Plein de virus : Avast se dechaine

Christine -  
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

L'ordi de ma mère a l'air rempli de virus...

J'ai fait un Hijack, qq'un pourrait-il m'aider à y voir clair?

Voici le log:

Logfile of HijackThis v1.99.1
Scan saved at 10:27:44, on 27/02/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\spooIsv.exe
C:\sdkhj.exe
C:\winsysban11.exe
C:\windows\eee2.exe
D:\WINDOWS\System32\lssas.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\System32\USBPlug.exe
D:\Program Files\Real\RealPlayer\RealPlay.exe
D:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
D:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\cllhost.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Documents and Settings\Administrateur\Bureau\hijackthis_199\HijackThis.exe
D:\WINDOWS\System32\ZoneLabs\vsmon.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {196F3373-A890-F845-9D08-AA98CD1CA09A} - D:\WINDOWS\System32\nrkhaa.dll
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - D:\Program Files\E2G\IeBHOs.dll
O2 - BHO: (no name) - {6001CDF7-6F45-471b-A203-0225615E35A7} - D:\WINDOWS\DH.dll (file missing)
O2 - BHO: Related Page - {9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} - D:\WINDOWS\System32\WinNB57.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Related Page - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - D:\WINDOWS\System32\WinNB57.dll
O4 - HKLM\..\Run: [Spooler SubSystem App] D:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\Run: [mdc] C:\sdkhj.exe
O4 - HKLM\..\Run: [winsysupd] C:\\winsysupd11.exe
O4 - HKLM\..\Run: [winsysban] C:\\winsysban11.exe
O4 - HKLM\..\Run: [gimmygames] C:\\gimmygames11.exe
O4 - HKLM\..\Run: [Winamp Agent] D:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [Compaq Service Drivers] sxrose.exe
O4 - HKLM\..\Run: [elitemedia] D:\WINDOWS\elitemediapop.exe
O4 - HKLM\..\Run: [ahmb] c:\windows\eee2.exe
O4 - HKLM\..\Run: [Internet Optimizer] "D:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Local Security Authority Service] D:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ahkw] C:\windows\eee2.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [dscService] D:\WINDOWS\System32\USBPlug.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] D:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LVCOMS] D:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] D:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] D:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [ihost.exe] C:\cllhost.exe
O4 - HKLM\..\RunServices: [Compaq Service Drivers] sxrose.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Compaq Service Drivers] sxrose.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] D:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\RunServices: [Compaq Service Drivers] sxrose.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINDOWS\System32\Shdocvw.dll
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O15 - Trusted Zone: http://click.getmirar.com (HKLM)
O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {8A0DCBDB-6E20-489C-9041-C1E8A0352E75} (Mirar_Dummy_ATS1 Class) - http://awbeta.net-nucleus.com/FIX/WinATS.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E59FA69C-E9B8-4AAC-A6AA-2B10DB3A3675}: NameServer = 86.64.145.144 86.64.145.154
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

Merci infiniment

Christine

29 réponses

  • 1
  • 2
  1. quick157 Messages postés 1458 Statut Membre 475
     
    Salut,

    Je laisse l'analyse de ton log aux pros.

    En attendant, effectue déjà un nettoyage avec ces utilitaires :

    1. Spybot S&D 1.4 :

    Spybot Search & Destroy

    Démo d’utilisation (merci à Balltrap34 pour cette réalisation) :
    http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

    2. Ad-Aware SE 1.06 :
    https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/11643.html

    Installe le patch français que tu trouveras ici:

    https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/25543.html

    Une petite vidéo d'utilisation ici :

    http://pageperso.aol.fr/balltrap34/adawrevid.asf

    3. Ccleaner :

    https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

    4. Lorsque ton pc sera totalement désinfecté (donc après avis sur le log Hijackthis), effectue toutes les mises à jour via windows update, tu as du retard et la sécurité passe aussi par là (tu peux d'ailleurs configurer ces mises à jour en automatique).

    Après ce nettoyage, dis-nous ce qu'il en est.

    Bien à toi
    0
  2. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut Christine , salut Quick !

    merci Quick d'avoir amorcé le travail :-)

    svp : si un chasseur de virus passe par là : un avis sur les R1, 15 et la 17 svp merci

    Christine : relance hijackthis et fixe ces lignes stp

    démo = http://pageperso.aol.fr/balltrap34/demohijack.htm

    O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - D:\Program Files\E2G\IeBHOs.dll
    O2 - BHO: (no name) - {6001CDF7-6F45-471b-A203-0225615E35A7} - D:\WINDOWS\DH.dll (file missing)
    O2 - BHO: Related Page - {9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} - D:\WINDOWS\System32\WinNB57.dll
    O3 - Toolbar: Related Page - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - D:\WINDOWS\System32\WinNB57.dll

    O4 - HKLM\..\Run: [Spooler SubSystem App] D:\WINDOWS\System32\spooIsv.exe
    O4 - HKLM\..\Run: [winsysupd] C:\\winsysupd11.exe
    O4 - HKLM\..\Run: [Winamp Agent] D:\WINDOWS\System32\winamp.exe
    O4 - HKLM\..\Run: [Compaq Service Drivers] sxrose.exe
    O4 - HKLM\..\Run: [elitemedia] D:\WINDOWS\elitemediapop.exe
    O4 - HKLM\..\Run: [ahmb] c:\windows\eee2.exe
    O4 - HKLM\..\Run: [Internet Optimizer] "D:\Program Files\Internet Optimizer\optimize.exe"
    O4 - HKLM\..\Run: [Local Security Authority Service] D:\WINDOWS\System32\lssas.exe
    O4 - HKLM\..\Run: [ahkw] C:\windows\eee2.exe
    O4 - HKLM\..\RunServices: [Compaq Service Drivers] sxrose.exe
    O4 - HKCU\..\RunServices: [Compaq Service Drivers] sxrose.exe

    O16 - DPF: {8A0DCBDB-6E20-489C-9041-C1E8A0352E75} (Mirar_Dummy_ATS1 Class) - http://awbeta.net-nucleus.com/FIX/WinATS.cab

    ensuite :

    à télécharger : en plus

    a-squared
    http://www.emsisoft.net/fr/software/download/

    ewido (dowload)
    http://www.ewido.net/fr/download/

    copie/COLLE le rapport entier ici

    ¤Télécharger CleanUp40 (qui élimine les fichiers temporaires) sur ce lien : http://pageperso.aol.fr/Balltrap34/CleanUp40.exe

    démo : http://pageperso.aol.fr/balltrap34/democleanup.htm

    mette tout à jour, lance tous les utilitaires : ceux que je viens de te passer + ceux de Quick en mode sans echec ( pour cela redemarrer en appuillant sur le touche F8 ou F5 ) , ensuite redamarre en mode normal et vois si ça detecte toujour des virus

    bon courage !

    @+
    0
  3. Christine
     
    Merci pour votre aide Quick et Greenday :)

    J'ai fait ce que tu m'as préconisé Quick, et je me lance ds ce que vient de me noter Green day.

    Je re aprés tout ça!

    A taleur
    0
  4. christine
     
    Encore moi...

    Juste une question, qui à priori peut paraitre neuneu (je précise que je suis novice en informatique) pendant qu'Ewido est entrain de scanner:

    a-squared et ewido... sont des anti-virus? Je pourrais enlever avast?

    Oups je viens de me rendre compte que je ne le fais pas en mode sans echec... faut que je recommence?

    J'avais prévenu !
    0
    1. boulepate
       
      Salut,

      A-squared et Ewido sont des anti-spywares, donc rien à voir avec Avast qui lui ets un anti-virus, le probléme vient pas d'Avast mais de ton pc qui est infecté ;-)

      Tu peux continuer à scanner ton pc en mode normal, penses à copier le rapport d'Ewido ici stp dès qu'il à fini

      A++
      0
      1. Christine > boulepate
         
        Re :)

        Voici donc le rapport de ewido (merci Boulepate pour ton explication)

        ---------------------------------------------------------
        ewido anti-malware - Rapport de scan
        ---------------------------------------------------------

        + Créé le: 19:04:29, 27/02/2006
        + Somme de contrôle: 60A246D8

        + Résultats du scan:

        HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\AMeOpt -> Adware.InternetOptimizer : Nettoyer et sauvegarder
        HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\AMeOpt -> Adware.InternetOptimizer : Nettoyer et sauvegarder
        [1912] C:\winsysban11.exe -> Hijacker.VB.li : Nettoyer et sauvegarder
        [3248] D:\WINDOWS\System32\nrkhaa.dll -> Adware.PurityScan : Erreur durant le nettoyage
        C:\argc.exe -> Downloader.VB.ws : Nettoyer et sauvegarder
        C:\drsmartload1.exe -> Downloader.Adload.u : Nettoyer et sauvegarder
        C:\gimmygames11.exe -> Downloader.Adload.u : Nettoyer et sauvegarder
        C:\microsoft32.exe -> Downloader.VB.ws : Nettoyer et sauvegarder
        C:\windows\cm.exe -> Backdoor.Rbot : Nettoyer et sauvegarder
        C:\windows\eee2.exe -> Adware.MediaMotor : Nettoyer et sauvegarder
        C:\windows\gimmygames11.exe -> Downloader.Adload.u : Nettoyer et sauvegarder
        C:\windows\winsysban11.exe -> Hijacker.VB.li : Nettoyer et sauvegarder
        C:\windows\winsysupd11.exe -> Trojan.VB.ajo : Nettoyer et sauvegarder
        C:\winsysban11.exe -> Hijacker.VB.li : Nettoyer et sauvegarder
        C:\winsysupd11.exe -> Trojan.VB.ajo : Nettoyer et sauvegarder
        :mozilla.6:D:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\knmg3cvd.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder
        :mozilla.7:D:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\knmg3cvd.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder
        D:\Documents and Settings\Administrateur\Bureau\NETTOYAGE\hijackthis_199\backups\backup-20060227-141730-886.dll -> Adware.Mirar : Nettoyer et sauvegarder
        D:\Documents and Settings\Administrateur\Cookies\administrateur@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder
        D:\WINDOWS\876057.exe -> Adware.Mirar : Nettoyer et sauvegarder
        D:\WINDOWS\eeedo.exe/eee2.exe -> Adware.MediaMotor : Erreur durant le nettoyage
        D:\WINDOWS\surv3.exe -> Downloader.VB.vv : Nettoyer et sauvegarder
        D:\WINDOWS\sxrose.exe -> Backdoor.Rbot : Nettoyer et sauvegarder
        D:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\72YY40UK\drsmartload[1].exe -> Downloader.Adload.u : Nettoyer et sauvegarder
        D:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\FSEUQGSX\gimmygames11[1].exe -> Downloader.Adload.u : Nettoyer et sauvegarder
        D:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\FSEUQGSX\surv3[1].exe -> Downloader.VB.vv : Nettoyer et sauvegarder
        D:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\FSEUQGSX\winsysupd11[1].exe -> Trojan.VB.ajo : Nettoyer et sauvegarder
        D:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\N6TD1DKM\eeedo[1].exe/eee2.exe -> Adware.MediaMotor : Nettoyer et sauvegarder
        D:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\N6TD1DKM\winsysban11[1].exe -> Hijacker.VB.li : Nettoyer et sauvegarder
        D:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\Q9QNU30X\876057[1].exe -> Adware.Mirar : Nettoyer et sauvegarder
        D:\WINDOWS\system32\lssas.exe -> Backdoor.Rbot.apd : Nettoyer et sauvegarder
        D:\WINDOWS\system32\nddtim.exe -> Logger.VB.eh : Nettoyer et sauvegarder
        D:\WINDOWS\system32\spooIsv.exe -> Dropper.Paradrop.a : Nettoyer et sauvegarder
        D:\WINDOWS\system32\WinNB57.dll -> Adware.Mirar : Nettoyer et sauvegarder
        D:\WINDOWS\system32\__delete_on_reboot__nrkhaa.dll -> Adware.PurityScan : Nettoyer et sauvegarder


        ::Fin du rapport

        J'en suis où? dites moi qu'il y a du progrés.... j'en vois plus la fin de ces virus!

        Merci pour votre aide en tous cas, je sais pas comment j'aurais fait!

        Chris
        0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bonsoir Christine,

    Pouvez vous remettre un log hijackthis svp.

    Bon courage.

    A+
    0
  7. Christine
     
    Bonsoir Incognito,

    Voici mon log Hikackthis

    Logfile of HijackThis v1.99.1
    Scan saved at 21:12:17, on 27/02/2006
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\csrss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\WINDOWS\Explorer.EXE
    C:\sdkhj.exe
    C:\winsysban12.exe
    D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    D:\WINDOWS\System32\USBPlug.exe
    D:\Program Files\Real\RealPlayer\RealPlay.exe
    D:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    D:\Program Files\Logitech\ImageStudio\LogiTray.exe
    C:\cllhost.exe
    D:\WINDOWS\System32\ctfmon.exe
    D:\Program Files\Messenger\msmsgs.exe
    D:\Program Files\MSN Messenger\MsnMsgr.Exe
    D:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    D:\Program Files\a-squared\a2guard.exe
    D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    D:\Program Files\Alwil Software\Avast4\ashServ.exe
    D:\Program Files\ewido anti-malware\ewidoctrl.exe
    D:\Program Files\ewido anti-malware\ewidoguard.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    D:\Program Files\Mozilla Firefox\firefox.exe
    D:\Documents and Settings\Administrateur\Bureau\NETTOYAGE\hijackthis_199\HijackThis.exe
    D:\WINDOWS\System32\ZoneLabs\vsmon.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {196F3373-A890-F845-9D08-AA98CD1CA09A} - D:\WINDOWS\System32\nrkhaa.dll (file missing)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [mdc] C:\sdkhj.exe
    O4 - HKLM\..\Run: [winsysban] C:\\winsysban12.exe
    O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Zone Labs Client] D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [dscService] D:\WINDOWS\System32\USBPlug.exe
    O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [RealTray] D:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [LVCOMS] D:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    O4 - HKLM\..\Run: [LogitechGalleryRepair] D:\Program Files\Logitech\ImageStudio\ISStart.exe
    O4 - HKLM\..\Run: [LogitechImageStudioTray] D:\Program Files\Logitech\ImageStudio\LogiTray.exe
    O4 - HKLM\..\Run: [ihost.exe] C:\cllhost.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [LDM] D:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    O4 - HKCU\..\Run: [a-squared] "D:\Program Files\a-squared\a2guard.exe"
    O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINDOWS\System32\Shdocvw.dll
    O15 - Trusted Zone: http://click.getmirar.com (HKLM)
    O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
    O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141049592060
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E59FA69C-E9B8-4AAC-A6AA-2B10DB3A3675}: NameServer = 86.64.145.150 86.64.145.140
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - D:\Program Files\ewido anti-malware\ewidoguard.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

    Qu'en est-il?

    Bien à vous
    christine
    0
  8. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bonsoir,

    Affiche tous les fichiers et dossiers :
    Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

    Coche « afficher les fichiers et dossiers cachés »

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décoche « masquer les extensions dont le type est connu »
    Puis fais «Ok» pour valider les changements.

    Et appliquer !

    Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

    O2 - BHO: (no name) - {196F3373-A890-F845-9D08-AA98CD1CA09A} - D:\WINDOWS\System32\nrkhaa.dll (file missing)

    O4 - HKLM\..\Run: [mdc] C:\sdkhj.exe

    O4 - HKLM\..\Run: [winsysban] C:\\winsysban12.exe

    O4 - HKLM\..\Run: [ihost.exe] C:\cllhost.exe

    O15 - Trusted Zone: http://click.getmirar.com (HKLM)

    O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)

    O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)

    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ----------------------------------------------------------------------------
    ¤Recherche et supprime ceci:
    attention seulement les fichiers (si présents).

    D:\WINDOWS\System32\nrkhaa.dll
    C:\sdkhj.exe
    C:\\winsysban12.exe
    C:\cllhost.exe

    vide la corbeille, redémarre en mode normal et repost un log hijackthis stp.

    Bon courage.

    A+

    0
  9. christine
     
    Re

    Je n'ai pas trouvé le fichier D:\WINDOWS\System32\nrkhaa.dll
    Les autres c'est bon.

    Voici mon dernier log:

    Logfile of HijackThis v1.99.1
    Scan saved at 21:58:59, on 27/02/2006
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\WINDOWS\Explorer.EXE
    D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    D:\WINDOWS\System32\USBPlug.exe
    D:\Program Files\Real\RealPlayer\RealPlay.exe
    D:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    D:\Program Files\Logitech\ImageStudio\LogiTray.exe
    D:\WINDOWS\System32\ctfmon.exe
    D:\Program Files\Messenger\msmsgs.exe
    D:\Program Files\MSN Messenger\MsnMsgr.Exe
    D:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    D:\Program Files\Alwil Software\Avast4\ashServ.exe
    D:\Program Files\ewido anti-malware\ewidoctrl.exe
    D:\Program Files\ewido anti-malware\ewidoguard.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    D:\WINDOWS\System32\wuauclt.exe
    D:\Documents and Settings\Administrateur\Bureau\NETTOYAGE\hijackthis_199\HijackThis.exe
    D:\WINDOWS\System32\ZoneLabs\vsmon.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Zone Labs Client] D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [dscService] D:\WINDOWS\System32\USBPlug.exe
    O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [RealTray] D:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [LVCOMS] D:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    O4 - HKLM\..\Run: [LogitechGalleryRepair] D:\Program Files\Logitech\ImageStudio\ISStart.exe
    O4 - HKLM\..\Run: [LogitechImageStudioTray] D:\Program Files\Logitech\ImageStudio\LogiTray.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [LDM] D:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINDOWS\System32\Shdocvw.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141049592060
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - D:\Program Files\ewido anti-malware\ewidoguard.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

    J'en suis où?

    Merci encore Incognito

    chris
    0
  10. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Christine,

    Ton log me parait propre, où en sont tes soucis ?

    A+

    0
  11. christine
     
    Mes soucis ont l'air de s'être réglés...

    Avast ne se déclenche pas à tout bout de champ.

    Par contre le démarrage reste un peu lent.

    Autre question : Zone alarm et Zone alarm pro, est-ce la même chose...?

    J'ai du me planter en telechargeant, j'ai choisi Zone alarm Pro et je n'arrive pas à le désinstaler, c'est une version d'évaluation.

    Pour le moment je ne pense pas à autre chose.

    Merci de ton aide, c'est trés sympa.

    chris
    0
  12. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Christine,

    Si tu le permet, on reglera cela demain.

    Bonne nuit.

    A++

    0
  13. christine
     
    Pas de souci

    Passe une bonne nuit.

    Bisous

    Chris
    0
  14. quick157 Messages postés 1458 Statut Membre 475
     
    Salut,

    Maintenant que ton pc est propre, effectue les mises à jour via windows update. Lance plusieurs fois pour être sûre d'avoir TOUTES les mises à jour.

    Bien à toi

    PS : Tu es de quelle région ?
    0
  15. Christine
     
    Merci Quick, c'est super sympa de votre part à tous d'aider les neuneus en informatique à s'en sortir....

    J'ai lancé les mises à jour ce matin, y'en vait 19.

    J'espère qu'elle n'aura plus de soucis avec son PC.

    Bisous et encore une fois merci !

    PS : Du SUD-OUEST
    0
  16. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    Slt Christine,

    Autre question : Zone alarm et Zone alarm pro, est-ce la même chose...?

    Non ca n'est pas la même chose ..La différence c'est le prix et les options.

    Il fallait choisir Zone Alarm (juste le firewall) qui est gratuit.

    @+
    0
  17. mrud Messages postés 216 Statut Membre 100
     
    salut,
    green day pour le 17 ce sont des serveurs dns de 9online (sa connection à mon avi)
    0
  18. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Bonjour Mrud !

    ( ton nom ne me dit rien ?! lol ! )

    on ma passer un lien pour analyser ça légitimité : mais je vois pas trop comment l'utilidé ?!

    merci !

    @+
    0
  19. mrud Messages postés 216 Statut Membre 100
     
    re,
    tu fais un nslookup sur l'ip pour voir d'où elle sort, là ça donne :
    nslookup 86.64.145.144
    name = 144.145.64-86.rev.gaoland.net
    là je sais que c'est 9online mais quand on sait pas, on peut tracer l'ip pour en savoir plus en utilisant tracert sous windows ou hping sous linux :
    hping -T 86.64.145.144
    hop=4 TTL 0 during transit from ip=62.39.148.2 name=V4094.cbv3-co-1.n9uf.net
    le 5 eme saut c'est 86.64.145.144
    donc on sait que c'est n9uf.net 9online on devine que c'est un dns pour en etre sur (en utilisant comme serveur dns l'ip 86.64.145.144) on fait un nslookup sur un site au pif exemple commentcamarche.net
    nslookup www.commentcamarche.net 86.64.145.144
    Server: 86.64.145.144
    Address: 86.64.145.144#53

    Non-authoritative answer:
    Name: www.commentcamarche.net
    Address: 193.19.219.216

    et ça marche donc c'est bien un serveur dns et de 9online :)
    0
  20. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Merci à vous Mrud !

    merci pour ces explication : mais il y a un pti problème de voc ( pour commencer :

    tu fais un nslookup ===> ????

    non mais en faite j'ai carement du mal à suivre 8-S ... ( desolée !!! )

    @+
    0
  21. mrud Messages postés 216 Statut Membre 100
     
    oui dsl quand je dis "tu fais un nslookup" c'est "tu utilises nslookup" :s
    c'est un resolveur de nom de domaine on l'utilise à partir d'une console/invite de commande msdos, pareil pour tracert. tu peux obtenir une aide sur chacun des programmes en leur donnant en paramètre -help ou -h parfois sans leur donner de paramètre ils affichent l'aide
    Merci à vous Mrud !
    de rien et tu (vous?) peux (pouvez?) me dire tu :-D
    0
  • 1
  • 2