mon pc est il un zombi? (suite trojan?) Fermé

Question

Bonjour
Mon pc part en live de tout coté et je ne sais plus quoi faire
Historique : je crois avoir cerné l’origine du problème ; des messages indésirables avec fichiers joints que j’ai ouverts au lieu de les supprimer ( fausse manip).
Peu après : problèmes avec l’explorateur Windows : redirections sur des sites pornos ou US, fermeture intempestives, ralentissement.
Ma configuration : windows XP famillial. protection : awast, zone alarm, ad aware.
Zone alarm m’a signalé une intrusion puis awast un problème avec KERNEL8  et je me suis retrouvée avec un blocage du gestionnaire des taches.  
Je suis nulle en informatique. J’ai fait des recherches sur des forums, dont le votre, et j’avais apparemment réussit à résoudre le problème. 
Peu de temps après, j’ai recommencé à avoir des problèmes de ralentissements. Un tas de processus se sont rajoutés, et zonz alarm n’arrêtait plus de sonner. Awast m’a signalé d’autres problèmes et il n’arrivait pas à supprimer ce qu’il me signalait,. J’ai du arrêter l’ordi qui plantait et je n’ai pas pu tout noter mais je pense avoir vu dans le désordre :

nbhsvqq.exe
c\program files\fi\chiers communs\system\aux.exe
win32:Small-BTG(TRiJ)
c\windows	emp\cbii1;exe

ZLclient.exe
ashserv.exe
aswUpdSv


en rouvrant sur la même session,  les icônes du bureau étaient devenues illisibles.
J’ai changé de session. Je me suis rendue compte que je ne pouvais plus supprimer la session par le panneau de configuration ni  accéder à ce bureau même en passant par documents and settings. 
J’ai vu alors que d’autre compte d’utilisateurs aux noms bizarres s’étaient installés. Je les aie supprimés, mais ils se sont réinstallés au démarrage et mon pc a commencé à planter aussi sur la session 2. J’ai cherché dans des forums, et j’ai cru comprendre que mon pc était en train de devenir un »zombi ». 
j’ai vu apparaître dans les processus ZLclient.exe et le système m’a refusé l’interruption. J’ai tenté de faire une recherche pour trouver les fichiers en question mais l’explorateur bug dés qu’il arrive à la session 1. j’ai essayé trois antivirus en ligne, mais ils n’arrivent pas à installer leur fichier. J’ai désinstallé ad aware pour installer spy bot, mais ce dernier plante après quelque seconde de recherche, et ma session2 s’est mise à avoir elle aussi de plus en plus de problèmes.
J’ai ouvert en catastrophe un nouveau compte (3) et j’ai redémarré sur cette session 3. La j’ai supprimé de nouveau les comptes bizarres dans documents and setting et j’ai pu supprimer la première session. 
J’ai pu lancer spybot . J’ai suivit vos consignes et j’ai fait un hijack (je n’ai pas réussit à désactiver le tea timer de spibot) Je ne sais plus que faire…

Résultats du hijack :

Logfile of HijackThis v1.99.1
Scan saved at 23:06:42, on 29/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\ScanSoft\OmniPagePro11.0\opware32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Microsoft Works\MSWorks.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\essai\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = redirect.zonelabs.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\valy\Bureau\928183412.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPagePro11.0\opware32.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PCLEUSBTip] C:\Program Files\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels8.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [dmlcq.exe] C:\WINDOWS\System32\dmlcq.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - a840.g.akamai.net
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - www.inoculer.com/antivirus/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C8109CD-388D-41C3-810B-62BCA549E764}: NameServer = 85.255.115.3,85.255.112.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D9590E8-C66B-40F4-A1B2-DC80D5C4143A}: NameServer = 85.255.115.3,85.255.112.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F181857-9A8A-410E-812B-9AB0E30FDCD0}: NameServer = 85.255.115.3,85.255.112.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C8930BB-06FD-470E-953A-91FBFE4E012C}: NameServer = 85.255.115.3,85.255.112.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{6FB3B3F3-0B28-4F4E-99B4-3E31E408769D}: NameServer = 85.255.115.3,85.255.112.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CA495DB-EA96-4353-B258-EB492D61E6DF}: NameServer = 85.255.115.3,85.255.112.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFC89B3A-7770-40B5-A43B-4A539C3CEF90}: NameServer = 85.255.115.3,85.255.112.11
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.3 85.255.112.11
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.3 85.255.112.11
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SecWea - Unknown owner - \?\C:\Program Files\Fichiers communs\System\aux.exe (file missing)
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SrvYmn - Unknown owner - \?\C:\Program Files\Fichiers communs\Services
ul.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: UpdSny - Unknown owner - \?\C:\Program Files\Windows NT\lpt7.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Merci 


	i

Utilisateur anonyme · Answer

Salut,

on va faire le ménage rien ne sera supprimé sauf si je te l'indique

___
Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"

O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\valy\Bureau\928183412.dll
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPagePro11.0\opware32.exe 
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels8.exe 
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe 
O4 - HKLM\..\Run: [dmlcq.exe] C:\WINDOWS\System32\dmlcq.exe 
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cab 
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - a840.g.akamai.net 
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - www.inoculer.com/antivirus/Msie/bitdefender.cab 
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C8109CD-388D-41C3-810B-62BCA549E764}: NameServer = 85.255.115.3,85.255.112.11 
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D9590E8-C66B-40F4-A1B2-DC80D5C4143A}: NameServer = 85.255.115.3,85.255.112.11 
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F181857-9A8A-410E-812B-9AB0E30FDCD0}: NameServer = 85.255.115.3,85.255.112.11 
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C8930BB-06FD-470E-953A-91FBFE4E012C}: NameServer = 85.255.115.3,85.255.112.11 
O17 - HKLM\System\CCS\Services\Tcpip\..\{6FB3B3F3-0B28-4F4E-99B4-3E31E408769D}: NameServer = 85.255.115.3,85.255.112.11 
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CA495DB-EA96-4353-B258-EB492D61E6DF}: NameServer = 85.255.115.3,85.255.112.11 
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFC89B3A-7770-40B5-A43B-4A539C3CEF90}: NameServer = 85.255.115.3,85.255.112.11 
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.3 85.255.112.11 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.3 85.255.112.11


Clic sur "demarrer", "executer", tape: services.msc ,cherche dans la liste ces lignes, fais un clic droit dessus choisis "propriétés" et régle les sur "désactivé

France Telecom Routing Table Service < inutile
Macromedia Licensing Service
SecWea
SrvYmn
 UpdSny


Clic sur démarrer, rechercher ,cherche et supprime ces fichiers si présent

lpt7.exe
aux.exe 
nul.exe
kernels8.exe 
dmlcq.exe
928183412.dll

**Si un fichier persiste lors de la suppression fais ceci:
-Redemarres ton pc, dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaitre choisis "mode sans echec" attends un peu.. puis vas supprimer les fichiers/dossiers qui persistaient, vides ta corbeille et redemarres normalement


Fait ce nettoyage: (à faire réguliérement)

¤Telecharges et installes ceci:
CCleaner:
Ccleaner

dans la colonne de gauche clic sur "erreurs" coches toutes les cases, puis cliques en bas sur "chercher des erreurs" une fois finit, cliques sur "reparer les erreurs" et tu aura un message pour sauvegarder ta base de registre tu dis "oui" puis tu recommences jusqu'a ce qu'il te trouve plus d'erreurs.
Les sauvegardes que tu aura faites tu pourra les supprimer si ton ordinateur n'a plus de problémes

¤Relance Ccleaner, vas dans l'onglet "nettoyeur" present sur la gauche, decoches la derniere case (Avancé si elle est cochée) puis clic sur "lancer le nettoyage"
 

installe ce pare feu pou rplus de sécurité 

Kerio: (pare-feu, qui reste gratuit après la periode d'essai!)
Kerio
-tutorial: pour configurer et comprendre l'utilisation de Kerio
kerio.probb.fr/index.htm


Telecharge, installe puis mets à jour ce logiciel(Ewido), une fois que c'est fait, fais un scan complet de ton système, supprime (delete) tout ce qu'il te trouve puis colle le rapport ici avec un nouveau rapport hijackthis
Ewido:  (reste gratuit après la période d'essai)
Ewido

allomacha · Answer

merci pour ta  réponse. même une nulle comme moi s'en est  sortie
quelques petites questions cependant:
- pour la première manip, je n'ai pas trouvé la ligne:
O4 - HKLM\..\Run: [dmlcq.exe] C:\WINDOWS\System32\dmlcq.exe 
je ne l'ai donc pas cochée (je descend en droite ligne de lapalisse)

j'ai trouvé un fichier KERNELS8 mais son nom était un peu différent:

KERNELS8.EXE-045A6E30 je l'ai quand même supprimé.
pour la recherche sur aux.exe, j'ai trouvé:
visthaux.exe dans c\program files\alwil software
 ça me semblait un peu trop éloigné, j'ai pas supprimé.

enfin,j'ai téléchargé tous ce sue tu m'as indiqué mais je me suis arrétée avnt de lancer KERIO.
j'ai déjà spybot, il n'y as pas d'incompatibilitée?

voilà déjà le hijack

Logfile of HijackThis v1.99.1
Scan saved at 00:57:30, on 30/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32
otepad.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\essai\Bureau\logiciel anti trj\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = redirect.zonelabs.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SecWea - Unknown owner - \?\C:\Program Files\Fichiers communs\System\aux.exe (file missing)
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SrvYmn - Unknown owner - \?\C:\Program Files\Fichiers communs\Services
ul.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: UpdSny - Unknown owner - \?\C:\Program Files\Windows NT\lpt7.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

pour ce qui est de devenir forgeron, bien qu'étant une fille, je suis plus douée avec une forge ou une machine à bois qu'avec une casserole.
pour autant, je crois que j'aurais toujours du mal avec mon PC.

Utilisateur anonyme · Answer

Refais ça stp:

Clic sur "demarrer", "executer", tape: services.msc ,cherche dans la liste ces lignes, fais un clic droit dessus choisis "propriétés" et régle les sur "désactivé"

France Telecom Routing Table Service < inutile 
Macromedia Licensing Service 
SecWea 
SrvYmn 
UpdSny


N'installe pas Kerio mais fais ça a la place


Telecharge, installe puis mets à jour ce logiciel(Ewido), une fois que c'est fait, fais un scan complet de ton système, supprime (delete) tout ce qu'il te trouve puis colle le rapport ici avec un nouveau rapport hijackthis 
Ewido: (reste gratuit après la période d'essai) 
Ewido

Utilisateur anonyme · Answer

Salut,

fais ça pour régler le probléme car une bestiole résiste

Redémarres le PC en mode sans échec : tu tapotes sur la touche F8 de ton clavier (ou F5 ) et tu choisis le mode sans échec) 

Refais un scan complet avec Ewido et mets tout en quarantaine ;-)


Ensuite, en mode normal

Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2 (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour  faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici stp

https://www.bitdefender.com/toolbox/

Utilisateur anonyme · Answer

Salut,

Clic sur "demarrer", "executer", tape: services.msc ,cherche dans la liste cette ligne, fais un clic droit dessus choisis "propriétés" et régle la sur "désactivé"

SecWea


Clic sur démarrer ,rechercher et supprime ce fichier;

aux.exe 


redémarre en mode sans echec et fais un nettoyae complet avec Ccleaner car t'as des bestioles qui resiste


En mode normal:

Télécharge SmitfraudFix (enregistre le sur le "bureau")
http://siri.urz.free.fr/Fix/SmitfraudFix.zip

décompresse SmitfraudFix
Lance le fichier SmitfraudFix ou SmitfraudFix.cmd et choisis l option 1 copie le rapport ici stp


et

Télécharges Blacklight et sauvegarde le sur ton bureau.
https://www.f-secure.com/en
Double cliques sur  " blbeta.exe " et acceptes la licence; clic sur "Scan" puis "Next"

Un rapport, va se créer sur ton bureau "fslb-....."

Copies et colles le contenu de ce rapport ici.

Ne touche à rien d'autre!

allomacha · Answer

bonsoir

toujours au prises avec adware.altnet.
j'ai fait une recherche sur la toile, j'ai même trouvé un forum qui indiquait le problème comme résolu mais j'ai pas compris la solution.

j'ai bien sûr au préalable suivit tes consignes:
Je n'ai pas  trouvé le fichier aux.exe. tout ce que je trouve, c'est un fichier  d'avast au nom différent: visthaux.exe dans c\program files\alwil software .je ne l'ai pas supprimé. Dois je le faire?

aprés cleaner, j'ai essayer de lancer évido en mode sans échec mais il a refusé. message d'erreur: résident shield est  inactif et ewido ne peut changer le statut. (il fonctinne en mode normal et n'arrive toujours pas à effacer altnet)
j'ai fait un essai avec spybot, qui m'a trouvé adware. altnet et un autre problème mais il n'a pu supprimé que ce dernier.

résultats cleaner:
CLEANING COMPLETE - (1,460 secs)
------------------------------------------------------------------------------------------
2,62MB removed.
------------------------------------------------------------------------------------------

Details of files deleted
------------------------------------------------------------------------------------------
IE Temporary Internet Files (350 files) 1,18MB
Cookie:labo@247realmedia.com/(&H100001) 261 bytes
Cookie:labo@www.smartadserver.com/(&H100001) 390 bytes
Cookie:labo@google.fr/(&H100001) 130 bytes
Cookie:labo@cs76.free.fr/(&H100001) 84 bytes
Cookie:labo@www.f-secure.com/(&H100001) 143 bytes
Cookie:labo@cs76.free.fr/stat/(&H100001) 596 bytes
Cookie:labo@weborama.fr/(&H100001) 169 bytes
C:\Documents and Settings\labo\Cookies\labo@www.commentcamarche[1].txt 114 bytes
C:\Documents and Settings\labo\Cookies\labo@www.sidieseweb[2].txt 110 bytes
C:\Documents and Settings\labo\Cookies\labo@xiti[1].txt 100 bytes
C:\Documents and Settings\labo\Cookies\labo@yahoo[2].txt 160 bytes
C:\Documents and Settings\labo\Cookies\labo@yourmedia[1].txt 93 bytes
Marked for deletion: C:\Documents and Settings\labo\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Marked for deletion: C:\Documents and Settings\labo\Cookies\index.dat
C:\WINDOWS\TEMP\T30DebugLogFile.txt 0 bytes
C:\WINDOWS\TEMP\ZLT00f11.TMP 256 bytes
C:\WINDOWS\TEMP\ZLT00f17.TMP 256 bytes
C:\WINDOWS\TEMP\ZLT010c6.TMP 256 bytes
C:\WINDOWS\TEMP\ZLT010c9.TMP 256 bytes
C:\WINDOWS\system32\wbem\Logs\wbemess.log 1,67KB
C:\WINDOWS\system32\wbem\Logs\WinMgmt.log 54 bytes
C:\WINDOWS\system32\wbem\Logs\wmiprov.log 195 bytes
C:\WINDOWS\0.log 0 bytes
C:\WINDOWS\Sti_Trace.log 0 bytes
C:\WINDOWS\wiadebug.log 216 bytes
C:\WINDOWS\wiaservc.log 50 bytes
C:\WINDOWS\WindowsUpdate.log 1,26MB
C:\WINDOWS
tbtlog.txt 0,13MB
C:\WINDOWS\Debug\oakley.log 0 bytes
C:\WINDOWS\SchedLgU.Txt 31,79KB
C:\WINDOWS\Internet Logs\ZALog.txt 8,41KB
------------------------------------------------------------------------------------------


smtfraudfix analyse:
SmitFraudFix v2.103

Rapport fait à  9:12:11,09, 01/10/2006
Executé à partir de C:\Documents and Settings\essai\Bureau\logiciel anti trj\Smifraudfix\fix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\dlh9jkdq?.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\labo


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\labo\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\labo\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


smitfraudfix nettoyage:
SmitFraudFix v2.103

Rapport fait à  9:12:30,81, 01/10/2006
Executé à partir de C:\Documents and Settings\essai\Bureau\logiciel anti trj\Smifraudfix\fix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\dlh9jkdq?.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin





blackligth n'a rien trouvé, il n'a pas génèré de rapport.





sniff!!! je déséspère!



PS: questions sur les incompatibilitées:

- 1 puis-je sans problème faire un scan en ligne alors que j'ai déjà un antivirus? ya-t il une manip à faire pour suspendre awast pendant ce temps?

- 2 j'ai vu dans un forum qu'il y aurait une imcompatiblité entre awast et zonz alarm. y as t'il quelque chose à faire?

-puis je laissé installé spybot ET éwido?

Utilisateur anonyme · Answer

Salut,

oui, tu peux supprimer celui la:  visthaux.exe 


Y'a pas de soucis tu peux laisser Avast actif et faire ton scan en ligne

Oui, tu peux laisser Spybot et Ewido, tu peux même en installer d'autres si tu n'as que cela

A² squared: (gratuit)
A-squared

Ad-Aware SE Personal: (en Anglais, gratuit)
Ad-aware


Tu peux supprimer SmitFraudFix il a finit son travail ;-)

allomacha · Answer

bonsoir
ad aware, c'est celui que j'avais avant d'installer évido
j'ai aussi éssayé spybot, cleaner à nouveau ect...

adware. alnet ne veut toujours pas rendre les armes
j'ai pas contre réussit à le localiser, mais je ne connais pas ce type de chemin:
HKLM\SOFTWARE\Altnet 
HKLM\SOFTWARE\Altnet\dashboard 
HKLM\SOFTWARE\Altnet\dashboard\Message 
HKLM\SOFTWARE\Altnet\dashboardSetting

si tu as une idée...
merci

Utilisateur anonyme · Answer

Salut,

il faut que tu ailles dans la base de registre pour les supprimer

clic sur démarrer, exécuter, tape: regedit

Clic sur "edition" puis "rechercher" tu entres: Altnet puis "rechercher" une fois qu'il te trouve quelque chose verifie bien la ligne, tu fais un clic droit dessus et tu choisis supprimer, si tu as un doute n'y touche pas :-) puis tu appuies sur F3 pour qu'il continu la recherche jusqu'a ce qu'il te trouve plus rien

allomacha · Answer

bonsoir

j'ai essayé mais impossible

j'ai activé l'affichage de dossier caché
je suis allée dans la base de registre mais là un message me refuse la suppression du  dossier altnet.

en ouvrant l'arborescence, je vois un relais vers 
c\program files\altnet, mais je ne trouve pas de répertoire altnet à cet endroit, même avec l'option fichier caché 

je ne peut même pas ouvrir les sous répertoires 
HKEY_LOCAL_MACHINE\SOFTWARE\ALTNET\DASCHBOARD\MESSAGE 
et HKEY_LOCAL_MACHINE\SOFTWARE\ALTNET\DASCHBOARD\SETTING
message d'erreur: erreur lors de l'ouveryure de la clef.

j'ai activé les autorisations en contrôle total pour l'administrateur du portable (la case n'était pas cochée)

toujours impossible de supprimer.
j'ai fait un néttoyage,j'ai lancé éwido, spybot... et tout ce que j'ai pu trouvé sur les forums

toujours rien.

est ce que je dois me résoudre à reformater?

Utilisateur anonyme · Answer

Salut,

as tu essayé en modee sans echec ?

formater pour si peu, ça en vaut-il la peine ?!..

allomacha · Answer

bonsoir

oui, j'ai essayé en mode sans echec,  avec évido, spybot, des nettoyeurs, manuellement.....rien à faire
Ce qui m'inquiète c'est que la prise en main externe de mon ordinateur me semblait venir de là.

Utilisateur anonyme · Answer

Bizarre..

répare Windows alors au lieu de le formater; tu inseres ton Cd tu redémarre le Pc tu appuies sur une tocuhe pour démarrer sur le Cd tu choisis installer puis "reparer" tu devra refaire tes mises à jours ;-)

allomacha · Answer

OK mais je ne suis pas chez moi pour quelques jours, je vais donc devoir attendre ou trouver quequ'un pour me passer un cd windows.
je travaille dans un lycée où on utilise XP pro
je peut utiliser un cd pro pour réparer?

Utilisateur anonyme · Answer

non, ça fonctionnera pas de plus n'oublie pas qu'il te faut ta licence Windows

allomacha · Answer

ok, ben à dans quelques jours alors et MERCI POUR TOUT!

Utilisateur anonyme · Answer

de rien ;-)

A plus tard

++

Mon pc est il un zombi? (suite trojan?)

17 réponses