Winantivirus 2006 encore..... Résolu/Fermé

Question

Tout d'abord bonjour tout le monde,Mon/mes problème/s est simple la pub pour Winantivirus2006,...Pour l'instant j'ai utilisée CCleaner, Avast, Spybot, Adaware,...Voila les résultat  de bitdefender, Ewido, Hijack,...BitDefender Online Scanner	Scan report generated at: Thu, Sep 14, 2006 - 12:24:30Scan path: C:\;D:\;	StatisticsTime	00:39:50Files	376389Folders	4341Boot Sectors	3Archives	3743Packed Files	39531	 	 ResultsIdentified Viruses	1Infected Files	2Suspect Files	0Warnings	0Disinfected	0Deleted Files	0	 	 Engines InfoVirus Definitions	454158Engine build	AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)Scan plugins	13Archive plugins	38Unpack plugins	6E-mail plugins	6System plugins	1	 	 Scan SettingsFirst Action	DisinfectSecond Action	DeleteHeuristics	YesEnable Warnings	YesScanned Extensions	*;Exclude Extensions	 Scan Emails	YesScan Archives	YesScan Packed	YesScan Files	YesScan Boot	Yes	 	  Scanned File	 StatusC:\WINDOWS\system32\issearch.exe	Infected with: Trojan.Downloader.Zlob.HALC:\WINDOWS\system32\issearch.exe	Disinfection failedC:\WINDOWS\system32\issearch.exe	Delete failedC:\WINDOWS\system32\ixt0.dll	Infected with: Trojan.Downloader.Zlob.HALC:\WINDOWS\system32\ixt0.dll	Disinfection failedC:\WINDOWS\system32\ixt0.dll	  Delete failed---------------------------------------------------------ewido anti-spyware - Scan Report--------------------------------------------------------- + Created at:	13:40:16 14.09.2006 + Scan result:	C:\Documents and Settings\spapa\Cookies\spapa@247realmedia[1].txt -> TrackingCookie.247realmedia : Cleaned.C:\Documents and Settings\spapa\Cookies\spapa@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned.C:\Documents and Settings\spapa\Cookies\spapa@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Cleaned.C:\Documents and Settings\spapa\Cookies\spapa@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Cleaned.::Report endLogfile of HijackThis v1.99.1Scan saved at 13:43:01, on 14.09.2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Symantec AntiVirus\DefWatch.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exeC:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exeC:\Program Files\Symantec AntiVirus\SavRoam.exeC:\WINDOWS\system32\svchost.exeC:\Program Files\Symantec AntiVirus\Rtvscan.exeC:\Program Files\RealVNC\VNC4\WinVNC4.exeC:\WINDOWS\system32\issearch.exeC:\WINDOWS\system32\hkcmd.exeC:\WINDOWS\system32\igfxpers.exeC:\Program Files\Analog Devices\Core\smax4pnp.exeC:\Program Files\Java\jre1.5.0_06\bin\jusched.exeC:\Program Files\CyberLink\PowerDVD\DVDLauncher.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\PROGRA~1\SYMANT~1\VPTray.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\iTunes\iTunesHelper.exeC:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exeC:\Program Files\iPod\bin\iPodService.exeC:\Program Files\Fichiers communs\Real\Update_OB\realsched.exeC:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exeC:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXEC:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXEC:\WINDOWS\explorer.exeC:\Program Files\ewido anti-spyware 4.0\guard.exeC:\Program Files\ewido anti-spyware 4.0\ewido.exeC:\WINDOWS\system32\issearch.exeC:\WINDOWS\system32\issearch.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXEC:\PROGRA~1\MOZILL~1\FIREFOX.EXEC:\Documents and Settings\spapa\Bureau\Sam\Anti-virus,\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/fr-frR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearch.myway.com/jsp/dellsidebar.jsp?p=DRR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.broadcom.com/support/security-centerR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/fr-frR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dell.com/fr-frR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dllO3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dllO4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exeO4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exeO4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exeO4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exeO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exeO4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exeO4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckRegO4 - HKLM\..\Run: [PMCS] "C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe" -host -clearDebugO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorunO4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logonO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osbootO4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimizedO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exeO4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exeO9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exeO9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site....O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SCHUWEY.LOCALO17 - HKLM\Software\..\Telephony: DomainName = SCHUWEY.LOCALO17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SCHUWEY.LOCALO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exeO23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exeO23 - Service: MSSQL$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe" -sMICROSOFTSMLBIZ (file missing)O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeO23 - Service: SQLAgent$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlagent.EXE" -i MICROSOFTSMLBIZ (file missing)O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exeO23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)Voila j'espere que vous pourrez me venir en aide A bientôt

^^Marie^^ · Answer

Salut Telecharge la derniere version stp http://siri.urz.free.fr/Fix/SmitfraudFix.zip Télécharge ceci: (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.zip Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport Copie/colle le sur le poste stp. ---------------------------------------------------------------------------- Démarre en mode sans échec : Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! (Si F8 ne marche pas utilise la touche F5). ---------------------------------------------------------------------------- Relance le programme Smitfraud, Cette fois choisit l’option 2, répond oui a tous ; Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum========================================Refais un HitjackthisA++

Whitelibra · Answer

Merci de ta réponse Alors voila les résultats:SmitFraudFix v2.87Rapport fait à 15:33:07.30, 14.09.2006Executé à partir de C:\Documents and Settings\spapa\Bureau\Siri\SmitfraudFixOS: Microsoft Windows XP [version 5.1.2600] - Windows_NTFix executé en mode normal»»»»»»»»»»»»»»»»»»»»»»»» C:\»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32C:\WINDOWS\system32\issearch.exe PRESENT !C:\WINDOWS\system32\ixt?.dll PRESENT !C:\WINDOWS\system32\ixt??.dll PRESENT !C:\WINDOWS\system32\ot.ico PRESENT !»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\spapa\Application Data»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\spapa\FavorisC:\DOCUME~1\spapa\Favoris\Antivirus Test Online.url PRESENT !»»»»»»»»»»»»»»»»»»»»»»»» Bureau»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]"Source"="About:Home""SubscribedURL"="About:Home""FriendlyName"="Ma page d'accueil" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!SrchSTS.exe by S!RiSearch SharedTaskScheduler's .dll[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]"incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}"»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs!!!Attention, les clés qui suivent ne sont pas forcément infectées!!![HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]"AppInit_DLLs"=""»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll»»»»»»»»»»»»»»»»»»»»»»»» FinSmitFraudFix v2.87Rapport fait à 15:40:38.34, 14.09.2006Executé à partir de C:\Documents and Settings\spapa\Bureau\Siri\SmitfraudFixOS: Microsoft Windows XP [version 5.1.2600] - Windows_NTFix executé en mode sans echec»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!SrchSTS.exe by S!RiSearch SharedTaskScheduler's .dll[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]"incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}"»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos FixGenericRenosFix by S!Ri»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectésC:\WINDOWS\system32\issearch.exe suppriméC:\WINDOWS\system32\ixt?.dll suppriméC:\WINDOWS\system32\ot.ico suppriméC:\DOCUME~1\spapa\Favoris\Antivirus Test Online.url supprimé»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre Nettoyage terminé.  »»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!SrchSTS.exe by S!RiSearch SharedTaskScheduler's .dll»»»»»»»»»»»»»»»»»»»»»»»» Finet pour finirLogfile of HijackThis v1.99.1Scan saved at 15:47:10, on 14.09.2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Symantec AntiVirus\DefWatch.exeC:\Program Files\ewido anti-spyware 4.0\guard.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exeC:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exeC:\Program Files\Symantec AntiVirus\SavRoam.exeC:\WINDOWS\system32\svchost.exeC:\Program Files\Symantec AntiVirus\Rtvscan.exeC:\Program Files\RealVNC\VNC4\WinVNC4.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\hkcmd.exeC:\WINDOWS\system32\igfxpers.exeC:\Program Files\Analog Devices\Core\smax4pnp.exeC:\Program Files\Java\jre1.5.0_06\bin\jusched.exeC:\Program Files\CyberLink\PowerDVD\DVDLauncher.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\PROGRA~1\SYMANT~1\VPTray.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\iTunes\iTunesHelper.exeC:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exeC:\Program Files\iPod\bin\iPodService.exeC:\Program Files\Fichiers communs\Real\Update_OB\realsched.exeC:\Program Files\ewido anti-spyware 4.0\ewido.exeC:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exeC:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exeC:\WINDOWS\system32\wuauclt.exeC:\Program Files\Mozilla Firefox\firefox.exeC:\Documents and Settings\spapa\Bureau\Sam\Anti-virus,\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearch.myway.com/jsp/dellsidebar.jsp?p=DRR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dllO3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dllO4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exeO4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exeO4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exeO4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exeO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exeO4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exeO4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckRegO4 - HKLM\..\Run: [PMCS] "C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe" -host -clearDebugO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorunO4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logonO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osbootO4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimizedO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exeO4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exeO9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exeO9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site....O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SCHUWEY.LOCALO17 - HKLM\Software\..\Telephony: DomainName = SCHUWEY.LOCALO17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SCHUWEY.LOCALO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exeO23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exeO23 - Service: MSSQL$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe" -sMICROSOFTSMLBIZ (file missing)O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeO23 - Service: SQLAgent$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlagent.EXE" -i MICROSOFTSMLBIZ (file missing)O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exeO23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)Voila a bientôt pour la suite (vu qu'elle arrete pas de revenir cette pub...si j'achete le soft ca sârrete mdr)

^^Marie^^ · Answer

Slt,Où en sont tes soucis A++

Kristopher · Answer

Coucou Marie,Comme tu me demandes beaucoup de conseils dernièrement, je me permets de t'en donner certains directement sur ce topique.Figurant dans le log HT, cette ligne est primordiale :R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dllElle signifie que le logiciel nocif MyWaySA est installé sur le PC.Tu demandes à la personne de faire ceci :Lance le logiciel HijackThis et clique sur "Open the Misc Tools section" -> "Open Uninstall Manager... " et clique sur "Save list" puis fais un copier/coller sur le forum.Et tu vérifies que MyWaySA est bien installé. Si c'est le cas, il faut le désinstaller via Ajout/Suppression de programmes. Par la même occasion, tu repères les autres programmes potentiellement dangereux et tu les fait désinstaller.Et enfin tu fais fixer la ligne R3 précédemment citée.Pour vérifier Whitelibra fais également ceci :- Scanne ton PC avec cet antispyware en ligne : https://www.trendmicro.com/en_us/forHome/products/housecall.html Clique sur "I Accept" et patiente un peu…Ensuite, clique sur "Start Scan"À la fin du scan "Scan Results" -> "Clean Threats Now"

Whitelibra · Answer

Bonjour,petite question, quand je fais save list dans l'option "open uninstall manager" ou il enregistre cette liste??My way SA je viens de le desinstall,mais avant de continuer j' aimerais vous montrer cette liste.Merci a bientôt

Whitelibra · Answer

Alors My way Sa efface ensuite j'ai scanner mon PC avec le anti-spyware citer plus haut par Kris (2 fois).Logfile of HijackThis v1.99.1Scan saved at 11:54:59, on 15.09.2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Symantec AntiVirus\DefWatch.exeC:\Program Files\ewido anti-spyware 4.0\guard.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exeC:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exeC:\Program Files\Symantec AntiVirus\SavRoam.exeC:\WINDOWS\system32\svchost.exeC:\Program Files\Symantec AntiVirus\Rtvscan.exeC:\Program Files\RealVNC\VNC4\WinVNC4.exeC:\WINDOWS\system32\hkcmd.exeC:\WINDOWS\system32\igfxpers.exeC:\Program Files\Analog Devices\Core\smax4pnp.exeC:\Program Files\Java\jre1.5.0_06\bin\jusched.exeC:\Program Files\CyberLink\PowerDVD\DVDLauncher.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\PROGRA~1\SYMANT~1\VPTray.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\iTunes\iTunesHelper.exeC:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exeC:\Program Files\iPod\bin\iPodService.exeC:\WINDOWS\system32\mobsync.exeC:\Program Files\Fichiers communs\Real\Update_OB\realsched.exeC:\Program Files\ewido anti-spyware 4.0\ewido.exeC:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXEC:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXEC:\WINDOWS\explorer.exeC:\Documents and Settings\spapa\Bureau\Sam\Anti-virus,\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dllO4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exeO4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exeO4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exeO4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exeO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exeO4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exeO4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckRegO4 - HKLM\..\Run: [PMCS] "C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe" -host -clearDebugO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorunO4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logonO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osbootO4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimizedO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exeO4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exeO9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exeO9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site....O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cabO17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SCHUWEY.LOCALO17 - HKLM\Software\..\Telephony: DomainName = SCHUWEY.LOCALO17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SCHUWEY.LOCALO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exeO23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exeO23 - Service: MSSQL$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe" -sMICROSOFTSMLBIZ (file missing)O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeO23 - Service: SQLAgent$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlagent.EXE" -i MICROSOFTSMLBIZ (file missing)O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exeO23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)Merci a bientot

^^Marie^^ · Answer

Slt,Tu te connectes d'ou ??? ==> Domain = SCHUWEY.LOCAL  ???

Whitelibra · Answer

Salut,c'est un nom propre ^^ rien de bien mechant en principe.a+

Kristopher · Answer

Salut,- Pour la liste, elle est enregistrée là où tu as choisi auparavant mdr- Quand tu as scanné ton PC avec l'antispyware en ligne, tu as désinfecté la première fois et la deuxième fois c'était pour vérifier qu'il ne restait plus aucun spyware ?- Et enfin quel est ton firewall ?

Whitelibra · Answer

lol ben il faudrais deja qu'il me laisse choisir ou enregistre la liste^^ des que je clique sur "save list" Hijack se ferme.....oui j'ai scanner deux fois juste pour verifierMon firewall?, je sais pas comment je fais pour savoir son nom...je vous mets le dernier hijack d'aujourd'hui parce que j'ai l'impression que les virus reviennent me hantée plus souvent la.Logfile of HijackThis v1.99.1Scan saved at 14:15:45, on 16.09.2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Symantec AntiVirus\DefWatch.exeC:\Program Files\ewido anti-spyware 4.0\guard.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exeC:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exeC:\Program Files\Symantec AntiVirus\SavRoam.exeC:\WINDOWS\system32\svchost.exeC:\Program Files\Symantec AntiVirus\Rtvscan.exeC:\Program Files\RealVNC\VNC4\WinVNC4.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\hkcmd.exeC:\WINDOWS\system32\igfxpers.exeC:\Program Files\Analog Devices\Core\smax4pnp.exeC:\Program Files\Java\jre1.5.0_06\bin\jusched.exeC:\Program Files\CyberLink\PowerDVD\DVDLauncher.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\PROGRA~1\SYMANT~1\VPTray.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\iTunes\iTunesHelper.exeC:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exeC:\Program Files\iPod\bin\iPodService.exeC:\Program Files\ewido anti-spyware 4.0\ewido.exeC:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXEC:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXEC:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exeC:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXET:\ETAWCHW\AWCHW32.EXEC:\Documents and Settings\spapa\Bureau\Sam\Anti-virus,\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ch/?gws_rd=sslR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dllO4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exeO4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exeO4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exeO4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exeO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exeO4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exeO4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckRegO4 - HKLM\..\Run: [PMCS] "C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe" -host -clearDebugO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorunO4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logonO4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimizedO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exeO4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exeO9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exeO9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site....O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cabO17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SCHUWEY.LOCALO17 - HKLM\Software\..\Telephony: DomainName = SCHUWEY.LOCALO17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SCHUWEY.LOCALO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exeO23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exeO23 - Service: MSSQL$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe" -sMICROSOFTSMLBIZ (file missing)O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeO23 - Service: SQLAgent$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlagent.EXE" -i MICROSOFTSMLBIZ (file missing)O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exeO23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)Bon week-end a bientôt

Kristopher · Answer

HelloTélécharge absolument un firewall. Par exemple, Sunbelt Kerio Personal Firewall : https://www.01net.com/telecharger/windows/Securite/firewall/fiches/22418.html   Tutorial là : https://forums.cnetfrance.fr Et précise tes soucis, s'ils en restent ;)

Whitelibra · Answer

Bonjour,Voila j'aii télécharger le firewall comme tu me l'as conseillé, par contre je peux l'installer meme si je suis en reseau ici?Mes problèmes sont le suivants-fenetres winantivirus 2006 qui apparais mais rarement-fenetres systeme doctor qui elles se font de plus en plus insistantes.Je vous mets le nouveau hijack de ce matin, je mets des lignes en gras qui me paraissent bizarres est-ce que j'ai bien raison ou j'ai rien compris ^^ ?Logfile of HijackThis v1.99.1Scan saved at 11:51:25, on 18.09.2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Symantec AntiVirus\DefWatch.exeC:\Program Files\ewido anti-spyware 4.0\guard.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exeC:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exeC:\Program Files\Symantec AntiVirus\SavRoam.exeC:\WINDOWS\system32\svchost.exeC:\Program Files\Symantec AntiVirus\Rtvscan.exeC:\Program Files\RealVNC\VNC4\WinVNC4.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\hkcmd.exeC:\WINDOWS\system32\igfxpers.exeC:\Program Files\Analog Devices\Core\smax4pnp.exeC:\Program Files\Java\jre1.5.0_06\bin\jusched.exeC:\Program Files\CyberLink\PowerDVD\DVDLauncher.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\PROGRA~1\SYMANT~1\VPTray.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\iTunes\iTunesHelper.exeC:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exeC:\Program Files\iPod\bin\iPodService.exeC:\Program Files\ewido anti-spyware 4.0\ewido.exeC:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\WINDOWS\NOTEPAD.EXEC:\Documents and Settings\spapa\Bureau\Sam\Anti-virus,\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ch/?gws_rd=sslR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dllO4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exeO4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exeO4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exeO4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exeO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exeO4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exeO4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckRegO4 - HKLM\..\Run: [PMCS] "C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe" -host -clearDebugO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorunO4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logonO4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimizedO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exeO4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exeO9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exeO9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site....O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cabO17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SCHUWEY.LOCALO17 - HKLM\Software\..\Telephony: DomainName = SCHUWEY.LOCALO17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SCHUWEY.LOCALO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exeO23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exeO23 - Service: MSSQL$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe" -sMICROSOFTSMLBIZ (file missing)O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeO23 - Service: SQLAgent$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlagent.EXE" -i MICROSOFTSMLBIZ (file missing)O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exeO23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Whitelibra · Answer

Binjour, je suis de retour apres un moment de vacances :-)

Je me permets de remettre un Hijack parce que la je sais plus quoi faire, les fenêtres Winantivirus/systeme doctor, reviennent tout le temps.........


Logfile of HijackThis v1.99.1
Scan saved at 14:04:59, on 11.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\spapa\Bureau\Sam\Anti-virus,\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ch/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O3 - Toolbar: libellules.ch Toolbar - {091ded08-c3e0-40cf-99dd-cb89148d3940} - C:\Program Files\libellules.ch	blibe.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Program Files\Trend Micro\Tmas\Tmas.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - https://www.f-secure.com/en/home/support
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = (Chamger par moi-même)
O17 - HKLM\Software\..\Telephony: DomainName = (changer par moi-même)
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = (changer par moi-même)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MSSQL$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe" -sMICROSOFTSMLBIZ (file missing)
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SQLAgent$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlagent.EXE" -i MICROSOFTSMLBIZ (file missing)
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Merci d'avance pour tout

Whitelibra · Answer

Petite precision pour le post précédent

J'ai oublier de dire que Firefox se ferme apres env 30 secondes, donc obliger d'utiliser IE, est que ca peux aider cette informations....

Merci

bye bye

^^Marie^^ · Answer

Salut,

Télécharge Blacklight(de F-Secure) a l’une des 2 adresses : 
https://www.f-secure.com/en 
https://www.f-secure.com/en 

et sauvegarde le sur ton Bureau. 

Double-clique blbeta.exeet accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).


A++

Whitelibra · Answer

Salut Marie,

alors j'ai fais ceux que tu m'as demandé.

Le seul rapport qu'i la crée est celui-ci:

10/11/06 17:42:56 [Info]: BlackLight Engine 1.0.47 initialized
10/11/06 17:42:56 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/11/06 17:42:56 [Note]: 7019 4
10/11/06 17:42:56 [Note]: 7005 0
10/11/06 17:43:01 [Note]: 7006 0
10/11/06 17:43:01 [Note]: 7011 2684
10/11/06 17:43:01 [Note]: 7026 0
10/11/06 17:43:01 [Note]: 7026 0
10/11/06 17:43:05 [Note]: FSRAW library version 1.7.1020
10/11/06 17:45:23 [Note]: 2000 1012
10/11/06 17:45:23 [Note]: 2000 1012
10/11/06 17:46:57 [Note]: 7007 0

Apres le scan il me dis qu'il ne  trouve rien............j'ai essaie deux fois pour en etre sur

Voila ^^

Merci

Kristopher · Answer

Bonsoir,

Tu ferais mieux d'installer un firewall, comme je te l'avais conseillé !

Qc001 · Answer

Bonne soirée tous/toutes ;

Whitelibra : une petite manip toute simple qui pourrait démasquer cette bestiole, si tu me permets :

Va dans ton dossier Anti-virus (sur ton Bureau), et fais un clic droit sur l'icône de HijackThis et choisis Renommer. Renomme le fichier en scan.exe et valide avec [Entrée].

Refais un scan avec HijackThis! (maintenant nommé scan.exe) et poste le rapport stp. Nous pourrions voir Vundo apparaître...

Kristopher · Answer

Merci pour ce complément d'information Qc001 :)

Bonne nuit à tous.

Whitelibra · Answer

Bonjour,

J'ai éffectué les manips que vous m'avez indiquée et voila le resultat.....


Logfile of HijackThis v1.99.1
Scan saved at 08:59:34, on 13.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\spapa\Bureau\Anti-virus\scan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ch/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - C:\WINDOWS\system32tjrywnl.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll (file missing)
O2 - BHO: (no name) - {ADB99A71-01F7-4778-BF45-58CDFD2EF87F} - C:\WINDOWS\system32\vtsqn.dll
O3 - Toolbar: libellules.ch Toolbar - {091ded08-c3e0-40cf-99dd-cb89148d3940} - C:\Program Files\libellules.ch	blibe.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Program Files\Trend Micro\Tmas\Tmas.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - https://www.f-secure.com/en/home/support
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SCHUWEY.LOCAL
O17 - HKLM\Software\..\Telephony: DomainName = SCHUWEY.LOCAL
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SCHUWEY.LOCAL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: vtsqn - C:\WINDOWS\system32\vtsqn.dll
O20 - Winlogon Notify: winkgv32 - winkgv32.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: MSSQL$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe" -sMICROSOFTSMLBIZ (file missing)
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SQLAgent$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlagent.EXE" -i MICROSOFTSMLBIZ (file missing)
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Merci a bientôt

Lyonnais92 · Answer

Bonjour


Télécharge VundoFix.exe (par Atribune) sur ton Bureau. 
http://www.atribune.org/ccount/click.php?id=4 
Double-clique VundoFix.exe afin de le lancer. 
Coche Run VundoFix as a task. 
Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok 
Clique sur le bouton Scan for Vundo. 
Lorsque le scan est complété, clique sur le bouton Remove Vundo. 
Une invite te demandera si tu veux supprimer les fichiers, clique YES 
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK 
Démarre ton PC à nouveau. 

Ensuite, 

Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

Si tu vois des lignes avec présent!, tu continues de cette manière :
----------------------------------------------------------------------------
Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5).  
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal.


Tu copies/colles, dans l'ordre :
 - le contenu du rapport situé dans C:\vundofix.txt 
 - le contenu du premier rapport de smitfarudfix (en mose normal,
 - le contenu ( le acs échéant) dus econd rapport de smitfraud fix
 ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Tu nous dit où en sont tes problèmes.

Bon courage.

afideg · Answer

Bonjour à tous,

Bonjour Whitelibra ,

Peux-tu ajouter ceci, à ce que Lyonnais92 te demandait :
( Je voudrais vérifier quelquechose ) Merci.

Peux-tu contrôler ces fichiers à l'aide de VirusTotal ?
Pour cela, vas là :< www.virustotal.com/en/virustotalx.html >
•- sur la page qui s'affiche tu cliques sur "parcourir"
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin des fichiers ( que Virustotal va analyser un par un, à ta demande; puisque tu devras recommencer la procédure "parcourir", fichier par fichier ) )
•- c'est-à-dire :
	C:\WINDOWS\SYSTEM32\igfxdev.dll  
	C:\WINDOWS\system32\NavLogon.dll
	C:\WINDOWS\system32\vtsqn.dll 
	C:\WINDOWS\system32tjrywnl.dll
	C:\Program Files\libellules.ch	blibe.dll   
•- quand tu as trouvé le fichier, tu fais "ouvrir" ( sur cette dernière page affichée) 
•-  le fichier se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse 
•-  là, tu cliques sur "send" ( au-dessus, à droite de la page de Virustotal )
•- et tu attends le résultat ( sois patiente )
•- que tu postes sur le forum
DONC, tu refais la manipulation fichier par fichier.

Merci pour ta collaboration
( si possible, fais ça avant le reste; merci )
Bon courage.

Whitelibra · Answer

Re Bonjour 

Alors je vais commencer par les premières manip. que j'ai effectué

 Vundo:

C:\WINDOWS\system32tjrywnl.dll
C:\WINDOWS\system32\vtsqn.dll
C:\WINDOWS\system32
qstv.ini
C:\WINDOWS\system32
qstv.bak1
C:\WINDOWS\system32
qstv.bak2
C:\WINDOWS\system32
qstv.ini2
C:\WINDOWS\system32
qstv.tmp
C:\WINDOWS\system32\vtsqn.dll

Smitfraudfix:

SmitFraudFix v2.109

Rapport fait à 11:59:32.66, 13.10.2006
Executé à partir de C:\Documents and Settings\spapa\Bureau\Anti-virus\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\spapa


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\spapa\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\spapa\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

HIjack:

Logfile of HijackThis v1.99.1
Scan saved at 13:25:39, on 13.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\spapa\Bureau\Anti-virus\scan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.ch/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - C:\WINDOWS\system32tjrywnl.dll
O2 - BHO: (no name) - {1EB76154-A71B-415A-8F67-0B2526F7EB0E} - C:\WINDOWS\system32\vtsqn.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll (file missing)
O3 - Toolbar: libellules.ch Toolbar - {091ded08-c3e0-40cf-99dd-cb89148d3940} - C:\Program Files\libellules.ch	blibe.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Program Files\Trend Micro\Tmas\Tmas.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - support.f-secure.com/ols/fscax.cab
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - www.trendmicro.com/spyware-scan/as4web.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SCHUWEY.LOCAL
O17 - HKLM\Software\..\Telephony: DomainName = SCHUWEY.LOCAL
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SCHUWEY.LOCAL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: vtsqn - C:\WINDOWS\system32\vtsqn.dll
O20 - Winlogon Notify: winkgv32 - winkgv32.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: MSSQL$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe" -sMICROSOFTSMLBIZ (file missing)
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SQLAgent$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlagent.EXE" -i MICROSOFTSMLBIZ (file missing)
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

voila je fais un autre post pour répondre à afideg histoire, j'espere, que ca reste plus clair

Whitelibra · Answer

@ afideg j'ai fais ce que tu m'as demandé mais apres le reste désolé...... Voici les résultat: STATUS: FINISHEDComplete scanning result of "igfxdev.dll", received in VirusTotal at 10.13.2006, 13:46:53 (CET). Antivirus Version Update Result AntiVir 7.2.0.30 10.13.2006 no virus found Authentium 4.93.8 10.13.2006 no virus found Avast 4.7.892.0 10.13.2006 no virus found AVG 386 10.13.2006 no virus found BitDefender 7.2 10.13.2006 no virus found CAT-QuickHeal 8.00 10.12.2006 no virus found ClamAV devel-20060426 10.12.2006 no virus found DrWeb 4.33 10.13.2006 no virus found eTrust-InoculateIT 23.73.21 10.12.2006 no virus found eTrust-Vet 30.3.3131 10.13.2006 no virus found Ewido 4.0 10.13.2006 no virus found Fortinet 2.82.0.0 10.13.2006 no virus found F-Prot 3.16f 10.12.2006 no virus found F-Prot4 4.2.1.29 10.13.2006 no virus found Ikarus 0.2.65.0 10.13.2006 no virus found Kaspersky 4.0.2.24 10.13.2006 no virus found McAfee 4872 10.12.2006 no virus found Microsoft 1.1603 10.13.2006 no virus found NOD32v2 1.1802 10.13.2006 no virus found Norman 5.80.02 10.13.2006 no virus found Panda 9.0.0.4 10.12.2006 no virus found Sophos 4.10.0 10.13.2006 no virus found TheHacker 6.0.1.097 10.13.2006 no virus found UNA 1.83 10.12.2006 no virus found VBA32 3.11.1 10.12.2006 no virus found VirusBuster 4.3.7:9 10.12.2006 no virus found Aditional Information File size: 135168 bytes MD5: 09dc1f2a2293e5536fe31d23af3e8c05 SHA1: eec5300b6bcba8989a221cfd34fe91a8614af837 ---------------------------------------------------------------------------- STATUS: FINISHEDComplete scanning result of "NavLogon.dll", received in VirusTotal at 10.13.2006, 13:52:10 (CET). Antivirus Version Update Result AntiVir 7.2.0.30 10.13.2006 no virus found Authentium 4.93.8 10.13.2006 no virus found Avast 4.7.892.0 10.13.2006 no virus found AVG 386 10.13.2006 no virus found BitDefender 7.2 10.13.2006 no virus found CAT-QuickHeal 8.00 10.12.2006 no virus found ClamAV devel-20060426 10.12.2006 no virus found DrWeb 4.33 10.13.2006 no virus found eTrust-InoculateIT 23.73.21 10.12.2006 no virus found eTrust-Vet 30.3.3131 10.13.2006 no virus found Ewido 4.0 10.13.2006 no virus found Fortinet 2.82.0.0 10.13.2006 no virus found F-Prot 3.16f 10.12.2006 no virus found F-Prot4 4.2.1.29 10.13.2006 no virus found Ikarus 0.2.65.0 10.13.2006 no virus found Kaspersky 4.0.2.24 10.13.2006 no virus found McAfee 4872 10.12.2006 no virus found Microsoft 1.1603 10.13.2006 no virus found NOD32v2 1.1802 10.13.2006 no virus found Norman 5.80.02 10.13.2006 no virus found Panda 9.0.0.4 10.12.2006 no virus found Sophos 4.10.0 10.13.2006 no virus found TheHacker 6.0.1.097 10.13.2006 no virus found UNA 1.83 10.12.2006 no virus found VBA32 3.11.1 10.12.2006 no virus found VirusBuster 4.3.7:9 10.12.2006 no virus found Aditional Information File size: 43616 bytes MD5: 86b43f7cfde29178dac9ee23fcb9916d SHA1: 48416da65ec1258466c09b26119d1b54c0beedb3 ---------------------------------------------------------------------------- STATUS: FINISHEDComplete scanning result of "vtsqn.dll", received in VirusTotal at 10.13.2006, 13:56:50 (CET). Antivirus Version Update Result AntiVir 7.2.0.30 10.13.2006 TR/Vundo.Gen Authentium 4.93.8 10.13.2006 no virus found Avast 4.7.892.0 10.13.2006 no virus found AVG 386 10.13.2006 no virus found BitDefender 7.2 10.13.2006 no virus found CAT-QuickHeal 8.00 10.12.2006 no virus found ClamAV devel-20060426 10.12.2006 no virus found DrWeb 4.33 10.13.2006 Trojan.Virtumod eTrust-InoculateIT 23.73.21 10.12.2006 no virus found eTrust-Vet 30.3.3131 10.13.2006 Win32/Vundo Ewido 4.0 10.13.2006 no virus found Fortinet 2.82.0.0 10.13.2006 suspicious F-Prot 3.16f 10.12.2006 no virus found F-Prot4 4.2.1.29 10.13.2006 no virus found Ikarus 0.2.65.0 10.13.2006 no virus found Kaspersky 4.0.2.24 10.13.2006 no virus found McAfee 4872 10.12.2006 Vundo Microsoft 1.1603 10.13.2006 no virus found NOD32v2 1.1802 10.13.2006 no virus found Norman 5.80.02 10.13.2006 W32/Vundo.gen1 Panda 9.0.0.4 10.12.2006 Suspicious file Sophos 4.10.0 10.13.2006 no virus found TheHacker 6.0.1.097 10.13.2006 no virus found UNA 1.83 10.12.2006 no virus found VBA32 3.11.1 10.12.2006 no virus found VirusBuster 4.3.7:9 10.12.2006 no virus found ---------------------------------------------------------------------------- STATUS: FINISHEDComplete scanning result of "rtjrywnl.dll", received in VirusTotal at 10.13.2006, 14:01:53 (CET). Antivirus Version Update Result AntiVir 7.2.0.30 10.13.2006 HEUR/Crypted Authentium 4.93.8 10.13.2006 no virus found Avast 4.7.892.0 10.13.2006 no virus found AVG 386 10.13.2006 no virus found BitDefender 7.2 10.13.2006 no virus found CAT-QuickHeal 8.00 10.12.2006 no virus found ClamAV devel-20060426 10.12.2006 no virus found DrWeb 4.33 10.13.2006 Trojan.Virtumod eTrust-InoculateIT 23.73.21 10.12.2006 no virus found eTrust-Vet 30.3.3131 10.13.2006 no virus found Ewido 4.0 10.13.2006 no virus found Fortinet 2.82.0.0 10.13.2006 suspicious F-Prot 3.16f 10.12.2006 no virus found F-Prot4 4.2.1.29 10.13.2006 no virus found Ikarus 0.2.65.0 10.13.2006 no virus found Kaspersky 4.0.2.24 10.13.2006 no virus found McAfee 4872 10.12.2006 no virus found Microsoft 1.1603 10.13.2006 no virus found NOD32v2 1.1802 10.13.2006 no virus found Norman 5.80.02 10.13.2006 W32/Vundo.gen1 Sophos 4.10.0 10.13.2006 no virus found TheHacker 6.0.1.097 10.13.2006 no virus found UNA 1.83 10.12.2006 no virus found VBA32 3.11.1 10.12.2006 no virus found VirusBuster 4.3.7:9 10.12.2006 no virus found ---------------------------------------------------------------------------- STATUS: FINISHEDComplete scanning result of "rtjrywnl.dll", received in VirusTotal at 10.13.2006, 14:01:53 (CET). Antivirus Version Update Result AntiVir 7.2.0.30 10.13.2006 HEUR/Crypted Authentium 4.93.8 10.13.2006 no virus found Avast 4.7.892.0 10.13.2006 no virus found AVG 386 10.13.2006 no virus found BitDefender 7.2 10.13.2006 no virus found CAT-QuickHeal 8.00 10.12.2006 no virus found ClamAV devel-20060426 10.12.2006 no virus found DrWeb 4.33 10.13.2006 Trojan.Virtumod eTrust-InoculateIT 23.73.21 10.12.2006 no virus found eTrust-Vet 30.3.3131 10.13.2006 no virus found Ewido 4.0 10.13.2006 no virus found Fortinet 2.82.0.0 10.13.2006 suspicious F-Prot 3.16f 10.12.2006 no virus found F-Prot4 4.2.1.29 10.13.2006 no virus found Ikarus 0.2.65.0 10.13.2006 no virus found Kaspersky 4.0.2.24 10.13.2006 no virus found McAfee 4872 10.12.2006 no virus found Microsoft 1.1603 10.13.2006 no virus found NOD32v2 1.1802 10.13.2006 no virus found Norman 5.80.02 10.13.2006 W32/Vundo.gen1 Sophos 4.10.0 10.13.2006 no virus found TheHacker 6.0.1.097 10.13.2006 no virus found UNA 1.83 10.12.2006 no virus found VBA32 3.11.1 10.12.2006 no virus found VirusBuster 4.3.7:9 10.12.2006 no virus found ---------------------------------------------------------------------------- Le firewall que j'ai installe me bloque ce qui suit et la fenetre ne s'enleve plus........ Détails techniques sur l'intrusion : Application injectrice : (new line) Description : (new line) Version du fichier : (new line) Produit : (new line) Version du produit : (new line) Créé le : N/A(new line) Modifié le : N/A(new line) Dernier accès le : N/A Application cible : \??\C:\WINDOWS\system32\winlogon.exe(new line) Description : winlogon(new line) Version du fichier : (new line) Produit : (new line) Version du produit : (new line) Créé le : N/A(new line) Modifié le : N/A(new line) Dernier accès le : N/A Adresse de l'injection : 0x7C801D77 Voila, merci de votre patience a bientôt

afideg · Answer

Bonjour,
Si tu le peux, fais ceci après redémarrage de ton PC:

1°- Relance un Scan HijackThis, et fixe les lignes suivantes:
O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - C:\WINDOWS\system32\rtjrywnl.dll ?
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll (file missing) 
O2 - BHO: (no name) - {ADB99A71-01F7-4778-BF45-58CDFD2EF87F} - C:\WINDOWS\system32\vtsqn.dll 
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe 
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe 
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O20 - Winlogon Notify: vtsqn - C:\WINDOWS\system32\vtsqn.dll 
O20 - Winlogon Notify: winkgv32 - winkgv32.dll (file missing) 

2°- Ensuite poursuis avec ceci:

• Affiche les fichiers cachés ( Démarrer>Panneau de Configuration>Options des Dossiers>Onglet Affichage>
 -coche la case "afficher les fichiers et dossiers cachés" et un peu plus bas sur cette page,
 -décoche la case "Masquer les extensions des fichiers dont le type est connu", 
 -et décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 
• Recherche et supprime ceci: Attention seulement le fichier (si présent). 
C:\WINDOWS\system32\vtsqn.dll 
C:\WINDOWS\system32\rtjrywnl.dll 
C:\WINDOWS\system32\ixt0.dll 

3°- Fais également un scan online ewido, ici : ( durée ± 30 minutes ) <  www.ewido.net/en/onlinescan/ >, tu devras peut-être accepter les actives X à la demande ( il y a une ligne à cliquer dessus ) . ´
À l'ouverture de la page, laisse accomplir la mise à jour du log.
Puis clic sur Scan now.
À la fin, tu "save the report" et tu cliques sur "remove infections" 
Copie/COLLE le rapport entier 

4°- Redémarre à nouveau le PC
5°- Termine par un scan HJT ==> poste le rapport

Merci

Whitelibra · Answer

salut 

cette ligne n'existe plus 

O2 - BHO: (no name) - {ADB99A71-01F7-4778-BF45-58CDFD2EF87F} - C:\WINDOWS\system32\vtsqn.dll 

a la place il y a celle-ci je peux la fixe?

O2 - BHO: (no name) - {1EB76154-A71B-415A-8F67-0B2526F7EB0E} - C:\WINDOWS\system32\vtsqn.dll

je voudrais pas faire une betise

Regis59 · Answer

Salut

1/

Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions. 
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis. 
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.

2/ relance smitfraudfix , option 1 et copie colle le rapport stp

a+

Lyonnais92 · Answer

Bonjour à tous,

J'avais vu que Vundofix n'avait pas totalement éradiqué vundo.

régis59, j'en profite, pourrais tu aller voir le cas de isabelle59135.

Merci.

Whitelibra · Answer

ok....... 

Alors je fixe quand même les ligne comme indiquée par afideg ou je télécharge le fichier maintenant ?

Je vous remets le dernier hijack pour etre sur qu'on regarde tous le même^^(j'utilise toujours celui que j'ai renommé)

Logfile of HijackThis v1.99.1
Scan saved at 16:35:34, on 13.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\spapa\Bureau\Anti-virus\scan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ch/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - C:\WINDOWS\system32tjrywnl.dll
O2 - BHO: (no name) - {47778C9B-D670-4E69-BA49-1E2AEFF44EEA} - C:\WINDOWS\system32\vtsqn.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll (file missing)
O3 - Toolbar: libellules.ch Toolbar - {091ded08-c3e0-40cf-99dd-cb89148d3940} - C:\Program Files\libellules.ch	blibe.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Program Files\Trend Micro\Tmas\Tmas.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - https://www.f-secure.com/en/home/support
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SCHUWEY.LOCAL
O17 - HKLM\Software\..\Telephony: DomainName = SCHUWEY.LOCAL
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SCHUWEY.LOCAL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: vtsqn - C:\WINDOWS\system32\vtsqn.dll
O20 - Winlogon Notify: winkgv32 - winkgv32.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: MSSQL$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe" -sMICROSOFTSMLBIZ (file missing)
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SQLAgent$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlagent.EXE" -i MICROSOFTSMLBIZ (file missing)
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Désolé mais je me suis un peu perdu la 

Merci

Regis59 · Answer

Salut afideg,

Y a pas de quoi :-)

Salut Lyonnais,

C'est fait ;-)

A+

Whitelibra · Answer

Me revoila^^

@afideg j'ai réussi a tout éffacé sauf un fichier qui ne veut rien savoir:

C:\windows\system32\vtsqn.dll

rapport Ewido:

__________________________________________________
ewido anti-spyware online scanner
	https://www.avg.com/en-us/free-antivirus-download
__________________________________________________


Name: TrackingCookie.247realmedia
Path: C:\Documents and Settings\spapa\Cookies\spapa@247realmedia[1].txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: C:\Documents and Settings\spapa\Cookies\spapa@ad.yieldmanager[2].txt
Risk: Medium

Name: TrackingCookie.Planetactive
Path: C:\Documents and Settings\spapa\Cookies\spapa@ads.planetactive[2].txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: C:\Documents and Settings\spapa\Cookies\spapa@adtech[2].txt
Risk: Medium

Name: TrackingCookie.Bluestreak
Path: C:\Documents and Settings\spapa\Cookies\spapa@bluestreak[1].txt
Risk: Medium

Name: TrackingCookie.Bluestreak
Path: C:\Documents and Settings\spapa\Cookies\spapa@bluestreak[2].txt
Risk: Medium

Name: TrackingCookie.Serving-sys
Path: C:\Documents and Settings\spapa\Cookies\spapa@bs.serving-sys[1].txt
Risk: Medium

Name: TrackingCookie.Cpvfeed
Path: C:\Documents and Settings\spapa\Cookies\spapa@cpvfeed[2].txt
Risk: Medium

Name: TrackingCookie.Findwhat
Path: C:\Documents and Settings\spapa\Cookies\spapa@findwhat[1].txt
Risk: Medium

Name: TrackingCookie.Overture
Path: C:\Documents and Settings\spapa\Cookies\spapa@perf.overture[1].txt
Risk: Medium

Name: TrackingCookie.Serving-sys
Path: C:\Documents and Settings\spapa\Cookies\spapa@serving-sys[2].txt
Risk: Medium

Name: TrackingCookie.Statcounter
Path: C:\Documents and Settings\spapa\Cookies\spapa@statcounter[1].txt
Risk: Medium

Name: TrackingCookie.Statcounter
Path: C:\Documents and Settings\spapa\Cookies\spapa@statcounter[3].txt
Risk: Medium

Name: TrackingCookie.Reliablestats
Path: C:\Documents and Settings\spapa\Cookies\spapa@stats1.reliablestats[1].txt
Risk: Medium

Name: TrackingCookie.Reliablestats
Path: C:\Documents and Settings\spapa\Cookies\spapa@stats1.reliablestats[2].txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: C:\Documents and Settings\spapa\Cookies\spapa@tradedoubler[1].txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: C:\Documents and Settings\spapa\Cookies\spapa@tradedoubler[2].txt
Risk: Medium

Name: TrackingCookie.Weborama
Path: C:\Documents and Settings\spapa\Cookies\spapa@weborama[2].txt
Risk: Medium

Name: TrackingCookie.Smartadserver
Path: C:\Documents and Settings\spapa\Cookies\spapa@www.smartadserver[2].txt
Risk: Medium

Name: TrackingCookie.Smartadserver
Path: C:\Documents and Settings\spapa\Cookies\spapa@www.smartadserver[3].txt
Risk: Medium

Name: Adware.Casino
Path: C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP101\A0010358.exe
Risk: Medium

Name: Adware.Casino
Path: C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP101\A0010369.exe
Risk: Medium

Name: Not-A-Virus.Downloader.Win32.WinFixer.l
Path: C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP101\A0010692.exe
Risk: Low

Name: Adware.Casino
Path: C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP101\A0010696.exe
Risk: Medium

@regis59


[10/13/2006, 17:41:20] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\spapa\Bureau\Sam\Anti-virus,\VirtumundoBeGone.exe" )
[10/13/2006, 17:41:27] - Detected System Information:
[10/13/2006, 17:41:27] -  Windows Version: 5.1.2600, Service Pack 2
[10/13/2006, 17:41:27] -  Current Username: spapa (Admin)
[10/13/2006, 17:41:27] -  Windows is in NORMAL mode.
[10/13/2006, 17:41:27] - Searching for Browser Helper Objects:
[10/13/2006, 17:41:27] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[10/13/2006, 17:41:27] -  BHO 2: {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} ()
[10/13/2006, 17:41:27] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/13/2006, 17:41:27] -  Checking for HKLM\...\Winlogon\Notify\bacrrdaf
[10/13/2006, 17:41:27] -  Key not found: HKLM\...\Winlogon\Notify\bacrrdaf, continuing.
[10/13/2006, 17:41:27] -  BHO 3: {47778C9B-D670-4E69-BA49-1E2AEFF44EEA} ()
[10/13/2006, 17:41:27] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/13/2006, 17:41:27] -  Checking for HKLM\...\Winlogon\Notify\vtsqn
[10/13/2006, 17:41:27] -  Found: HKLM\...\Winlogon\Notify\vtsqn - This is probably Virtumundo.
[10/13/2006, 17:41:27] -  Assigning {47778C9B-D670-4E69-BA49-1E2AEFF44EEA} MSEvents Object
[10/13/2006, 17:41:27] - BHO list has been changed! Starting over...
[10/13/2006, 17:41:27] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[10/13/2006, 17:41:27] -  BHO 2: {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} ()
[10/13/2006, 17:41:27] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/13/2006, 17:41:27] -  Checking for HKLM\...\Winlogon\Notify\bacrrdaf
[10/13/2006, 17:41:27] -  Key not found: HKLM\...\Winlogon\Notify\bacrrdaf, continuing.
[10/13/2006, 17:41:27] -  BHO 3: {47778C9B-D670-4E69-BA49-1E2AEFF44EEA} (MSEvents Object)
[10/13/2006, 17:41:27] - ALERT: Found MSEvents Object!
[10/13/2006, 17:41:27] -  BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
[10/13/2006, 17:41:27] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/13/2006, 17:41:27] -  Checking for HKLM\...\Winlogon\Notify\SDHelper
[10/13/2006, 17:41:27] -  Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[10/13/2006, 17:41:27] -  BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[10/13/2006, 17:41:27] - Finished Searching Browser Helper Objects
[10/13/2006, 17:41:27] - *** Detected MSEvents Object
[10/13/2006, 17:41:27] - Trying to remove MSEvents Object...
[10/13/2006, 17:41:28] -    Terminating Process: IEXPLORE.EXE
[10/13/2006, 17:41:29] -    Terminating Process: RUNDLL32.EXE
[10/13/2006, 17:41:29] -    Disabling Automatic Shell Restart
[10/13/2006, 17:41:29] -    Terminating Process: EXPLORER.EXE
[10/13/2006, 17:41:30] -    Suspending the NT Session Manager System Service
[10/13/2006, 17:41:30] -    Terminating Windows NT Logon/Logoff Manager
[10/13/2006, 17:41:30] -    Re-enabling Automatic Shell Restart
[10/13/2006, 17:41:30] -   File to disable: C:\WINDOWS\system32\vtsqn.dll
[10/13/2006, 17:41:30] -  Renaming C:\WINDOWS\system32\vtsqn.dll -> C:\WINDOWS\system32\vtsqn.dll.vir
[10/13/2006, 17:41:30] -  File successfully renamed!
[10/13/2006, 17:41:30] -   Removing HKLM\...\Browser Helper Objects\{47778C9B-D670-4E69-BA49-1E2AEFF44EEA}
[10/13/2006, 17:41:30] -   Removing HKCR\CLSID\{47778C9B-D670-4E69-BA49-1E2AEFF44EEA}
[10/13/2006, 17:41:30] -   Adding Kill Bit for ActiveX for GUID: {47778C9B-D670-4E69-BA49-1E2AEFF44EEA}
[10/13/2006, 17:41:30] -   Deleting ATLEvents/MSEvents Registry entries
[10/13/2006, 17:41:30] -   Removing HKLM\...\Winlogon\Notify\vtsqn
[10/13/2006, 17:41:30] - Searching for Browser Helper Objects:
[10/13/2006, 17:41:30] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[10/13/2006, 17:41:30] -  BHO 2: {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} ()
[10/13/2006, 17:41:30] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/13/2006, 17:41:30] -  Checking for HKLM\...\Winlogon\Notify\bacrrdaf
[10/13/2006, 17:41:30] -  Key not found: HKLM\...\Winlogon\Notify\bacrrdaf, continuing.
[10/13/2006, 17:41:30] -  BHO 3: {53707962-6F74-2D53-2644-206D7942484F} ()
[10/13/2006, 17:41:30] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/13/2006, 17:41:30] -  Checking for HKLM\...\Winlogon\Notify\SDHelper
[10/13/2006, 17:41:30] -  Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[10/13/2006, 17:41:30] -  BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[10/13/2006, 17:41:31] - Finished Searching Browser Helper Objects
[10/13/2006, 17:41:31] - Finishing up...
[10/13/2006, 17:41:31] - A restart is needed.
[10/13/2006, 17:41:31] - Automatic Reboot on STOP Error is not set. User will have to manually restart.
[10/13/2006, 17:41:36] - Attempting to Restart via STOP error (Blue Screen!)

Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 17:54:10, on 13.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\Trend Micro\Tmas\Tmas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\spapa\Bureau\Anti-virus\scan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ch/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - C:\WINDOWS\system32\bacrrdaf.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: libellules.ch Toolbar - {091ded08-c3e0-40cf-99dd-cb89148d3940} - C:\Program Files\libellules.ch	blibe.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Program Files\Trend Micro\Tmas\Tmas.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - https://www.f-secure.com/en/home/support
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SCHUWEY.LOCAL
O17 - HKLM\Software\..\Telephony: DomainName = SCHUWEY.LOCAL
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SCHUWEY.LOCAL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: MSSQL$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe" -sMICROSOFTSMLBIZ (file missing)
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SQLAgent$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlagent.EXE" -i MICROSOFTSMLBIZ (file missing)
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Smit....

SmitFraudFix v2.109

Rapport fait à 17:54:56.07, 13.10.2006
Executé à partir de C:\Documents and Settings\spapa\Bureau\Anti-virus\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\spapa


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\spapa\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\spapa\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

voila merci a bientôt pour de nouvelles aventures......

Kristopher · Answer

Bonsoir ;)

1/ Passe un coup de CCleaner.

2/ Clique droit sur "Poste de travail" -> "Propriétés" -> onglet "Restauration du système" -> tu coches "Désactiver la Restauration du système sur tous les lecteurs" -> "Appliquer" -> "Oui". 

Ensuite, tu décoches "Désactiver la Restauration du système sur tous les lecteurs" -> "Appliquer" -> "OK".

N’oublie pas de créer un nouveau point de restauration en procédant comme indiqué sur cette page :

https://www.vulgarisation-informatique.com/creer-point-restauration.php 

Normalement tout est clean, autre soucis ?

afideg · Answer

Bonsoir à tous, Whitelibra Je voudrais terminer par deux choses SVP : 1°- Avec VirusTotal, vérifie ceci: " bacrrdaf.dll " en O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - C:\WINDOWS\system32\bacrrdaf.dll 2°- Si tu les trouves avec CHAOS Shredder, élimine ces deux fichiers, " vtsqn.dll " et " vtsqn.dll.vir ". Pour cela, fais ceci: Télécharger CHAOS Shredder < http://www.01net.com/windows/Utilitaire/cryptage_et_securite/fiches/23822.html > •- Ensuite, tu ne fais pas "télécharger" sur l'image qui s'affiche; tu fais "exécuter". •- Tu suis les messages jusque "installer" > OK •- Tu double-cliques sur l'icône bureau du fichier et tu fais "réparer"; à ce moment, tu as une icône jaune " Chaos Shredder " sur le bureau > tu lances le logiciel ( double-clic ). •- Sur la page qui s'affiche, colonne de gauche, tu recherches les deux fichiers à supprimer ( " vtsqn.dll " et " vtsqn.dll.vir " ) > tu les déplaces ( glisses avec ta souris) dans la colonne à droite > et tu supprimes. Démo d’utilisation ici (merci à Balltrap34 pour cette réalisation) < http://pageperso.aol.fr/balltrap34/demochaos.swf > Merci ;)

Qc001 · Answer

Bonjour afideg, Kristopher, Quentin, whitelibra, tout le monde ;

Ce fichier en BHO :  bacrrdaf.dll est surnommé "Klone" par Atribune. Associé à Vundo, ces foutus fichiers ont tendance à muter. Regardez le CLSID dans le dernier rapport, puis comparez avec celui-ci, juste avant le passage de VirtumondoBeGone :

O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - C:\WINDOWS\system32tjrywnl.dll

C'est le même... donc il a muté. Si vous regardez le rapport de VundoFix au post #25 :
=================
 Vundo:

C:\WINDOWS\system32tjrywnl.dll
C:\WINDOWS\system32\vtsqn.dll
C:\WINDOWS\system32
qstv.ini
C:\WINDOWS\system32
qstv.bak1
C:\WINDOWS\system32
qstv.bak2
C:\WINDOWS\system32
qstv.ini2
C:\WINDOWS\system32
qstv.tmp
C:\WINDOWS\system32\vtsqn.dll 
==================

C'est incomplet... Whitelibra n'a pas cliqué sur Remove Vundo, car l'outil avait bien vu tous les fichiers, y compris le "Klone", et aurait tout nettoyer. Atribune a ajouté la détection des "Klones" il y a quelques jours, avec la version 6.2

L'outil VirtumondoBeGone n'y peut rien avec ces "Klones", ni avec les nouveaux Conhooks mutants qui circulent depuis un bout. VundoFix devrait, en principe, vous rendre de biens meilleurs services ;-)

Bon weekend tout le monde :-)

afideg · Answer

Bonjour à tous

Bonjour Qc001,

- et merci d'avoir fait observer que
 {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} 
- dans la ligne (ancienne) O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - C:\WINDOWS\system32\rtjrywnl.dll 
- était identique à celui de la ligne (nouvelle) O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - C:\WINDOWS\system32\bacrrdaf.dll 
- pour laquelle je voulais me convaincre par un "VirusTotal" de son fichier " bacrrdaf.dll ".

Pour Whitelibra:
Je voudrais que tu fasses ceci, svp

1°- Avec VirusTotal, vérifie ceci: " bacrrdaf.dll " 
en O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - C:\WINDOWS\system32\bacrrdaf.dll 
( je souhaite ainsi voir ce que découvre VirusTotal )

2°- N'utilise pas CHAOS Shredder comme je le demandais au # 36.
NOTE: Garde-le avec la procédure; il pourrait encore servir!

3°- Au # 23, Lyonnais92 t'avais demandé ceci:

«  Télécharge VundoFix.exe (par Atribune) sur ton Bureau. 
www.atribune.org/ccount/click.php?id=4 
Double-clique VundoFix.exe afin de le lancer. 
Coche Run VundoFix as a task. 
Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok 
Clique sur le bouton Scan for Vundo. 
Lorsque le scan est complété, clique sur le bouton Remove Vundo. 
Une invite te demandera si tu veux supprimer les fichiers, clique YES 
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK 
Démarre ton PC à nouveau.
Tu copies/colles sur le forum, le contenu du rapport situé dans C:\vundofix.txt »

4°- Relance un scan HJT, et livre son log.

Merci

Whitelibra · Answer

Bonjour,

Ben j'ai deja fais ce que tout ce que vous m'avez demander avant de voir ton nouveau message.... ^^

STATUS: FINISHEDComplete scanning result of "bacrrdaf.dll_", received in VirusTotal at 10.14.2006, 09:11:54 (CET).

Antivirus Version Update Result 
AntiVir 7.2.0.30 10.13.2006 HEUR/Crypted 
Authentium 4.93.8 10.13.2006  no virus found 
Avast 4.7.892.0 10.13.2006  no virus found 
AVG 386 10.13.2006  no virus found 
BitDefender 7.2 10.14.2006  no virus found 
CAT-QuickHeal 8.00 10.12.2006  no virus found 
ClamAV devel-20060426 10.13.2006  no virus found 
eTrust-InoculateIT 23.73.22 10.13.2006  no virus found 
eTrust-Vet 30.3.3131 10.13.2006  no virus found 
DrWeb 4.33 10.14.2006 Trojan.Virtumod 
Ewido 4.0 10.13.2006  no virus found 
Fortinet 2.82.0.0 10.14.2006 suspicious 
F-Prot 3.16f 10.13.2006  no virus found 
F-Prot4 4.2.1.29 10.13.2006  no virus found 
Ikarus 0.2.65.0 10.13.2006  no virus found 
Kaspersky 4.0.2.24 10.14.2006 Trojan.Win32.BHO.g 
McAfee 4873 10.13.2006  no virus found 
Microsoft 1.1603 10.14.2006  no virus found 
NOD32v2 1.1803 10.13.2006  no virus found 
Norman 5.80.02 10.13.2006 W32/Vundo.gen1 
Panda 9.0.0.4 10.14.2006  no virus found 
Sophos 4.10.0 10.13.2006  no virus found 
TheHacker 6.0.1.097 10.13.2006  no virus found 
UNA 1.83 10.13.2006  no virus found 
VBA32 3.11.1 10.13.2006  no virus found 
VirusBuster 4.3.7:9 10.13.2006 no virus found 


Aditional Information 
File size: 98324 bytes 
MD5: f7bbf0b1ff5bafd681abb2bf4351f63f 
SHA1: 868bd6d1058859494904650bb2ab00d0a3267781 

Avec Chaos j'ai pu éffacé "vtsqn.dll.vir" mais pas "vtsqn.dll" ce dernier je l'ai tout simplement pas trouvé...

j'ai arrete ici dites moi si je dois continuer s.v.p

merci a bientôt

Whitelibra · Answer

Hello

Voila si j'essaie de télécharger à l'adresse suivante"www.atribune.org/ccount/click.php?id=4"
j'y arrive pas elle me dis "Ad blocked here by KPF. ".

J'ai deja télécharger(hier) un Vundo Fix sur mon bureau mais si je click dessus ca passe direct à executer (je sais ca fais boulet ce que j'ecris mais j'aimerais bien faire exactement ce que tu me demande^^), et ensuite la fenetre s'ouvre pour que je scanne...et comme tu m'as dis de faire absolument une certaine manip.....

Voila, désolé mais dans le doute je préfére demander(la derniere fois que j'ai fais comme je voulais ben j'ai etais infecté^^)

Merci

Edit par moi même: Je viens de comprendre que KPF c'est le firewall je m'ameliore....je le desactive pour faire les manip?

Lyonnais92 · Answer

Bonjour,

juste pour avancer en attendant afideg :

ne désactive pas Kerio.

en cherchant, tu dois trouver le moyen d'autoriser Kerio à aller sur le site de a tribune et de télécharger vundofix.

si tu n'y arrives pas avec la partie autorisation des programmes, cherche dans la partie sur les sites et les adresses.

bonne suite.

Whitelibra · Answer

Avant tout j'aimerais vous dire que depuis ce matin plus aucune fenêtres n'est venue me dire bonjour, et ceci grâce a vous (en général c'est quand on dis des choses comme ca qu'elles arrivent ^^).

Ensuite j'ai fais ce que tu m'as demandé avec vundofix mais ou moment d'aller chercher le vundofix.txt j'ai remarque la date du 13.10.06 ????? alors j'ai effectuer un autre scan vundo voici les deux log:


VundoFix V6.2.2

Checking Java version...

Java version is 1.4.2.3

Java version is 1.5.0.6

Scan started at 11:44:27 13.10.2006

Listing files found while scanning....

C:\WINDOWS\system32tjrywnl.dll
C:\WINDOWS\system32\vtsqn.dll
C:\WINDOWS\system32
qstv.ini
C:\WINDOWS\system32
qstv.bak1
C:\WINDOWS\system32
qstv.bak2
C:\WINDOWS\system32
qstv.ini2
C:\WINDOWS\system32
qstv.tmp
C:\WINDOWS\system32\vtsqn.dll
C:\WINDOWS\system32
qstv.ini
C:\WINDOWS\system32
qstv.bak1
C:\WINDOWS\system32
qstv.bak2
C:\WINDOWS\system32
qstv.ini2
C:\WINDOWS\system32
qstv.tmp
C:\WINDOWS\system32
qstv.ini
C:\WINDOWS\system32
qstv.bak1
C:\WINDOWS\system32
qstv.bak2
C:\WINDOWS\system32
qstv.ini2
C:\WINDOWS\system32
qstv.tmp

Beginning removal...

 Attempting to delete C:\WINDOWS\system32tjrywnl.dll
C:\WINDOWS\system32tjrywnl.dll Could not be deleted.

 Attempting to delete C:\WINDOWS\system32\vtsqn.dll
C:\WINDOWS\system32\vtsqn.dll Could not be deleted.

 Attempting to delete C:\WINDOWS\system32
qstv.ini
C:\WINDOWS\system32
qstv.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32
qstv.bak1
C:\WINDOWS\system32
qstv.bak1 Has been deleted!

 Attempting to delete C:\WINDOWS\system32
qstv.bak2
C:\WINDOWS\system32
qstv.bak2 Has been deleted!

 Attempting to delete C:\WINDOWS\system32
qstv.ini2
C:\WINDOWS\system32
qstv.ini2 Has been deleted!

 Attempting to delete C:\WINDOWS\system32
qstv.tmp
C:\WINDOWS\system32
qstv.tmp Has been deleted!

 Attempting to delete C:\WINDOWS\system32\vtsqn.dll
C:\WINDOWS\system32\vtsqn.dll Could not be deleted.

Performing Repairs to the registry.
Done!

VundoFix V6.2.2

Checking Java version...

Java version is 1.4.2.3

Java version is 1.5.0.6

Scan started at 13:25:56 14.10.2006

Listing files found while scanning....

C:\WINDOWS\system32\bacrrdaf.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\bacrrdaf.dll
C:\WINDOWS\system32\bacrrdaf.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\bacrrdaf.dll
C:\WINDOWS\system32\bacrrdaf.dll Has been deleted!

Performing Repairs to the registry.
Done!
----------------------------------------------------------------------------


VundoFix V6.2.2

Checking Java version...

Java version is 1.4.2.3

Java version is 1.5.0.6

Scan started at 13:38:13 14.10.2006

Listing files found while scanning....

No infected files were found.


voici mon HJ:

Logfile of HijackThis v1.99.1
Scan saved at 13:47:19, on 14.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\spapa\Bureau\Anti-virus\scan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.ch/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - C:\WINDOWS\system32\bacrrdaf.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: libellules.ch Toolbar - {091ded08-c3e0-40cf-99dd-cb89148d3940} - C:\Program Files\libellules.ch	blibe.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Program Files\Trend Micro\Tmas\Tmas.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - support.f-secure.com/ols/fscax.cab
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - www.trendmicro.com/spyware-scan/as4web.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SCHUWEY.LOCAL
O17 - HKLM\Software\..\Telephony: DomainName = SCHUWEY.LOCAL
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SCHUWEY.LOCAL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: MSSQL$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe" -sMICROSOFTSMLBIZ (file missing)
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SQLAgent$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlagent.EXE" -i MICROSOFTSMLBIZ (file missing)
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

A bientôt

Regis59 · Answer

Salut a tous,

Pour apporter une toute petite info de subtilité:

Dans hijack this:
O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - C:\WINDOWS\system32\bacrrdaf.dll (file missing) 

Ceci  (file missing) indique que l'infection n'est plus la, il suffit donc de le fixer avec Hijackthis. Verifier néanmoins apres reboot que l entree a disparu

Bonne continuation a tous

afideg · Answer

Dur, dur Utilise CHAOS Shredder, SVP Pour cela, fais ceci: Télécharger CHAOS Shredder < www.01net.com/windows/Utilitaire/cryptage_et_securite/fiches/23822.html > •- Ensuite, tu ne fais pas "télécharger" sur l'image qui s'affiche; tu fais "exécuter". •- Tu suis les messages jusque "installer" > OK •- Tu double-cliques sur l'icône bureau du fichier et tu fais "réparer"; à ce moment, tu as une icône jaune " Chaos Shredder " sur le bureau > tu lances le logiciel ( double-clic ). •- Sur la page qui s'affiche, colonne de gauche, tu recherches les fichiers à supprimer " rtjrywnl.dll " , " vtsqn.dll " et " bacrrdaf.dll " •- tu les déplaces ( glisses avec ta souris) dans la colonne à droite > et tu supprimes. Démo d’utilisation ici (merci à Balltrap34 pour cette réalisation) < pageperso.aol.fr/balltrap34/demochaos.swf > Termine par un HJT Ne perds pas espoir. Je devine qu'on va m'aider une fois encore . Désolé pour ta petite fille, en espérant qu'elle n'aie pas trop souffert ; " malheur à celui qui fait pleurer un enfant ! " Maintenant, je pase à table. ;)

Whitelibra · Answer

???? euhhh, T'as rien fais a ma petite fille (faudrai deja en avoir une^^).

Bref j'ai chercher les tois fichier aucun est présent.......il etais bien pour moi ton post?

a bientôt

Lyonnais92 · Answer

Bonjour à tous,

Joli travail afideg.

Whitelibra, je suis désolé de ne pas avoir vu au post 25 que le rapport n'était pas complet. Ca serait allé plus vite si je l'avais vu.

Merci aussi à Qc001 pour les informations du post 39.

Bonne fin de week end.

Qc001 · Answer

Resalut à tous/toutes (à Lyonnais92 que j'avais oublié ;-),

Ouff... Coriaces les petits... Beau travail tout le monde, et bien joué Whitelibra.

Ces infections Vundo sont partout, y compris les variantes cachées, alors il est doublement important d'avoir accès à l'artillerie nécessaire (pour helpers et visiteurs..).

Whitelibra : si tu conserves HijackThis! suite à cette désinfection, prière de le renommer en son nom original (Hijackthis.exe), car certaines fonctionnalités de l'outil ne tournent pas si le nom est autre que prévu (la "Uninstall list" par exemple).

Bonne continuation :-)

Lyonnais92 · Answer

Bonsoir,

Qc001, je profite de ton intervention pour te poser 2 questions :

- pour redonner son nom,  HijackThis ou Hijackthis ou ça n'a aucune importance ?

- plus le temps passe, moins le risque existe (?) mais sur un précédent post, tu es intervenu pour faire ajouter des fichiers au fix car il n'étaient pas encore connus. Peut on reproduire la procédure ou faut il demander ton intervention à chaque fois ?

Merci d'avance de tes réponses et bonne fin de week-end.

afideg · Answer

Qc001  

Merci à vous d'avoir suivi ce topic.  
Merci d'avoir supervisé le final.  
En effet, bien que tout avait été "introduit" au # 19 ( par le fait du lien ), je suis heureux de trouver l'illustration d'une des raisons  de la remise d'HijackThis en son pristin état.  
Respectueusement.  

Whitelibra :   
«  si tu conserves HijackThis! suite à cette désinfection, prière de le renommer en son nom original (Hijackthis.exe), car certaines fonctionnalités de l'outil ne tournent pas si le nom est autre que prévu ( la "Uninstall list" par exemple )
Pour cela: ... fais un clic-droit dessus >> "Renommer", et remets-le en HijackThis.exe (orthographe exact) » ( merci Qc001 ).

afideg · Answer

CONFIRMATION:

Tu redonnes son nom à HijackThis.exe (les majuscules sont importantes). 

c'est précisé précedemment là :
« ....fais un clic droit dessus >> "Renommer", et remets-le en HijackThis.exe (orthographe exact) »( merci Qc001 ). »

Merci pour ta patience
Félicitations pour ton travail
Bonne cotinuation
;)

Whitelibra · Answer

Bonjour,

Voila juste vous confirmé que tout va bien, plus de problèmes :-)

Un grand MERCI a tout le monde! 

Vous faites de l'exellent travail !

a bientôt 

Whitelibra

afideg · Answer

Whitelibra 
Bonsoir et merci pour cette info.
Nous sommes heureux pour toi.

Si tu considères que ton PC est nettement mieux; crée vite un point de restauration à la date du jour ; tout est expliqué là :< http://perso.orange.fr/jesses/Docs/Bases/CreerRestaur.htm  > 

Bon vent

Winantivirus 2006 encore.....

49 réponses

Discussions similaires