Bonjour, Voila, j'y connais (presque) rien en informatique et j'ai besoin de vos conseils avisés s'il vous plait. Je vous remercie d'avance de votre aide. J'ai un anti virus, AVG qui me détecte un Cheval de Troie Clicker.FR. Il se trouve dans C: WINDOWS\System32\sphlp32.exe. La fenetre de Virus Détecté s'affiche mais je ne peux ni le supprimer, ni le réparer, ni le mettre en quarantaine car "le programme est en cours d'exécution". Or à part Internet Explorer, rien n'est en route... J'ai cherché ce fameux sphlp32.exe dans mes programmes mais je ne trouve rien, comme s'il n'existait pas. Merci de vos conseils

Cheval de Troie pénible....

Réponse 1 / 44

Utilisateur anonyme
12 févr. 2006 à 19:04

salut supprime le manuelement comme ceci

1.redemarre en mode sans echec (redemarage + tapotte sans arret sur F8 desque l'ordi s'allume)

2. affiche les fichier cacher comme ceci :
clicker sur demarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Puis fais «Ok» pour valider les changements.
Decocher masquer les extentions dont le type est connues

3.ensuite va dans demarrer/rechercher et tape:
sphlp32.exe
suprime le et vide ta corebeille

refait un scan si tt va bien masque les fichiers caché en suivant le meme chemin

@+++++++++++

Réponse 2 / 44

big_novice
12 févr. 2006 à 19:31

Bonjour,

J'ai effectivement suivi tes conseils à la lettre et force est de constater que ce charmant Cheval de Troie est toujours là à me pourrir la vie...

Une autre solution à me proposer ?

Merci d'avance à tous et toutes.

Kristopher Messages postés 3731 Date d'inscription vendredi 18 novembre 2005 Statut Contributeur Dernière intervention 10 juillet 2009 106
12 févr. 2006 à 19:37

Bonsoir big_novice,

Scanne ton PC avec cet antivirus en ligne :
http://www.secuser.com/antivirus/index.htm
Coche la case "Auto Clean" et clique sur "Poste de travail".

Bonne chasse :)

++

Réponse 3 / 44

big_novice
12 févr. 2006 à 20:45

Merci de ton aide Kristopher,

Cependant, je viens d utiliser l'antivirus en ligne mais le cheval de troie est toujours la !!!

c'est ralant...

Merci encore pour d'autre solutions

@+

Kristopher Messages postés 3731 Date d'inscription vendredi 18 novembre 2005 Statut Contributeur Dernière intervention 10 juillet 2009 106
12 févr. 2006 à 20:49

Hello :)

- Télécharge HijackThis : http://www.01net.com/telecharger/windows/Internet/internet_utlitaire/fiches/29061.html
- Installe le dans son propre dossier.
Par exemple, C:\HijackThis
Choisis l'option "do a scan and a logfile", il va te générer un rapport, copie et colle sur le forum.
Regarde la démo : http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon, je dois y aller mais je pense que quelqu'un prendra le relais.

Bonne chance.

++

Réponse 4 / 44

big_novice
13 févr. 2006 à 20:52

Bonsoir a vous tous,

Kristopher m'a bien aidé, mais je compte sur vous tous pour prendre le relais et faire avancer le schmilblick !!!

Voici le log de HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 20:49:06, on 13/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\System32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\windows\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\windows\AGRSMMSG.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\windows\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\windows\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\BOISSI~1\LOCALS~1\Temp\Rar$EX01.859\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [yaemu.exe] C:\windows\System32\yaemu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BBCDEEF-9E87-4C50-AE99-F80DDB513337}: NameServer = 85.255.116.154,85.255.112.188
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 85.255.116.154 85.255.112.188
O17 - HKLM\System\CS1\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188
O17 - HKLM\System\CS2\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188
O23 - Service: Ati HotKey Poller - Unknown owner - C:\windows\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Si ca peux vous servir, parce que pour moi...

Merci a tous ceux qui m aideront (et aux autres!)

Réponse 5 / 44

Utilisateur anonyme
13 févr. 2006 à 21:02

Salut

Télécharge ceci
http://cjoint.com/?cnvaqFvPFF
Décompresse Hcsrch.zip
Lance Hcsrch.exe
Un rapport va etre dans le bloc-note
Copie/colle le ici stp

a+

Réponse 6 / 44

incognito02 Messages postés 3487 Date d'inscription vendredi 28 octobre 2005 Statut Contributeur Dernière intervention 17 août 2008 138
13 févr. 2006 à 21:02

Bonsoir,

Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

O4 - HKLM\..\Run: [yaemu.exe] C:\windows\System32\yaemu.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188

O17 - HKLM\System\CCS\Services\Tcpip\..\{5BBCDEEF-9E87-4C50-AE99-F80DDB513337}: NameServer = 85.255.116.154,85.255.112.188

O17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 85.255.116.154 85.255.112.188

O17 - HKLM\System\CS1\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188

O17 - HKLM\System\CS2\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188

Recherche et supprime ce fichier : C:\windows\System32\yaemu.exe

Précise tes soucis si il en reste.

bon courage.

A+

Réponse 7 / 44

Utilisateur anonyme
13 févr. 2006 à 21:03

re,

Fais moi poste 7 stp

Réponse 8 / 44

incognito02 Messages postés 3487 Date d'inscription vendredi 28 octobre 2005 Statut Contributeur Dernière intervention 17 août 2008 138
13 févr. 2006 à 21:03

Excuses moi Quentin !

Tu a été plus rapide que moi !

Vous faites un concours avecBalltrap à celui qui dégainera le plus vite ! lol

Je te laisse oeuvrer !

A++

Réponse 9 / 44

Utilisateur anonyme
13 févr. 2006 à 21:04

salut lance hijack / coche ces ligne puis clike sur "fix checked"

O4 - HKLM\..\Run: [yaemu.exe] C:\windows\System32\yaemu.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BBCDEEF-9E87-4C50-AE99-F80DDB513337}: NameServer = 85.255.116.154,85.255.112.188
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 85.255.116.154 85.255.112.188
O17 - HKLM\System\CS1\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188
O17 - HKLM\System\CS2\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188

1.redemarre en mode sans echec (redemarage + tapotte sans arret sur F8 desque l'ordi s'allume)

2. affiche les fichier cacher comme ceci :
clicker sur demarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Puis fais «Ok» pour valider les changements.
Decocher masquer les extentions dont le type est connues

3.ensuite va dans demarrer/rechercher et tape:

yaemu.exe
sphlp32.exe

suprime le et vide ta corebeille

refait un scan si tt va bien masque les fichiers caché en suivant le meme chemin

redemare en mode normal :

telecharge et execute ces antispywares ( pense a les mettre a jour avant de les lancées)
(1) ad-aware version 1.06

(ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
voir demo
http://pageperso.aol.fr/balltrap34/adwseflash.zip
***
(2) spybot version 1.4

(ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite

voir demo d utilisation
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
***

ps : un grand merci a balltrap pour les lien :)

(3) Edwido
http://download.ewido.net/ewido-setup.exe
Pendant l'installation, sur la page "Additional Options", décoche les deux options "Install background guard" et "Install scan via context menu Ewido Security Suite. Clique sur mise à jour.

Clique sur scanner puis sur scan complet du système. puis colle le rapport ici suivi d'un hijack

@+++++++++++++

Réponse 10 / 44

Utilisateur anonyme
13 févr. 2006 à 21:08

Incognito,
On me surnommait Lucky Luke

Et je redemande une nouvelle fois

Télécharge ceci
http://cjoint.com/?cnvaqFvPFF
Décompresse Hcsrch.zip
Lance Hcsrch.exe
Un rapport va etre dans le bloc-note
Copie/colle le ici stp

a+

Réponse 11 / 44

Utilisateur anonyme
13 févr. 2006 à 21:10

dsl je suis lente en redaction j'ai pas vu vos postes

@++++++++++++
bonne soirée

Réponse 12 / 44

Utilisateur anonyme
13 févr. 2006 à 21:12

Pas grave ;-)

bon courage

Réponse 13 / 44

big_novice
13 févr. 2006 à 21:23

Bonsoir a tous et merci de votre élan de solidarité...

La vache, vous avez dégainé vite !!!

Alors voici le log de hcsrch pour regis59 :
Rapport fait à 21:19:56,54 le 13/02/2006
Executé à partir de C:\Documents and Settings\BOISSIS Franck\Bureau
OS: Microsoft Windows XP [version 5.1.2600]

*********************************************

Vérification HKLM\...\...\...\...\ruins

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
"xedocne"=hex:c7,3d,00,00,b9,a8,8f,9b,9e,91,fa,38,f9,e2,c9,13,00,00,00
"repiwoh"=hex:21,49,00,00,1c,0d,3d,27,24,3b,56,82,53,44,63,13,00,00,00
"23plhps"=hex:75,6a,00,00,7d,78,78,4c,50,15,62,6e,0f,30,3f,13,00,00,00
"mgcppp"=hex:b8,4b,00,00,bd,b5,8d,b6,aa,98,23,d0,e5,c0,12,00,00,00
"tesvaf"=hex:51,4c,00,00,22,2f,62,69,03,78,ba,7b,1c,6b,12,00,00,00
"32refaselif"=hex:1f,4d,00,00,10,15,2e,29,27,3d,40,49,44,8c,b7,a0,71,6a,81,17,\
00,00,00
"gib_ogol"=hex:8e,43,00,00,6f,60,50,50,58,4d,32,38,69,2e,e3,1e,14,00,00,00
"}CD42B95DD210-0EC9-3F24-3C61-6035DE97{"=hex:31,49,00,00,39,f5,cf,db,c0,db,a1,\
ac,b2,83,87,8a,81,99,5b,68,76,6a,41,73,5f,49,33,2c,0b,3c,07,0e,00,08,e3,e7,\
e6,fe,c0,d8,c1,13,2e,00,00,00
"qcwmd"=hex:68,18,00,00,59,48,7a,66,6c,2b,08,2d,18,11,00,00,00
"dcebj"=hex:e8,24,00,00,c7,d7,e8,e6,f9,ab,88,ad,98,11,00,00,00

*********************************************

Fichiers détectés :

C:\windows\rdt.ini Présent !

*********************************************

Recherche des processus aleatoires
d'après les modèles : cs***.exe, dm***.exe, ya***.exe

C:\windows\System32
dmkuq.exe
dmmfa.exe
dmugn.exe
dmwvg.exe
yaemu.exe

*********************************************

Recherche presence hclean32.exe...

non trouvé...

Réponse 14 / 44

Utilisateur anonyme
13 févr. 2006 à 21:41

Re,

Télécharge kill box ici:
http://www.killbox.net/downloads/KillBox.exe

Mais on s en servira apres

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Déconnecte toi d'internet c'est important

puis vérifie ceci:
demarrer > connection > clic droit sur ta connection > propriétés
gestion de reseau
assure toi que protocole internet tcp/ip est en surbrillance (attention, ne décoche pas la case)> clic sur propriétés > selectionne "obtenir les adresses des serveurs automatiquement"
valide avec ok
-----------------------------------------------------------------
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

O4 - HKLM\..\Run: [yaemu.exe] C:\windows\System32\yaemu.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188

O17 - HKLM\System\CCS\Services\Tcpip\..\{5BBCDEEF-9E87-4C50-AE99-F80DDB513337}: NameServer = 85.255.116.154,85.255.112.188

O17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 85.255.116.154 85.255.112.188

O17 - HKLM\System\CS1\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188

O17 - HKLM\System\CS2\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

ouvre le bloc note et copie et colle ceci à l'interieur:

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\HCLEAN32.EXE]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Windows\CurrentVersion\ruins]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"Disabled"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WareOut]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

[-HKEY_LOCAL_MACHINE\SOFTWARE\WareOut]

Puis enregistrer sous et dans:
Nom du fichier, met fix.reg
Type de fichier: selectionne "tous les fichiers"
clic sur enregistrer

ensuite double clic sur fix.reg et accepte de fusionner

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

ouvre le bloc note et copie et colle la liste des fichiers à supprimer
ci-dessous
une fois fait, enregistre le à un endroit ou tu pourras le retrouver
facilement (sur le bureau par exemple).

Voici la liste:

C:\windows\System32\yaemu.exe
C:\windows\rdt.ini
C:\windows\System32\
C:\windows\System32\dmkuq.exe
C:\windows\System32\dmmfa.exe
C:\windows\System32\dmugn.exe
C:\windows\System32\dmwvg.exe

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

1/Double-clic sur KillBox.exe (Pocket Killbox)
2/ ouvre le fichier txt qui contient la liste des fichiers à supprimer,
clic sur edition dans le menu du haut et clic sur "selectionner tout"
3/ clic une seconde fois sur "edition" et clic sur "copier"
4/ referme le bloc note.
5/ Dans killbox, selectionne "Delete on Reboot" puis clic
sur "ALL FILES"
6/ Dans le menu du haut clic sur File, puis sur paste
from clipboard
(tu devrais voir apparaitre la liste des fichier qu'il va supprimer)
7/ clic sur le rond rouge
8/ une fenetre va apparaitre pour confirmation clic sur OUI
9/ une seconde fenetre te demande si tu veux redemarrer clic sur
OUI

Si le pc ne redemarre pas automatiquement ou si killbox t'envois ce message:
"Pending file Rename Operations Registry Data has been Removed by
External Process"
ignore le et redemarre le pc normallement

Remet un rapport Hijackthis + le programme Hcsrch

a+

--
Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansheestyle)

Réponse 15 / 44

big_novice
13 févr. 2006 à 22:15

Re,

Voici le loh de hitjackThis :

Logfile of HijackThis v1.99.1
Scan saved at 22:12:02, on 13/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\System32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\windows\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\windows\AGRSMMSG.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\windows\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\windows\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\BOISSI~1\LOCALS~1\Temp\Rar$EX00.328\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [dmwcq.exe] C:\windows\System32\dmwcq.exe
O4 - HKLM\..\Run: [jbecd.exe] C:\windows\System32\jbecd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: Ati HotKey Poller - Unknown owner - C:\windows\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Et celui de hcsrch :

Rapport fait à 22:12:56,49 le 13/02/2006
Executé à partir de C:\Documents and Settings\BOISSIS Franck\Bureau
OS: Microsoft Windows XP [version 5.1.2600]

*********************************************

Vérification HKLM\...\...\...\...\ruins

*********************************************

Fichiers détectés :

C:\windows\rdt.ini Présent !

*********************************************

Recherche des processus aleatoires
d'après les modèles : cs***.exe, dm***.exe, ya***.exe

C:\windows\System32
dmkuq.exe
dmmfa.exe
dmugn.exe
dmwcq.exe
dmwvg.exe
yaemu.exe

*********************************************

Recherche presence hclean32.exe...

non trouvé...

Voila, simplement je nai pas utilisé KillBox comme tu me l'as demandé... J'ai vu dans la liste des programmes, certains qui me semblaient important, style AVG ou autre donc je n'ai rien supprimé
J'ai pas pris le risque...

Faut il ?

Réponse 16 / 44

big_novice
13 févr. 2006 à 22:21

Re,

Pour info, le cheval de troie est toujours la et un autre s'est ajouté visiblement car j ai désormais une barre de tache en anglais juste en dessous de la barre d adresse avec gambing internet pharmacy finance insurance adult

La, faut m aider mes chers amis internautes !!

A toute

Réponse 17 / 44

Utilisateur anonyme
13 févr. 2006 à 22:25

Salut

Ca ressemble a ca?
http://img213.imageshack.us/my.php?image=prsentation15bb.jpg

Télécharge ceci:
http://cjoint.com/?cnwynEnvhj
Lance le programme nommé Moe-Regis
Le bloc note s'ouvre.copie/colle le rapport

a+

Réponse 18 / 44

big_novice
14 févr. 2006 à 19:55

Bonsoir,

Non, ca ne ressemble pas a l image mais c est juste en dessous de la barre d adresse internet avec Remove Toolbar, a coté il y a ce qui s apparente a un moteur de recherche puis Gamblin etc... avec des petites loupes a coté de chaque rubrique...

Voici le log du programme et oui on voit des trucs présents... mais comment les virer ?

Voila le log :

Rapport fait à 19:53:12,68 le 14/02/2006
Executé à partir de C:\Documents and Settings\BOISSIS Franck\Bureau
OS: Microsoft Windows XP [version 5.1.2600]

*********************************************

Vérification HKLM\...\...\...\...\ruins

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
"xedocne"=hex:19,04,00,00,eb,1a,d9,25,c8,c3,54,8a,ab,4c,9b,13,00,00,00
"gib_ogol"=hex:e7,04,00,00,c6,cb,eb,fb,f3,f4,95,83,c0,91,ba,a1,14,00,00,00
"repiwoh"=hex:b5,4c,00,00,88,b9,89,b3,90,a7,e2,2e,cf,f0,ff,13,00,00,00
"23plhps"=hex:44,57,00,00,22,29,09,1d,01,ca,b3,bf,7c,61,4c,13,00,00,00
"mgcppp"=hex:18,08,00,00,1d,15,2d,d6,ca,38,83,b0,45,a0,12,00,00,00
"tesvaf"=hex:de,57,00,00,d1,a2,f1,fc,f6,ef,c9,8e,83,9e,12,00,00,00
"32refaselif"=hex:b0,09,00,00,83,84,b9,b8,96,ac,d3,d8,f7,3f,06,33,e0,d5,10,17,\
00,00,00
"}CD42B95DD210-0EC9-3F24-3C61-6035DE97{"=hex:c6,17,00,00,d4,60,5a,a6,bf,46,3c,\
3b,29,2e,12,11,fc,04,f6,f7,ed,11,dc,de,ca,34,4e,bb,a6,ab,92,95,7f,77,7e,72,\
9d,65,5f,a7,bc,fe,2e,00,00,00
"ocrmd"=hex:4f,64,00,00,26,21,64,1f,0b,c0,71,0a,61,11,00,00,00
"ojubj"=hex:9d,64,00,00,92,62,b7,aa,b9,76,c7,d8,d7,11,00,00,00

*********************************************

Fichiers détectés :

C:\windows\balloon.wav Présent !
C:\windows\rdt.ini Présent !
C:\windows\system32\favset.exe Présent !
C:\windows\system32\filesafer23.exe Présent !
C:\windows\System32\howiper.exe Présent !
C:\windows\System32\pppcgm.exe Présent !
C:\windows\System32\sphlp32.exe Présent !

*********************************************

Recherche des processus aleatoires
d'après les modèles : cs***.exe, dm***.exe, ya***.exe

C:\windows\System32
csrsx.exe
dmkuq.exe
dmmfa.exe
dmrco.exe
dmugn.exe
dmwvg.exe

*********************************************

Recherche presence C:\windows\System32\idemlog.exe...

non trouvé...

Merci d'avance de ton aide !!!

Kristopher Messages postés 3731 Date d'inscription vendredi 18 novembre 2005 Statut Contributeur Dernière intervention 10 juillet 2009 106
14 févr. 2006 à 20:10

Hello,

Je donnerai volontier une solution, mais je laisse mister regis s'en occuper :)

Ne t'inquiètes pas big_novice, tu es entre de très bonnes mains :)

++

Réponse 19 / 44

Utilisateur anonyme
14 févr. 2006 à 21:26

Salut

ouvre le bloc note et copie et colle ceci à l'interieur:

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Windows\CurrentVersion\ruins]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]

Puis enregistrer sous et dans:
Nom du fichier, met fix.reg
Type de fichier: selectionne "tous les fichiers"
clic sur enregistrer

ensuite double clic sur fix.reg et accepte de fusionner

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

ouvre le bloc note et copie et colle la liste des fichiers à supprimer
ci-dessous
une fois fait, enregistre le à un endroit ou tu pourras le retrouver
facilement (sur le bureau par exemple).

Voici la liste:

C:\windows\balloon.wav
C:\windows\rdt.ini
C:\windows\system32\favset.exe
C:\windows\system32\filesafer23.exe
C:\windows\System32\howiper.exe
C:\windows\System32\pppcgm.exe
C:\windows\System32\sphlp32.exe
C:\windows\System32\csrsx.exe
C:\windows\System32\dmkuq.exe
C:\windows\System32\dmmfa.exe
C:\windows\System32\dmrco.exe
C:\windows\System32\dmugn.exe
C:\windows\System32\dmwvg.exe

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

1/Double-clic sur KillBox.exe (Pocket Killbox)
2/ ouvre le fichier txt qui contient la liste des fichiers à supprimer,
clic sur edition dans le menu du haut et clic sur "selectionner tout"
3/ clic une seconde fois sur "edition" et clic sur "copier"
4/ referme le bloc note.
5/ Dans killbox, selectionne "Delete on Reboot" puis clic
sur "ALL FILES"
6/ Dans le menu du haut clic sur File, puis sur paste
from clipboard
(tu devrais voir apparaitre la liste des fichier qu'il va supprimer)
7/ clic sur le rond rouge
8/ une fenetre va apparaitre pour confirmation clic sur OUI
9/ une seconde fenetre te demande si tu veux redemarrer clic sur
OUI

Si le pc ne redemarre pas automatiquement ou si killbox t'envois ce message:
"Pending file Rename Operations Registry Data has been Removed by
External Process"
ignore le et redemarre le pc normallement

Remet un rapport Hijackthis + le programme Hcsrch

a+

Réponse 20 / 44

big_novice
15 févr. 2006 à 22:00

Bonsoir,

Deja merci car je crois que mon probleme de cheval de troie est barré !!!

Voici le log HitjachThis :
Logfile of HijackThis v1.99.1
Scan saved at 21:56:43, on 15/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\System32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\windows\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\windows\AGRSMMSG.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\windows\System32\ctfmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\windows\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\BOISSI~1\LOCALS~1\Temp\Rar$EX00.735\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\windows\System32\fwqff.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\windows\System32\fwqff.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [jbgjp.exe] C:\windows\System32\jbgjp.exe
O4 - HKLM\..\Run: [dmgfo.exe] C:\windows\System32\dmgfo.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BBCDEEF-9E87-4C50-AE99-F80DDB513337}: NameServer = 85.255.116.154,85.255.112.188
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 85.255.116.154 85.255.112.188
O17 - HKLM\System\CS1\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188
O17 - HKLM\System\CS2\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188
O23 - Service: Ati HotKey Poller - Unknown owner - C:\windows\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Et le Hcsrch :

Rapport fait à 21:57:42,76 le 15/02/2006
Executé à partir de C:\Documents and Settings\BOISSIS Franck\Bureau
OS: Microsoft Windows XP [version 5.1.2600]

*********************************************

Vérification HKLM\...\...\...\...\ruins

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
"xedocne"=hex:19,04,00,00,eb,1a,d9,25,c8,c3,54,8a,ab,4c,9b,13,00,00,00
"gib_ogol"=hex:e7,04,00,00,c6,cb,eb,fb,f3,f4,95,83,c0,91,ba,a1,14,00,00,00
"repiwoh"=hex:49,13,00,00,24,25,65,1f,0c,13,7e,ba,7b,1c,4b,13,00,00,00
"23plhps"=hex:16,14,00,00,1c,1b,db,2f,33,f4,8d,89,ae,53,9e,13,00,00,00
"mgcppp"=hex:18,08,00,00,1d,15,2d,d6,ca,38,83,b0,45,a0,12,00,00,00
"tesvaf"=hex:e1,14,00,00,d2,df,f2,f9,f3,e8,ca,8b,8c,9b,12,00,00,00
"32refaselif"=hex:b0,09,00,00,83,84,b9,b8,96,ac,d3,d8,f7,3f,06,33,e0,d5,10,17,\
00,00,00
"}CD42B95DD210-0EC9-3F24-3C61-6035DE97{"=hex:46,6d,00,00,54,e0,da,26,3f,c6,bc,\
bb,a9,ae,92,91,7c,84,76,77,6d,91,5c,5e,4a,b4,ce,3b,26,2b,12,15,ff,f7,fe,f2,\
1d,e5,df,27,3c,7e,2e,00,00,00
"pjgbj"=hex:4d,65,00,00,22,32,11,1a,08,c6,77,08,67,11,00,00,00
"ofgmd"=hex:33,65,00,00,02,3d,3f,34,17,dc,5d,66,4d,11,00,00,00

*********************************************

Fichiers détectés :

C:\windows\rdt.ini Présent !

*********************************************

Recherche des processus aleatoires
d'après les modèles : cs***.exe, dm***.exe, ya***.exe

C:\windows\System32
dmgfo.exe

*********************************************

Recherche presence C:\windows\System32\idemlog.exe...

non trouvé...

Par ailleurs, la barre en dessous en anglais avec Gambling, Internet, Pharmacy... en dessous de celle d'adresse internet est toujours la !!!

Donc, je suppose qu il doit encore rester une ou deux saloperies collées a mon PC...

Merci une fois de plus a vous tous et toutes !!!

Cheval de Troie pénible....

44 réponses

Discussions similaires