[Virus] Win32 Swizzor gen (tjn)

Bulle85 Messages postés 12 Statut Membre -  
 Utilisateur anonyme -
Bonjour,

Je reposte un nouveau mesage pour mon problème, suite à la demande de Boulepate62, que je remercie d'avance.

J'ai ce virus sur mon PC. : Cheval de troie Win 32 Swizzor gen (tjn) Je l'ai vu en scannant mon ordi avec avast (sinon, rien ne supposait que j'en avait un).

je l'ai mis en quarantaie, mais impssible de le supprimer ensuite.

Voici ce que donne hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 23:58:50, on 18/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\CAPRPCSK.EXE
C:\DOCUMENTS AND SETTINGS\PASCALINE\MES DOCUMENTS\LOGICIELS\qttask.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Documents and Settings\Pascaline\Mes documents\Logiciels\MsgPlus.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Documents and Settings\Pascaline\Mes documents\Logiciels\WinRAR.exe
C:\DOCUME~1\PASCAL~1\LOCALS~1\Temp\Rar$EX00.407\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\DOCUMENTS AND SETTINGS\PASCALINE\MES DOCUMENTS\LOGICIELS\qttask.exe" -atboottime
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Documents and Settings\Pascaline\Mes documents\Logiciels\MsgPlus.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - Global Startup: Fenêtre d'état Canon LBP-800.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

Pour Regsrch : il ne trouve rien.

J'ai une deuxième question : est-ce que ce virus se transmet?? (Fichier envoyé par MSN, Boite mail...)

Merci d'avance pour votre aide

12 réponses

  1. Utilisateur anonyme
     
    Salut Bulle ;-)

    Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"

    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Documents and Settings\Pascaline\Mes documents\Logiciels\MsgPlus.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

    Clique sur demarrer, poste de travail, C:, program files cherche et supprime ce dossier:

    MSN Apps

    **Si un fichier persiste lors de la suppression fais ceci:
    -Redemarres ton pc, dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaitre choisis "mode sans echec" attends un peu.. puis vas supprimer les fichiers/dossiers qui persistaient, vides ta corbeille et redemarres normalement

    Désactive le pare-feu de Windows(SP2) car il ne sert à rien et installe celui-ci pour que tu sois mieux protégé

    Kerio: (pare-feu, qui reste gratuit après la periode d'essai!)
    Kerio Personal Firewall
    -tutorial: pour configurer et comprendre l'utilisation de Kerio
    https://kerio.probb.fr/

    Telecharge, installe puis mets à jour ce logiciel(Ewido), une fois que c'est fait, fais un scan complet de ton système, supprime (delete) tout ce qu'il te trouve puis colle le rapport ici avec un nouveau rapport hijackthis
    Ewido: (reste gratuit après la période d'essai)
    Télécharger Ewido Security Suite

    A++

    PS: j'ai perdu le fil de ton premier message..si tu l'as passe le moi stp sinon pas grave ;-)
    0
  2. Bulle85 Messages postés 12 Statut Membre
     
    Re, boulepate62

    Excuse moi, ce matin je travaillais, je n'ai pu faire la manipulation que ce midi. Je serais de retour ce soir vers 18h.

    Mon premier message était celui ci :

    cheval de troie win 32 swizzor gen trj#2006 09 19%2000%3A23%3A22

    Merci pour ton aide.

    Tu as du oublier de répondre à ma deuxième question : Est-ce que ce virus se propage aux autre : exemple en envoyant un fichier par MSN, ...

    Voici mon rapport EWIDO :

    wido anti-spyware - Scan Report
    ---------------------------------------------------------

    + Created at: 13:29:06 19/09/2006

    + Scan result:

    HKLM\SOFTWARE\Classes\SysWebTelecom.SysWebTelecom -> Dialer.Generic : No action taken.
    HKLM\SOFTWARE\Classes\SysWebTelecom.SysWebTelecom\CurVer -> Dialer.Generic : No action taken.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@247realmedia[1].txt -> TrackingCookie.247realmedia : No action taken.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@microsoftwlmessengermkt.112.2o7[1].txt -> TrackingCookie.2o7 : No action taken.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : No action taken.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@partygaming.122.2o7[1].txt -> TrackingCookie.2o7 : No action taken.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@adbrite[2].txt -> TrackingCookie.Adbrite : No action taken.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@atdmt[2].txt -> TrackingCookie.Atdmt : No action taken.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@bluestreak[1].txt -> TrackingCookie.Bluestreak : No action taken.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@com[1].txt -> TrackingCookie.Com : No action taken.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@doubleclick[2].txt -> TrackingCookie.Doubleclick : No action taken.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@estat[1].txt -> TrackingCookie.Estat : No action taken.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@as1.falkag[1].txt -> TrackingCookie.Falkag : No action taken.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@fastclick[2].txt -> TrackingCookie.Fastclick : No action taken.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@mediaplex[1].txt -> TrackingCookie.Mediaplex : No action taken.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@questionmarket[1].txt -> TrackingCookie.Questionmarket : No action taken.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : No action taken.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@serving-sys[1].txt -> TrackingCookie.Serving-sys : No action taken.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : No action taken.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : No action taken.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@weborama[2].txt -> TrackingCookie.Weborama : No action taken.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : No action taken.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@zedo[2].txt -> TrackingCookie.Zedo : No action taken.

    ::Report end

    Rapport Hijackthis :

    Logfile of HijackThis v1.99.1
    Scan saved at 13:36:53, on 19/09/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\DOCUMENTS AND SETTINGS\PASCALINE\MES DOCUMENTS\LOGICIELS\qttask.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\CAPRPCSK.EXE
    C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
    C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
    C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Logitech\Video\FxSvr2.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Maxthon\Maxthon.exe
    C:\Documents and Settings\Pascaline\Mes documents\Logiciels\Ewido\ewido anti-spyware 4.0\guard.exe
    C:\Documents and Settings\Pascaline\Mes documents\Logiciels\Ewido\ewido anti-spyware 4.0\ewido.exe
    C:\Documents and Settings\Pascaline\Mes documents\Logiciels\WinRAR.exe
    C:\DOCUME~1\PASCAL~1\LOCALS~1\Temp\Rar$EX00.031\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE
    O4 - HKLM\..\Run: [QuickTime Task] "C:\DOCUMENTS AND SETTINGS\PASCALINE\MES DOCUMENTS\LOGICIELS\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
    O4 - HKLM\..\Run: [!ewido] "C:\Documents and Settings\Pascaline\Mes documents\Logiciels\Ewido\ewido anti-spyware 4.0\ewido.exe" /minimized
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
    O4 - Global Startup: Fenêtre d'état Canon LBP-800.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Documents and Settings\Pascaline\Mes documents\Logiciels\Ewido\ewido anti-spyware 4.0\guard.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

    Encore merci pour ton aide!!
    0
    1. Utilisateur anonyme
       
      Re Bulle :-)

      je peux pas répondre à ta question concernant le virus, car on ne voit rien là ..mais c'est possible oui.


      Refais un scan complet avec Ewido et choisis"delete" pour tout supprimer


      Fais ce nettoyage: (à faire réguliérement)

      ¤Telecharges et installes ceci:
      CCleaner:
      Télécharger Ccleaner

      dans la colonne de gauche clic sur "erreurs" coches toutes les cases, puis cliques en bas sur "chercher des erreurs" une fois finit, cliques sur "reparer les erreurs" et tu aura un message pour sauvegarder ta base de registre tu dis "oui" puis tu recommences jusqu'a ce qu'il te trouve plus d'erreurs.
      Les sauvegardes que tu aura faites tu pourra les supprimer si ton ordinateur n'a plus de problémes

      ¤Relance Ccleaner, vas dans l'onglet "nettoyeur" present sur la gauche, decoches la derniere case (Avancé si elle est cochée) puis clic sur "lancer le nettoyage"


      Puis:

      Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2 (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
      Une fois qu'il a terminé colle le rapport ici stp

      https://www.bitdefender.com/toolbox/
      0
  3. Bulle85 Messages postés 12 Statut Membre
     
    Je reposte les deux rapport. J'ai refais le scan par Ewido car j'ai eu un doute (qui était vérifié) : en effet je n'avais pas valider mes suppression. (Apply). je l'ai donc refait et voici ce que le rapport donne :

    ---------------------------------------------------------
    ewido anti-spyware - Scan Report
    ---------------------------------------------------------

    + Created at: 18:55:31 19/09/2006

    + Scan result:

    HKLM\SOFTWARE\Classes\SysWebTelecom.SysWebTelecom -> Dialer.Generic : Cleaned.
    HKLM\SOFTWARE\Classes\SysWebTelecom.SysWebTelecom\CurVer -> Dialer.Generic : Cleaned.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@247realmedia[2].txt -> TrackingCookie.247realmedia : Cleaned.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@microsoftwlmessengermkt.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@partygaming.122.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@adbrite[2].txt -> TrackingCookie.Adbrite : Cleaned.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@atdmt[2].txt -> TrackingCookie.Atdmt : Cleaned.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@bluestreak[2].txt -> TrackingCookie.Bluestreak : Cleaned.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@com[1].txt -> TrackingCookie.Com : Cleaned.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@doubleclick[2].txt -> TrackingCookie.Doubleclick : Cleaned.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@estat[1].txt -> TrackingCookie.Estat : Cleaned.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@as1.falkag[1].txt -> TrackingCookie.Falkag : Cleaned.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@fastclick[2].txt -> TrackingCookie.Fastclick : Cleaned.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@mediaplex[1].txt -> TrackingCookie.Mediaplex : Cleaned.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@questionmarket[1].txt -> TrackingCookie.Questionmarket : Cleaned.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Cleaned.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@serving-sys[1].txt -> TrackingCookie.Serving-sys : Cleaned.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Cleaned.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Cleaned.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@weborama[2].txt -> TrackingCookie.Weborama : Cleaned.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Cleaned.
    C:\Documents and Settings\Pascaline\Cookies\pascaline@zedo[2].txt -> TrackingCookie.Zedo : Cleaned.

    ::Report end

    J'ai refait un rapport hijackthis

    Rapport hijackthis :

    Logfile of HijackThis v1.99.1
    Scan saved at 18:59:00, on 19/09/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Documents and Settings\Pascaline\Mes documents\Logiciels\Ewido\ewido anti-spyware 4.0\guard.exe
    C:\DOCUMENTS AND SETTINGS\PASCALINE\MES DOCUMENTS\LOGICIELS\qttask.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
    C:\Documents and Settings\Pascaline\Mes documents\Logiciels\Ewido\ewido anti-spyware 4.0\ewido.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    C:\WINDOWS\system32\CAPRPCSK.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
    C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
    C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
    C:\Program Files\Logitech\Video\FxSvr2.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Maxthon\Maxthon.exe
    C:\Documents and Settings\Pascaline\Mes documents\Logiciels\WinRAR.exe
    C:\DOCUME~1\PASCAL~1\LOCALS~1\Temp\Rar$EX00.312\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE
    O4 - HKLM\..\Run: [QuickTime Task] "C:\DOCUMENTS AND SETTINGS\PASCALINE\MES DOCUMENTS\LOGICIELS\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
    O4 - HKLM\..\Run: [!ewido] "C:\Documents and Settings\Pascaline\Mes documents\Logiciels\Ewido\ewido anti-spyware 4.0\ewido.exe" /minimized
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
    O4 - Global Startup: Fenêtre d'état Canon LBP-800.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Documents and Settings\Pascaline\Mes documents\Logiciels\Ewido\ewido anti-spyware 4.0\guard.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

    Je ne sais pas si cela a changé quelquechose (c'est du chinois pour moi).

    J'ai aussi une question :

    Est ce que ce virus se propage par mail ou par MSN (envoi de fichier par exemple?)

    Merci de ton aide.
    0
  4. Bulle85 Messages postés 12 Statut Membre
     
    Je n'avais pas vu ton message car il était entre deux de mes messages. En effet en dessous, j'ai refais un scan avec Ewido, j'ai posté le rapport Ewido et Hijackyhis (En effet, j'avais pas fait apply pour supprimer .

    C cleaner et la suite est en train de se faire !

    Merci
    0
    1. Utilisateur anonyme
       
      ok Bulle n'oublie pas de faire le scan en ligne ;-)

      A++
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Bulle85 Messages postés 12 Statut Membre
     
    J'ia fait Réparer les erreurs avec Cclean, jusqu'a temps qu'il y en avait plus.

    En ce qui concerne le nettoyage, j'ai effectuer la manip que tu m'as dite, mais est-ce normal que les fichiers n'aient pas été supprimés (c'est ce que j'ia cru lire après la nettoyage et qu'il ai trouvé des fichiers?)

    J'en étais donc au scan en ligne : je ne trouve pas la barre anti pop up qui clignote (active X)....

    Le scan est long??? Je peux le faire pendant la nuit???

    merci.
    0
    1. Utilisateur anonyme
       
      La barre anti-popup c'est la barre du SP2 qui à dû se mettre à clignoter car elle bloque l'active X et normalement tu as dû cliquer dessus pour choisis "accepter l'active X"

      Le scan peut etre long, ça depend du nombre de fichiers que t uas sur le Pc, ne tient pas compte du temps qu'il t'affichera

      A toi de voir si tu veux le faire la nuit, mais pour ma part ça ne sert à rien que tu laisses ton Pc allumé toute la nuit juste pour ça, à toi de voir ;-)
      0
  7. Bulle85 Messages postés 12 Statut Membre
     
    Je ne la vois pas cette barre....

    Je suis sur le site : je fais agree?
    Ensuite : je scan une mise a jour?

    Et ensuite ca scan direct mon ordi....

    je ne vois pas de fenêtre, la scan se lance sans problème... et sans cette fonction Active X...
    0
    1. Utilisateur anonyme
       
      Pas grave alors :-)

      plus sur "i agree" puis scan ton Pc entierement, il va telecharger des mises à jours ensuite tu devrais avori une fléche verte avec marqué "next" puis tu cliques dessus et le laisse faire ;-)
      0
    2. Bulle85 Messages postés 12 Statut Membre
       
      Je vais le faire ce soir alors, je te poste le rapport demain matin avant de partir travailler!


      Merci beaucoup!!!
      0
  8. Utilisateur anonyme
     
    ok, psa de probléme ;-)

    Bonne nuit à toi alors et à demain
    0
  9. Bulle85 Messages postés 12 Statut Membre
     
    Bojour,

    Alors, voici le rapport bitdefender :

    BitDefender Online Scanner

    Scan report generated at: Wed, Sep 20, 2006 - 01:34:19

    Scan path: A:\;C:\;D:\;E:\;F:\;G:\;

    Statistics

    Time
    01:16:13

    Files
    322659

    Folders
    2207

    Boot Sectors
    4

    Archives
    4769

    Packed Files
    46446

    Results

    Identified Viruses
    1

    Infected Files
    1

    Suspect Files
    0

    Warnings
    0

    Disinfected
    0

    Deleted Files
    1

    Engines Info

    Virus Definitions
    454988

    Engine build
    AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)

    Scan plugins
    13

    Archive plugins
    38

    Unpack plugins
    6

    E-mail plugins
    6

    System plugins
    1

    Scan Settings

    First Action
    Disinfect

    Second Action
    Delete

    Heuristics
    Yes

    Enable Warnings
    Yes

    Scanned Extensions
    *;

    Exclude Extensions

    Scan Emails
    Yes

    Scan Archives
    Yes

    Scan Packed
    Yes

    Scan Files
    Yes

    Scan Boot
    Yes

    Scanned File
    Status

    C:\System Volume Information\_restore{8BC6A3DE-454B-4359-B53C-FA6C2C3B5707}\RP492\A0069479.exe
    Infected with: Trojan.Lopad.M

    C:\System Volume Information\_restore{8BC6A3DE-454B-4359-B53C-FA6C2C3B5707}\RP492\A0069479.exe
    Disinfection failed

    C:\System Volume Information\_restore{8BC6A3DE-454B-4359-B53C-FA6C2C3B5707}\RP492\A0069479.exe
    Deleted

    Apparement, il y en avait encore.

    Merci beaucoup, bonne journée, et a tout à l'heure!
    0
    1. Utilisateur anonyme
       
      Salut,

      Alors ceci; C:\System Volume Information\_restore indique que ta restauration du systeme etait infecté ou est infecté, pour être sûr, nous allons créer un point propre.

      Clic sur "demarrer", cliques droit sur "poste de travail", "propriétés", onglet "restauration du systeme"

      ¤ coches la case "desactiver la Restauration du systéme sur tous les lecteurs", puis clic ur "appliquer"
      ¤ decoches la case et clic sur "appliquer" puis "ok".

      Maintenant, que l'ont à effacés les point infectés, nous allons créer un point propre:

      Clic sur "demarrer", "tous les programmes", "accessoires", "outils système", "restauration du système", choisis "créer un point de restauration" nommes le " ccm" par exemple, cliques sur "créer" puis "ok".
      Voilà, maintenant le point de restauration est créer si un jour tu décides tu pourra revenir en arriere à la date que tu l'as créer donc à ce jour; en fesant la marche arriére tu pourra remettre ton ordinateur à la date ou l'on à créer ce point de restauration mais tu perdra les modifications que tu aura faites entre deux.


      Puis tu me dira ou en est ton probléme ;-)
      0
    2. Bulle85 Messages postés 12 Statut Membre
       
      J'ai fait les manip du dessus.

      Mon problème c'est que lorsque j'ai fait un scan avec Avast : j'ai trouver ce virus (Cheval de troir, swizzor...)

      je n'avais rien remarqué auparavant. (Pas de lenteur, pas d 'indicaion d'avast...).

      Si ca se trouve, ca fait longtemps qu'il est là.

      là j'ai relancé un scan avec avast, pour voir s'il trouve qqch.

      Ensuite, puis-je également relancé un scan avec bitdefender pour voir ?


      Conseils pratiques : Ewido fait des scans automatiquement ou fait-il que j'en fasse de temps en temps??

      Y a t-il des contrôles a faire régulièrement ?

      Merci pour ton aide, tes connaissances et ta patience.
      0
    3. Bulle85 Messages postés 12 Statut Membre
       
      Alors j'ia fait un scan avec avast.

      Il n'a pas pas scanner un ficher car c'est une bombe de décompression

      C\Documentsandsettings\Pascaline\Applacation data\Thunderbird\Profiles\bslix5idfault\mail\localfolders\inbox\PartNo_0#3144297459

      (en espérant qu'il est de bombe que le nom).

      En mise en quarantaine j'ai également ca : kernel32dll
      Kernel32.dll
      Winsock.dll
      Wsock32.dll

      Que dois-je en faire de ces cinq fichiers???

      Je frais un bitdefenerlorsque tu auras répondu a ce mail.

      merci encore!
      0
  10. Bulle85 Messages postés 12 Statut Membre
     
    Donc, si lors de mon scan en ligne, il n'y a rien, c'est ok? Le virus est parti?

    Avast : je laisse les 4 fichiers en quarantaine ???

    Et le fichier bombe de décompression, je peux le laisser aussi?

    (Excuse pour toute ces questions...)

    Je m'absente ce soir, je ferais le scan en ligne pendant ce temps.

    Merci!
    0
    1. Utilisateur anonyme
       
      oui ça sera ok ;-)

      pour le fichier bombe de decompression j'vois pas à quoi il correspond par mesure de sécurité vire le ;-)
      0
  11. Bulle85 Messages postés 12 Statut Membre
     
    J'ai refait un scan avec bit defender. Il n'a rien trouvé.

    je vais supprimer le fichier bombe de décompression.

    Merci de ton aide!!! Tu es vraiment gentil.
    0
  12. Utilisateur anonyme
     
    derien ;-)

    hésite psa si t uas un probléme ou questions le forum est là ;-)

    A++
    0