[virus] msclock32.dll et compte à rebours.Résolu/Fermé

Question

Bonjour
D'abord merci pour tous les conseils que j'ai eu.
Je pense avoir trouvé le problème(ou l'un d'entre eux) ewido a détecté ceci : msclock32.dll, mais je n'arrive pas à m'en débarrasser. J'ai regardé sur le forum mais j'ai des difficultés à faire le nécessaire pour le supprimer.
Je poste mon nouveau rapport.
j'ai installé Adaware, ccleaner, claen up 40, spybot.
Que puis-je faire?
Gracias.

Logfile of HijackThis v1.99.1
Scan saved at 10:23:02, on 16/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,SKEYS,userinit.exe,SKEYS /I
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [dvelrkwtx] c:\windows\system32\dvelrkwtx.exe dvelrkwtx
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

aranjuez31 · Answer

hello

Télécharger ceci (merci a S!RI pour ce petit programme) :
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
L'exécuter, puis double-cliquer sur Smitfraudfix.cmd
Choisir l’option 1, il va générer un rapport
Copier-coller ce dernier dans un message sur le forum.
En image :
http://siri.urz.free.fr/Fix/SmitfraudFix.php
----------------------------------------------------------------------------
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du PC sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, redémarre en mode normal, copie-colle le rapport sauvegardé sur le forum.

bilibiou · Answer

salut,j'ai télécharger Smitfraud mais adobe rader ne le prend pas en charge, donc impossible de travailler dessus.Que doi-je faire?Merci

aranjuez31 · Answer

reya pas besoin d adobe !essaie de suivre ce qui est écrit

bilibiou · Answer

bien, qd je doubleclique sur SmitfraudFix.cmd, je lis fichier process.exe absent! dezipper la totalité de l'archive dans un dossier.
C'est juste que , stp,comment faut-il faire?

Patience et longueur de temps.
"c'est vrai que dans mon cas le bourricot aura du mal à devenir étalon, toutefois misons sur les bienfaits du temps..."

did71 · Answer

bonjour vus 2,paour aranjuez, egdaccess est bien présent.Bonne désinfectiona+

Regis59 · Answer

Salut bilibouLorsque tu as telecharger le fichier smitfraudfix il faut le dezipper --> Clik droit sur le fichier et extraire tout.Un fichier se cree a coté, ouvre le et lance leBye

bilibiou · Answer

ouf, j'y suis!
voilà le rapport, puis je passe à la suite( ref Aranjuez31)

SmitFraudFix v2.31

Rapport fait à 21:23:49,67, 18/04/2006
Executé à partir de C:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Utilisateur\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Utilisateur\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

did71 · Answer

re,

non, ne passe pas à la suite, pas d'infection smitfraud!

Télécharge Blacklight (de F-Secure) :

https://www.f-secure.com/en

et sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse.

a+

prends la suite, si t'es là aran!

a+

bilibiou · Answer

salut did71,
voici le rapport demandé:

04/18/06 21:50:01 [Info]: BlackLight Engine 1.0.35 initialized
04/18/06 21:50:01 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/18/06 21:50:01 [Note]: 7019 4
04/18/06 21:50:01 [Note]: 7005 0
04/18/06 21:50:05 [Note]: 7006 0
04/18/06 21:50:05 [Note]: 7011 1616
04/18/06 21:50:05 [Note]: 7026 0
04/18/06 21:50:05 [Note]: 7026 0
04/18/06 21:50:05 [Note]: 7024 3
04/18/06 21:50:05 [Info]: Hidden process: C:\windows\system32\dvelrkwtx.exe
04/18/06 21:50:05 [Note]: FSRAW library version 1.7.1015
04/18/06 21:52:53 [Info]: Hidden file: C:\WINDOWS\Prefetch\DVELRKWTX.EXE-37774F22.pf
04/18/06 21:52:53 [Note]: 10002 1
04/18/06 21:53:03 [Note]: 4013 18147
04/18/06 21:53:03 [Note]: 4020 39527 524288
04/18/06 21:53:03 [Note]: 4018 39527 524288
04/18/06 21:53:20 [Info]: Hidden file: C:\WINDOWS\system32\dvelrkwtx.dat
04/18/06 21:53:20 [Note]: 10002 1
04/18/06 21:53:21 [Info]: Hidden file: C:\windows\system32\dvelrkwtx.exe
04/18/06 21:53:21 [Note]: 10002 1
04/18/06 21:53:21 [Info]: Hidden file: C:\WINDOWS\system32\dvelrkwtx_nav.dat
04/18/06 21:53:21 [Note]: 10002 1
04/18/06 21:53:21 [Info]: Hidden file: C:\WINDOWS\system32\dvelrkwtx_navps.dat
04/18/06 21:53:21 [Note]: 10002 1
04/18/06 21:53:25 [Info]: Hidden file: C:\WINDOWS\system32\__delete_on_reboot__msclock32.dll
04/18/06 21:53:25 [Note]: 10002 1
04/18/06 22:04:17 [Note]: 7007 0

je crois bien que mon virus est là. Dis-moi coment faire. a+ merci

regis59 · Answer

Saluttu peux juste me confirmer que tu as dvelrkwtx dans ajout/suppression de programme stp?Merci

did71 · Answer

re,

la manip risque d'être longue prends ton temps!

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

1)télécharge ewido :

https://www.avg.com/en-ww/homepage

installes le, met le à jour (ne lances pas de scan)
(Important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu").

2)Télécharge Brute Force Uninstaller (de Merijn):

http://www.merijn.org/files/bfu.zip

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

FAIS UN CLIC-DROIT ICI:

http://metallica.geekstogo.com/EGDACCESS.bfu

et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

3) Télécharge Killbox sur ton Bureau :

http://www.downloads.subratam.org/KillBox.exe

Double-clique killbox.exe.
Choisis l'option "Delete on reboot".

Copie le texte gras ci-bas (sélectionne tout avec ta souris, clic-droit et "Copier") :

C:\windows\system32\dvelrkwtx.exe
C:\WINDOWS\system32\dvelrkwtx.dat
C:\WINDOWS\system32\dvelrkwtx_nav.dat
C:\WINDOWS\system32\dvelrkwtx_navps.dat
C:\WINDOWS\system32\dvelrkwtx.dll
C:\WINDOWS\system32\msclock32.dll
C:\WINDOWS\Prefetch\DVELRKWTX.EXE-37774F22.pf

Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard

Tous les fichiers doivent maintenant apparaître dans la boîte "Full Path of File to Delete".
Si tu cliques sur la petite flèche à droite de cette boîte, tu devrais y voir tous les fichiers collés !

Clique sur le bouton : All Files (!important!)

Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)
Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.
Si tu ne reçois pas ce message, redémarre le PC avec le bouton "Démarrer".

4) Lorsque KillBox redémarre le PC, redémarre plutôt en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

5) Du mode Sans Échec, lance HijackThis! et clique "Do a system scan only", puis coche ces lignes :

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O4 - HKLM\..\Run: [dvelrkwtx] c:\windows\system32\dvelrkwtx.exe dvelrkwtx
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Clique "Fix checked", puis ferme HijackThis!

6) Toujours en sans échec :

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

Sous Scriptline to execute copie/colle cette ligne :

c:\bfu\EGDACCESS.bfu

Clique sur Execute et laisse-le faire son travail. C'est très rapide comme exécution.

Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

7) Toujours en sans échec, lance Ewido et fait un scan complet, puis sauvegarde le rapport généré.

8) Avec l'Explorateur Windows, recherche et assure-toi que ces fichiers et ce dossier n'existent plus (supprime si trouvés):

C:\windows\system32\dvelrkwtx.exe
C:\WINDOWS\system32\dvelrkwtx.dat
C:\WINDOWS\system32\dvelrkwtx_nav.dat
C:\WINDOWS\system32\dvelrkwtx_navps.dat
C:\WINDOWS\system32\dvelrkwtx.dll
C:\WINDOWS\system32\msclock32.dll
C:\WINDOWS\Prefetch\DVELRKWTX.EXE-37774F22.pf

9) Redémarre en mode Normal. Scan avec HijackThis!, sauvegarde le rapport et colle-le dans ta prochaine réponse, avec le rapport d'Ewido également.

bon courage

a+

bilibiou · Answer

J'ai bien  dvelrkwtx dans ajout/suppression de programme .Je ferai demain la manip de did.Merci pour tout.Je vous tiens au courant.

bilibiou · Answer

bonjour,
Je joins les 2 rapports demandés par did71. Je signale toutefois que les manip 6,7 et 8 je les ai faites sous windows car sous mode sans échec, les lettres se désagrègent au bout de quelques secondes( ???) et il m'est impossible de travailler.

ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 11:10:41, 19/04/2006
+ Somme de contrôle: 8EEF3D2A

+ Résultats du scan:

HKLM\SOFTWARE\Altnet -> Adware.Altnet : Erreur durant le nettoyage
HKLM\SOFTWARE\Altnet\Dashboard -> Adware.Altnet : Erreur durant le nettoyage
HKLM\SOFTWARE\Altnet\Dashboard\Messages -> Adware.Altnet : Erreur durant le nettoyage
:mozilla.21:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\4ye4kdne.default\cookies.txt -> TrackingCookie.Estat : Nettoyer et sauvegarder
:mozilla.39:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\4ye4kdne.default\cookies.txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

::Fin du rapport

Logfile of HijackThis v1.99.1
Scan saved at 11:18:08, on 19/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,SKEYS,userinit.exe,SKEYS /I
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

J'espère que les choses s'arrangent
encore merci

did71 · Answer

bonsoir, comment se comporte le pc?a+

bilibiou · Answer

Salut did71,
Mon pc se porte bien mieux, ewido n'annonce plus msclock32.dll. Apparemment il n'est plus là.
Par contre, j'ai toujours le compte à rebours (100 à 1) au lancement du pc puis le redémarrage se fait tout seul. Embêtant mais pas inquiétant?
Merci
A+

did71 · Answer

bonjour,

il est possible de stopper le compte à rebours et d'annuler le redémarrage automatique en procédant de la manière suivante : cliquez sur le bouton "Démarrer", sélectionnez "Exécuter...", entrez " shutdown -a " puis cliquez "Ok"

ensuite,passe un scan en ligne ici :

https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

poste le rapport kaspersky

a+

bilibiou · Answer

salut,J'ai fait ce que tu m'as dit,  par contre, j'ai essayé de télécharger kapersky, impossible; je lis:échec de chargement du contrôle active x.....Peut-on faire autrement?merci

did71 · Answer

re,

essaie un de ceux ci :

https://www.trendmicro.com/en_us/forHome/products/housecall.html
https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/activescan.asp
http://www.secuser.com/antivirus/
https://www.bitdefender.fr/

a+

bilibiou · Answer

j'ai ibien nstallé houseCall;il a detecté plusieurs grayware et les a tous supprimés excepté les 2 suivants:ADW_SE 52856ADW_SE 6680Je vais tenté de voir ce que je peux faire.a+

did71 · Answer

re,le pc rédémarre encore tout seul? a+

bilibiou · Answer

je n'ai pas éteind le poste depuis ce matin. Je te tiendrai au courant. Dès demain matin au démarrage, je verrai pour le compte à rebours.Merci pour tout et bonne nuit.

bilibiou · Answer

Bonjour,le compte à rebours est bien là.  Uniquement au démarrage.Pourrais-tu me dire pourquoi je ne peux plus lire sous mode sans échec: en effet, au bout de quelques secondes, les lettres deviennent floues. Impossible de travailler.Encore merci.

did71 · Answer

bonsoir, télécharger et lancer eScan:http://www.spywareinfo.dk/download/mwav.exe.. (pour un scan complet).. cocher la case "Drive".. sélectionner le bouton-radio "Scan All Files". cliquer sur le bouton "Scan Clean" (sous Action)Le scan dure un certain temps... efficace, eScan distingue plusieurs catégories dans les éléments douteux :.. "No action taken" pour des éléments qu'il reconnait finalement comme n'étant pas des virus.. "File renamed" pour des éléments douteux.. "File deleted" pour ceux qui ne méritent que çà !poste le rapport ensuitea+

bilibiou · Answer

Bonsoir,Faut-il que je joigne le rapport eScan, il fait 4580 ko?Il a détecté 4 virus pour lesquels il a précisé no action taken.Tiens-moi au courant.merci

did71 · Answer

bonsoir,indique seulement les no action takena+

green day · Answer

Salut Did ;-)excusez moi pour l'intrusion ...ça tombe bien, j'avais une ptite question à te poser : concernant une infection avec "Adware.NaviPromo " je peux donner la manip que tu m'avais passé la dernière fois sans rien changer, où est ce qu'il y a des "choses" modifiables selon les cas ( comme la presence où non de certains fichiers ... ) merci ! ++

did71 · Answer

salut green day,le nom du exe est complétement aléatoire mais la manip reste la même pour toutes infections egdaccess!Si y a moyen de me joindre en pv(je ne sais pas trop sur CCM, je suis nouveau sur ce forum), demande moi!a+

bilibiou · Answer

salut, voici le rapport "no action taken".FilesC:\WINDOWS\system32\fthjdcyq.exe tagged as not a virus:Adware.Win32.NaviPromo.m No action taken(il apparait 2 fois)FilesC:\WINDOWS\system32\gamescape.Dialware.1.uninstall.exe tagged as not a virus.Win32 generic.No action taken(il apparait 2 fois)FileC:\killbox\dvelrkwtx.exe tagged as not virus:Adware.Win32.NaviPromo.m No action taken.A+merci

did71 · Answer

bonsoir,recherche et supprime en mode sans échec si nécessaire:C:\WINDOWS\system32\fthjdcyq.exe C:\WINDOWS\system32\gamescape.Dialware.1.uninstall.exe supprime killbox!a+

bilibiou · Answer

Salut did,j'ai tout supprimé. Je te remercie pour ton aide et ton efficacité.Si j'ai le moindre problème je reviendrai sur le forum pour bénéficier de tes compétences.A +               Bilibiou

[virus] msclock32.dll et compte à rebours.

30 réponses

Discussions similaires

Newsletters