[virus] msclock32.dll et compte à rebours.

Résolu
Bilibiou -  
 bilibiou -
Bonjour
D'abord merci pour tous les conseils que j'ai eu.
Je pense avoir trouvé le problème(ou l'un d'entre eux) ewido a détecté ceci : msclock32.dll, mais je n'arrive pas à m'en débarrasser. J'ai regardé sur le forum mais j'ai des difficultés à faire le nécessaire pour le supprimer.
Je poste mon nouveau rapport.
j'ai installé Adaware, ccleaner, claen up 40, spybot.
Que puis-je faire?
Gracias.

Logfile of HijackThis v1.99.1
Scan saved at 10:23:02, on 16/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,SKEYS,userinit.exe,SKEYS /I
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [dvelrkwtx] c:\windows\system32\dvelrkwtx.exe dvelrkwtx
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
Configuration: windows xp

30 réponses

  • 1
  • 2
  1. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    le pc rédémarre encore tout seul?

    a+
    0
  2. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    hello

    Télécharger ceci (merci a S!RI pour ce petit programme) :
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    L'exécuter, puis double-cliquer sur Smitfraudfix.cmd
    Choisir l’option 1, il va générer un rapport
    Copier-coller ce dernier dans un message sur le forum.
    En image :
    http://siri.urz.free.fr/Fix/SmitfraudFix.php
    ----------------------------------------------------------------------------
    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du PC sans t’arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ----------------------------------------------------------------------------
    Relance le programme Smitfraud,
    Cette fois choisit l’option 2, répond oui a tous ;
    Sauvegarde le rapport, redémarre en mode normal, copie-colle le rapport sauvegardé sur le forum.
    0
  3. bilibiou
     
    salut,
    j'ai télécharger Smitfraud mais adobe rader ne le prend pas en charge, donc impossible de travailler dessus.
    Que doi-je faire?
    Merci
    0
  4. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    re
    ya pas besoin d adobe !
    essaie de suivre ce qui est écrit
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. bilibiou
     
    bien, qd je doubleclique sur SmitfraudFix.cmd, je lis fichier process.exe absent! dezipper la totalité de l'archive dans un dossier.
    C'est juste que , stp,comment faut-il faire?

    Patience et longueur de temps.
    "c'est vrai que dans mon cas le bourricot aura du mal à devenir étalon, toutefois misons sur les bienfaits du temps..."
    0
  7. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    bonjour vus 2,

    paour aranjuez, egdaccess est bien présent.

    Bonne désinfection

    a+
    0
  8. Regis59
     
    Salut bilibou

    Lorsque tu as telecharger le fichier smitfraudfix il faut le dezipper --> Clik droit sur le fichier et extraire tout.
    Un fichier se cree a coté, ouvre le et lance le

    Bye
    0
  9. bilibiou
     
    ouf, j'y suis!
    voilà le rapport, puis je passe à la suite( ref Aranjuez31)

    SmitFraudFix v2.31

    Rapport fait à 21:23:49,67, 18/04/2006
    Executé à partir de C:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Utilisateur\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Utilisateur\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

    [HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
    @="%SystemRoot%\System32\browseui.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
    @="%SystemRoot%\System32\browseui.dll"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

    [HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
    @="%SystemRoot%\System32\browseui.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
    @="%SystemRoot%\System32\browseui.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  10. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    non, ne passe pas à la suite, pas d'infection smitfraud!

    Télécharge Blacklight (de F-Secure) :

    https://www.f-secure.com/en

    et sauvegarde le sur ton Bureau.

    Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

    Copie et colle le contenu de ce rapport dans ta prochaine réponse.

    a+

    prends la suite, si t'es là aran!

    a+
    0
  11. bilibiou
     
    salut did71,
    voici le rapport demandé:

    04/18/06 21:50:01 [Info]: BlackLight Engine 1.0.35 initialized
    04/18/06 21:50:01 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    04/18/06 21:50:01 [Note]: 7019 4
    04/18/06 21:50:01 [Note]: 7005 0
    04/18/06 21:50:05 [Note]: 7006 0
    04/18/06 21:50:05 [Note]: 7011 1616
    04/18/06 21:50:05 [Note]: 7026 0
    04/18/06 21:50:05 [Note]: 7026 0
    04/18/06 21:50:05 [Note]: 7024 3
    04/18/06 21:50:05 [Info]: Hidden process: C:\windows\system32\dvelrkwtx.exe
    04/18/06 21:50:05 [Note]: FSRAW library version 1.7.1015
    04/18/06 21:52:53 [Info]: Hidden file: C:\WINDOWS\Prefetch\DVELRKWTX.EXE-37774F22.pf
    04/18/06 21:52:53 [Note]: 10002 1
    04/18/06 21:53:03 [Note]: 4013 18147
    04/18/06 21:53:03 [Note]: 4020 39527 524288
    04/18/06 21:53:03 [Note]: 4018 39527 524288
    04/18/06 21:53:20 [Info]: Hidden file: C:\WINDOWS\system32\dvelrkwtx.dat
    04/18/06 21:53:20 [Note]: 10002 1
    04/18/06 21:53:21 [Info]: Hidden file: C:\windows\system32\dvelrkwtx.exe
    04/18/06 21:53:21 [Note]: 10002 1
    04/18/06 21:53:21 [Info]: Hidden file: C:\WINDOWS\system32\dvelrkwtx_nav.dat
    04/18/06 21:53:21 [Note]: 10002 1
    04/18/06 21:53:21 [Info]: Hidden file: C:\WINDOWS\system32\dvelrkwtx_navps.dat
    04/18/06 21:53:21 [Note]: 10002 1
    04/18/06 21:53:25 [Info]: Hidden file: C:\WINDOWS\system32\__delete_on_reboot__msclock32.dll
    04/18/06 21:53:25 [Note]: 10002 1
    04/18/06 22:04:17 [Note]: 7007 0

    je crois bien que mon virus est là. Dis-moi coment faire. a+ merci
    0
  12. regis59
     
    Salut

    tu peux juste me confirmer que tu as dvelrkwtx dans ajout/suppression de programme stp?

    Merci
    0
  13. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    la manip risque d'être longue prends ton temps!

    Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

    1)télécharge ewido :

    https://www.avg.com/en-ww/homepage

    installes le, met le à jour (ne lances pas de scan)
    (Important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu").

    2)Télécharge Brute Force Uninstaller (de Merijn):

    http://www.merijn.org/files/bfu.zip

    Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

    FAIS UN CLIC-DROIT ICI:

    http://metallica.geekstogo.com/EGDACCESS.bfu

    et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

    3) Télécharge Killbox sur ton Bureau :

    http://www.downloads.subratam.org/KillBox.exe

    Double-clique killbox.exe.
    Choisis l'option "Delete on reboot".

    Copie le texte gras ci-bas (sélectionne tout avec ta souris, clic-droit et "Copier") :

    C:\windows\system32\dvelrkwtx.exe
    C:\WINDOWS\system32\dvelrkwtx.dat
    C:\WINDOWS\system32\dvelrkwtx_nav.dat
    C:\WINDOWS\system32\dvelrkwtx_navps.dat
    C:\WINDOWS\system32\dvelrkwtx.dll
    C:\WINDOWS\system32\msclock32.dll
    C:\WINDOWS\Prefetch\DVELRKWTX.EXE-37774F22.pf


    Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard

    Tous les fichiers doivent maintenant apparaître dans la boîte "Full Path of File to Delete".
    Si tu cliques sur la petite flèche à droite de cette boîte, tu devrais y voir tous les fichiers collés !

    Clique sur le bouton : All Files (!important!)

    Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)
    Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.
    Si tu ne reçois pas ce message, redémarre le PC avec le bouton "Démarrer".

    4) Lorsque KillBox redémarre le PC, redémarre plutôt en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

    5) Du mode Sans Échec, lance HijackThis! et clique "Do a system scan only", puis coche ces lignes :

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    O4 - HKLM\..\Run: [dvelrkwtx] c:\windows\system32\dvelrkwtx.exe dvelrkwtx
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

    Clique "Fix checked", puis ferme HijackThis!

    6) Toujours en sans échec :

    Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

    Sous Scriptline to execute copie/colle cette ligne :

    c:\bfu\EGDACCESS.bfu

    Clique sur Execute et laisse-le faire son travail. C'est très rapide comme exécution.

    Attendre que Complete script execution apparaîsse et clique sur OK.
    Clique Exit pour fermer le programme BFU.

    7) Toujours en sans échec, lance Ewido et fait un scan complet, puis sauvegarde le rapport généré.

    8) Avec l'Explorateur Windows, recherche et assure-toi que ces fichiers et ce dossier n'existent plus (supprime si trouvés):

    C:\windows\system32\dvelrkwtx.exe
    C:\WINDOWS\system32\dvelrkwtx.dat
    C:\WINDOWS\system32\dvelrkwtx_nav.dat
    C:\WINDOWS\system32\dvelrkwtx_navps.dat
    C:\WINDOWS\system32\dvelrkwtx.dll
    C:\WINDOWS\system32\msclock32.dll
    C:\WINDOWS\Prefetch\DVELRKWTX.EXE-37774F22.pf

    9) Redémarre en mode Normal. Scan avec HijackThis!, sauvegarde le rapport et colle-le dans ta prochaine réponse, avec le rapport d'Ewido également.

    bon courage

    a+
    0
  14. bilibiou
     
    J'ai bien dvelrkwtx dans ajout/suppression de programme .
    Je ferai demain la manip de did.
    Merci pour tout.
    Je vous tiens au courant.
    0
  15. bilibiou
     
    bonjour,
    Je joins les 2 rapports demandés par did71. Je signale toutefois que les manip 6,7 et 8 je les ai faites sous windows car sous mode sans échec, les lettres se désagrègent au bout de quelques secondes( ???) et il m'est impossible de travailler.

    ewido anti-malware - Rapport de scan
    ---------------------------------------------------------

    + Créé le: 11:10:41, 19/04/2006
    + Somme de contrôle: 8EEF3D2A

    + Résultats du scan:

    HKLM\SOFTWARE\Altnet -> Adware.Altnet : Erreur durant le nettoyage
    HKLM\SOFTWARE\Altnet\Dashboard -> Adware.Altnet : Erreur durant le nettoyage
    HKLM\SOFTWARE\Altnet\Dashboard\Messages -> Adware.Altnet : Erreur durant le nettoyage
    :mozilla.21:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\4ye4kdne.default\cookies.txt -> TrackingCookie.Estat : Nettoyer et sauvegarder
    :mozilla.39:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\4ye4kdne.default\cookies.txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

    ::Fin du rapport

    Logfile of HijackThis v1.99.1
    Scan saved at 11:18:08, on 19/04/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\Program Files\ewido anti-malware\ewidoguard.exe
    C:\WINDOWS\System32\FTRTSVC.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
    C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
    C:\WINDOWS\system32\HPZipm12.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,SKEYS,userinit.exe,SKEYS /I
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
    O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
    O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
    O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

    J'espère que les choses s'arrangent
    encore merci
    0
  16. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    bonsoir,

    comment se comporte le pc?

    a+
    0
  17. bilibiou
     
    Salut did71,
    Mon pc se porte bien mieux, ewido n'annonce plus msclock32.dll. Apparemment il n'est plus là.
    Par contre, j'ai toujours le compte à rebours (100 à 1) au lancement du pc puis le redémarrage se fait tout seul. Embêtant mais pas inquiétant?
    Merci
    A+
    0
  18. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    bonjour,

    il est possible de stopper le compte à rebours et d'annuler le redémarrage automatique en procédant de la manière suivante : cliquez sur le bouton "Démarrer", sélectionnez "Exécuter...", entrez " shutdown -a " puis cliquez "Ok"

    ensuite,passe un scan en ligne ici :

    https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

    poste le rapport kaspersky

    a+
    0
  19. bilibiou
     
    salut,
    J'ai fait ce que tu m'as dit, par contre, j'ai essayé de télécharger kapersky, impossible; je lis:
    échec de chargement du contrôle active x.....
    Peut-on faire autrement?
    merci
    0
  20. bilibiou
     
    j'ai ibien nstallé houseCall;
    il a detecté plusieurs grayware et les a tous supprimés excepté les 2 suivants:
    ADW_SE 52856
    ADW_SE 6680
    Je vais tenté de voir ce que je peux faire.
    a+
    0
  • 1
  • 2