32\svchost.exe
    C:\windows\System32\svchost.exe
    C:\windows\system32\spoolsv.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\windows\System32\svchost.exe
    C:\WINDOWS\System32\wdfmgr.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\windows\system32\Ati2evxx.exe
    C:\windows\Explorer.EXE
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\windows\AGRSMMSG.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
    C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
    C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    C:\WINDOWS\System32\hphmon05.exe
    C:\PROGRA~1\Wanadoo\CnxMon.exe
    C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\windows\System32\ctfmon.exe
    C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\windows\Explorer.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\WinRAR\WinRAR.exe
    C:\DOCUME~1\BOISSI~1\LOCALS~1\Temp\Rar$EX00.735\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O1 - Hosts: localhost 127.0.0.1
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\windows\System32\fwqff.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\windows\System32\fwqff.dll
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
    O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
    O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
    O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
    O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
    O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
    O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
    O4 - HKLM\..\Run: [jbgjp.exe] C:\windows\System32\jbgjp.exe
    O4 - HKLM\..\Run: [dmgfo.exe] C:\windows\System32\dmgfo.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
    O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5BBCDEEF-9E87-4C50-AE99-F80DDB513337}: NameServer = 85.255.116.154,85.255.112.188
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 85.255.116.154 85.255.112.188
    O17 - HKLM\System\CS1\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188
    O17 - HKLM\System\CS2\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\windows\System32\Ati2evxx.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

    Et le Hcsrch :

    Rapport fait à 21:57:42,76 le 15/02/2006
    Executé à partir de C:\Documents and Settings\BOISSIS Franck\Bureau
    OS: Microsoft Windows XP [version 5.1.2600]

    *********************************************

    Vérification HKLM\...\...\...\...\ruins

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
    "xedocne"=hex:19,04,00,00,eb,1a,d9,25,c8,c3,54,8a,ab,4c,9b,13,00,00,00
    "gib_ogol"=hex:e7,04,00,00,c6,cb,eb,fb,f3,f4,95,83,c0,91,ba,a1,14,00,00,00
    "repiwoh"=hex:49,13,00,00,24,25,65,1f,0c,13,7e,ba,7b,1c,4b,13,00,00,00
    "23plhps"=hex:16,14,00,00,1c,1b,db,2f,33,f4,8d,89,ae,53,9e,13,00,00,00
    "mgcppp"=hex:18,08,00,00,1d,15,2d,d6,ca,38,83,b0,45,a0,12,00,00,00
    "tesvaf"=hex:e1,14,00,00,d2,df,f2,f9,f3,e8,ca,8b,8c,9b,12,00,00,00
    "32refaselif"=hex:b0,09,00,00,83,84,b9,b8,96,ac,d3,d8,f7,3f,06,33,e0,d5,10,17,\
    00,00,00
    "}CD42B95DD210-0EC9-3F24-3C61-6035DE97{"=hex:46,6d,00,00,54,e0,da,26,3f,c6,bc,\
    bb,a9,ae,92,91,7c,84,76,77,6d,91,5c,5e,4a,b4,ce,3b,26,2b,12,15,ff,f7,fe,f2,\
    1d,e5,df,27,3c,7e,2e,00,00,00
    "pjgbj"=hex:4d,65,00,00,22,32,11,1a,08,c6,77,08,67,11,00,00,00
    "ofgmd"=hex:33,65,00,00,02,3d,3f,34,17,dc,5d,66,4d,11,00,00,00

    *********************************************

    Fichiers détectés :

    C:\windows\rdt.ini Présent !

    *********************************************

    Recherche des processus aleatoires
    d'après les modèles : cs***.exe, dm***.exe, ya***.exe

    C:\windows\System32
    dmgfo.exe

    *********************************************

    Recherche presence C:\windows\System32\idemlog.exe...

    non trouvé...

    Par ailleurs, la barre en dessous en anglais avec Gambling, Internet, Pharmacy... en dessous de celle d'adresse internet est toujours la !!!

    Donc, je suppose qu il doit encore rester une ou deux saloperies collées a mon PC...

    Merci une fois de plus a vous tous et toutes !!!
    0
  • 1
  • 2
  • 3