virus EGDACCESS81072.DLL Résolu

Question

BONJOUR A TOUS,
est ce que quelqu'un a réussi a se debarrasser de cette saleté et comment????????

il y a beaucoup de manip proposées avec plein de teléchargement a effectuer mais est ce que quelqu'un a réussi a trouver la manip qui detruit définitivement ce virus!!!!!!!!!!!

moi j'ai essayé plein de manip mais l'ordi continu de redemarrer
faut il supprimer msn pour la navigation sur internet et prendre un autre navigateur????????

il me faut une solution s'il vous plait je reste a chercher tous les soirs jusqu'a 1h00 mais rien ne marche
merci beaucoup de votre aide

Utilisateur anonyme · Answer

Salut,

Télécharge HijackThis: 
http://www.infos-du-net.com/telecharger/HijackThis.html

Installe le dans son propre dossier:
-clic droit sur le bureau, choisis "nouveau dossier" puis installe le dedans.
Lance le, clic sur "do a system scan and save logfile" 
Puis copie et colle le rapport ici stp

PIEPIOU · Answer

bonjour boulepate,
je sollicite une fois de plus ton aide car malgre tes precedentes manip l'ordi continu a planter.
je ne sais pas si les logiciels hijackthis et ewido ont ete installes correctement j'ai des messages d'erreur lorsque je les ouvrent.

voici quand meme  le dernier rapport.
Logfile of HijackThis v1.99.1
Scan saved at 23:27:00, on 02/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Apps\ActivBoard
hksrv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\System32\DRIVERS\WtSrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\program files\softwin\bitdefender8\bdnagent.exe
C:\Program Files\Softwin\BitDefender8\bdswitch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
c:\program files\softwin\bitdefender8\bdmcon.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\MSN\MSNCoreFiles\msn6.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft Money\System\urlmap.exe
C:\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://portail.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://portail.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] "c:\program files\softwin\bitdefender8\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender8\bdswitch.exe
O4 - HKCU\..\Run: [PreAnnotate] C:\WINDOWS\System32\PreAnntt.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\binesources\WebMenuImg.htm
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: Suggestions - {2223664C-1942-4276-9A2D-E8D8F547C5D2} - res://EffiPeled (file missing)
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Alice ADSL - {90B20080-B44A-451F-985F-B5F6BD63C9FC} - https://portail.free.fr/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=https://portail.free.fr/
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard
hksrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\System32\DRIVERS\WtSrv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

il me semble que chaque fois que j'enleve une entree suspecte elle reviens apres redemarrage?????

Utilisateur anonyme · Answer

Salut,

bon t'as un truc pas clair, fais ça pour verifier

telecharge ça:
http://download.bleepingcomputer.com/sUBs/combofix.exe

appuyes sur "Y" pour continuer

Attends quelques minutes..un rapport va s'ouvrir enregistre son contenu, puis copie et colle le sur ici stp

PIEPIOU · Answer

en fouillant dans le disque c: j'ai trouver peut etre ce que tu me demande

jean-philippe - 06-10-02 23:54:54,50    Service Pack 2
ComboFix 06.09.28 - Running from: "C:\Documents and Settings\jean-philippe\Bureau"

(((((((((((((((((((((((((((((((   Files Created from 2006-09-02 to 2006-10-02  ))))))))))))))))))))))))))))))))))
 

2006-09-27	23:16	53,248	--a------	C:\WINDOWS\system32\Process.exe
2006-09-27	23:16	40,960	--a------	C:\WINDOWS\system32\swsc.exe
2006-09-27	23:16	288,417	--a------	C:\WINDOWS\system32\SrchSTS.exe
2006-09-27	23:16	135,168	--a------	C:\WINDOWS\system32\swreg.exe
2006-09-27	18:04	218,112	--a------	C:\HijackThis.exe
2006-09-08	00:13	53,248	--a------	C:\WINDOWS\system32\NeroCo.dll
2006-09-08	00:13	1,167,360	---------	C:\WINDOWS\UNNeroBurnRights.exe
2006-09-06	01:03	96,256	--a------	C:\WINDOWS\system32\VB5FR.DLL
2006-09-06	01:03	9,728	--a------	C:\WINDOWS\system32\PCCLPFR.DLL
2006-09-06	01:03	10,240	--a------	C:\WINDOWS\system32\SYSINFR.DLL
2006-09-06	01:03	1,355,776	--a------	C:\WINDOWS\system32\MSVBVM50.DLL
 

((((((((((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-02 23:36	--------	d--------	C:\Program Files\eMule
2006-10-02 18:42	--------	d--------	C:\Program Files\ewido anti-spyware 4.0
2006-10-01 22:26	--------	d--------	C:\Documents and Settings\jean-philippe\Application Data\Canon
2006-09-26 22:24	--------	d--------	C:\Program Files\CCleaner
2006-09-25 23:53	--------	d--------	C:\Program Files\Internet Explorer
2006-09-25 23:47	--------	d--------	C:\Program Files\Outlook Express
2006-09-25 23:47	--------	d--------	C:\Program Files\Fichiers communs\System
2006-09-24 00:15	--------	d--------	C:\Program Files\Disney Interactive
2006-09-23 23:53	--------	d--------	C:\Program Files\Windows Media Player
2006-09-23 23:51	--------	d--h-----	C:\Program Files\InstallShield Installation Information
2006-09-23 23:51	--------	d--------	C:\Program Files\Wanadoo Edition
2006-09-23 23:47	--------	d--------	C:\Program Files\Infogrames
2006-09-23 23:46	--------	d--------	C:\Program Files\Alice
2006-09-09 23:25	--------	d--------	C:\Program Files\Adobe
2006-09-06 01:03	--------	d--------	C:\Program Files\PointSoft
2006-09-01 00:43	--------	d--------	C:\Program Files\Tarot
2006-08-21 14:26	16896	--a------	C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14	23040	--a------	C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14	128896	--a------	C:\WINDOWS\system32\drivers\fltmgr.sys
2006-07-27 15:26	679424	--a------	C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:27	72704	--a------	C:\WINDOWS\system32\hlink.dll
 

((((((((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))
 
*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PreAnnotate"="C:\WINDOWS\System32\PreAnntt.exe"
"LogitechSoftwareUpdate"="\"C:\Program Files\Logitech\Video\ManifestEngine.exe\" boot"
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE NvQTwk,NvCplDaemon initialize"
"BDMCon"="C:\Program Files\Softwin\BitDefender8\\bdmcon.exe"
"BDOESRV"="C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe"
"BDNewsAgent"="\"c:\program files\softwin\bitdefender8\bdnagent.exe\""
"BDSwitchAgent"="C:\Program Files\Softwin\BitDefender8\\bdswitch.exe"
"BDSwitchAgent"="C:\Program Files\Softwin\BitDefender8\\bdswitch.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,58,02,00,00,00,\
  00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
  ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
  00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDrives"=dword:0000e000
"NoDriveAutoRun"=dword:0000e000
"NoCDBurning"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorerun]

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Instant Access]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="rundll32"
"hkey"="HKCU"
"command"="rundll32.exe EGACCESS4_1058.dll,InstantAccess"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\services]
"avast! Web Scanner"=dword:00000003
"avast! Mail Scanner"=dword:00000003


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ  msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


 
~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ 

 
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS	asks\Rappel d'enregistrement 3.job
C:\WINDOWS	asks\Symantec NetDetect.job
 
Completion time: 02/10/2006 23:55:56.53 
ComboFix.txt

par contre sur le bureau c'est plus que la photo de mes petis
(remarque que c'est pas vilain mais j'ai plus rien d'autre!!!)

Utilisateur anonyme · Answer

Normalement, ça prend quelques minutes pas plus.. ferme tout tes navigateurs web puis essai a nouveau et dis moi quoi

Utilisateur anonyme · Answer

si c'est bon, désolé erreur de rafraîchessement de mon navigateur :-/

je regarde ça, en attendant fais un clic droit sur Hijackthis, choisis "propriétés" en haut supprimer "hijackthis.exe" et tu mets "abcde.exe" puis ok, refais un scan avec Hijackthis et colle le rapport ici stp

Utilisateur anonyme · Answer

voila,

cherche et supprime ce fichier:

EGACCESS4_1058.dll


Clic sur démarrer, poste de travail, C:, program files et supprime ces dossiers si présent:

Symantec
AlWill Software


**Si un fichier persiste lors de la suppression fais ceci:
-Redemarres ton pc, dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaitre choisis "mode sans echec" attends un peu.. puis vas supprimer les fichiers/dossiers qui persistaient, vides ta corbeille et redemarres normalement



Télécharge lopxp:
pageperso.aol.fr/balltrap34/lopxp.zip

dézippe-le sur ton bureau puis double-clic sur le fichier "lopxp.bat"
quand il à terminé, un rapport s'ouvre : fais un copier-coller puis mets le ici

PIEPIOU · Answer

J'AI RIEN TROUVER SUR EGACCESS4_1058.DLL j'ai supprimer les dossiers symantec j'ai pas reussi de supprimer alwil software c'est le reste de avast il veut pas me l'enlever acces refuse???? voici le rapport demande Rapport fait à 1:03:41,64 le 03/10/2006 Le volume dans le lecteur C s'appelle HDD Le num‚ro de s‚rie du volume est 5025-F5E7 R‚pertoire de C:\Documents and Settings\Administrateur.SN4453487200.000\Application Data 24/09/2006 14:17 62 desktop.ini 24/09/2006 14:17 Adobe 24/09/2006 14:17 Identities 24/09/2006 14:17 InterTrust 24/09/2006 14:17 .. 24/09/2006 14:17 Microsoft 24/09/2006 14:17 . 1 fichier(s) 62 octets 6 R‚p(s) 20662267904 octets libres Le volume dans le lecteur C s'appelle HDD Le num‚ro de s‚rie du volume est 5025-F5E7 R‚pertoire de C:\Documents and Settings\All Users\Application Data 17/09/2006 20:52 Windows Genuine Advantage 10/09/2006 15:14 DVD Shrink 09/09/2006 23:26 Adobe 01/09/2006 00:43 InstallShield 21/06/2006 21:26 Google 01/10/2004 23:48 Viewpoint 27/12/2002 23:06 MSN6 27/12/2002 00:49 QuickTime 26/12/2002 23:31 Symantec 17/10/2002 00:35 CyberLink 17/10/2002 00:17 SBSI 17/10/2002 00:03 62 desktop.ini 17/10/2002 00:03 Microsoft 17/10/2002 00:03 . 17/10/2002 00:03 .. 1 fichier(s) 62 octets 14 R‚p(s) 20662263808 octets libres Le volume dans le lecteur C s'appelle HDD Le num‚ro de s‚rie du volume est 5025-F5E7 R‚pertoire de C:\Documents and Settings\alocale Le volume dans le lecteur C s'appelle HDD Le num‚ro de s‚rie du volume est 5025-F5E7 R‚pertoire de C:\Documents and Settings\CLEMENT\Application Data 29/12/2005 20:05 InstallShield Installation Information 21/02/2005 00:17 Free Spider TreeCardGames 02/08/2004 12:36 2612 Passeport II Prefs 02/08/2004 12:34 1094 Enregistrement Hachette 21/12/2003 20:19 74296 GDIPFONTCACHEV1.DAT 02/12/2003 19:46 Kazaa Lite 10/09/2003 20:38 Microsoft Games 27/03/2003 20:03 Copernic 27/03/2003 19:41 Macromedia 20/03/2003 18:36 Help 03/03/2003 20:19 62 desktop.ini 03/03/2003 20:19 Adobe 03/03/2003 20:19 InterTrust 03/03/2003 20:19 Identities 03/03/2003 20:19 .. 03/03/2003 20:19 . 03/03/2003 20:19 Microsoft 4 fichier(s) 78064 octets 13 R‚p(s) 20662263808 octets libres Le volume dans le lecteur C s'appelle HDD Le num‚ro de s‚rie du volume est 5025-F5E7 R‚pertoire de C:\Documents and Settings\data Le volume dans le lecteur C s'appelle HDD Le num‚ro de s‚rie du volume est 5025-F5E7 R‚pertoire de C:\Documents and Settings\Default User\Application Data 26/12/2002 21:39 InterTrust 26/12/2002 21:39 Adobe 26/12/2002 21:39 Identities 17/10/2002 00:03 62 desktop.ini 17/10/2002 00:03 Microsoft 17/10/2002 00:03 .. 17/10/2002 00:03 . 1 fichier(s) 62 octets 6 R‚p(s) 20662263808 octets libres Le volume dans le lecteur C s'appelle HDD Le num‚ro de s‚rie du volume est 5025-F5E7 R‚pertoire de C:\Documents and Settings\DirectX Le volume dans le lecteur C s'appelle HDD Le num‚ro de s‚rie du volume est 5025-F5E7 R‚pertoire de C:\Documents and Settings\jean-philippe\Application Data 21/06/2006 21:26 Google 17/06/2006 23:57 FotoWire 08/06/2006 21:03 Media Player Classic 21/01/2006 00:41 Template 07/01/2004 22:09 Macromedia 05/11/2003 00:10 Kazaa Lite 14/09/2003 16:54 Microsoft Games 01/04/2003 20:50 115272 GDIPFONTCACHEV1.DAT 23/03/2003 22:05 Copernic 07/03/2003 22:57 VERITAS 09/02/2003 21:23 Microsoft Web Folders 07/02/2003 19:30 Free Spider TreeCardGames 16/01/2003 23:14 Aim 01/01/2003 20:48 Canon 27/12/2002 23:06 MSN6 27/12/2002 21:59 Help 26/12/2002 23:31 Symantec 26/12/2002 21:41 62 desktop.ini 26/12/2002 21:41 Adobe 26/12/2002 21:41 Identities 26/12/2002 21:41 InterTrust 26/12/2002 21:41 .. 26/12/2002 21:41 . 26/12/2002 21:41 Microsoft 2 fichier(s) 115334 octets 22 R‚p(s) 20662259712 octets libres Le volume dans le lecteur C s'appelle HDD Le num‚ro de s‚rie du volume est 5025-F5E7 R‚pertoire de C:\Documents and Settings\Propri‚taire\Application Data 17/10/2002 00:23 Adobe 17/10/2002 00:23 InterTrust 17/10/2002 00:14 Identities 17/10/2002 00:14 62 desktop.ini 17/10/2002 00:14 .. 17/10/2002 00:14 Microsoft 17/10/2002 00:14 . 1 fichier(s) 62 octets 6 R‚p(s) 20662259712 octets libres ****************************************** Recherche des taches planifiées dans C:\WINDOWS asks Le volume dans le lecteur C s'appelle HDD Le num‚ro de s‚rie du volume est 5025-F5E7 R‚pertoire de C:\WINDOWS\Tasks 26/12/2002 21:40 258 Rappel d'enregistrement 3.job 17/10/2002 00:10 6 SA.DAT 17/10/2002 00:09 .. 17/10/2002 00:09 . 01/01/1980 00:00 65 desktop.ini 3 fichier(s) 329 octets 2 R‚p(s) 20ÿ662ÿ259ÿ712 octets libres ****************************************** Recherche dans Program files Le dossier C:\Program Files\C2Media n'existe pas *************** Fin du rapport ****************

Utilisateur anonyme · Answer

Pour ce qui ets du dossier Avast:

Télécharge
https://www.clubic.com/telecharger-fiche20237-unlocker.html

Installe-le, ensuite fais un clique droit sur le dossier Avast qui résiste, selectionne "unlocker" une fenêtre va s'afficher, choisissez "effacer" puis "valider" 


Pour afficher tous les dossiers et fichiers cachés;

Clic sur "démarrer", "panneau de configuration", "outils" ,"option des dossiers", "affichage"
"
Coche: 
¤ afficher les fichiers et dossiers cachés
Clic sur "appliquer" puis "ok"


Clic sur démarrer, poste de travail, C:, documents and settings, all users, application data et supprime ce dossier:

Symantec

même chose avec le dossier ean-Philippe


-Ouvre HijackThis 

Clic sur "open the misc tools section"
Clic sur "open uninstall manager"
Clic sur "Save list" dans la fenêtre qui va s'ouvrir enregistre le fichier à un endroit ou tu le retrouvera facilement.

Ensuite, fais un copier du texte qui y aura dans ce fichier puis colles le ici stp

PIEPIOU · Answer

je ne sais pas si tu bosse demain mais moi oui
malgre le fait que je suis plus qu'impatient de detruire ce virus je vais aller me coucher
je suis nase et j'ai pas de chance le pc ce soir ne plante pas!!!!!!
merci boulepate et a demain
je te laisse chercher la solution tu a l'air drolement cale en informatique

a+ tchao

Utilisateur anonyme · Answer

Salut,

je vois plus rien de suspect, donc essayons autre chose

Télécharges Blacklight et sauvegarde le sur ton bureau.
https://www.f-secure.com/en
Double cliques sur  " blbeta.exe " et acceptes la licence; clic sur "Scan" puis "Next"

Un rapport, va se créer sur ton bureau "fslb-....."

Copies et colles le contenu de ce rapport ici.

Ne touche à rien d'autre!


et

Télécharge SmitfraudFix (enregistre le sur le "bureau")
http://siri.urz.free.fr/Fix/SmitfraudFix.zip

décompresse SmitfraudFix
Lance le fichier SmitfraudFix ou SmitfraudFix.cmd et choisis l option 1 copie le rapport ici stp

PIEPIOU · Answer

SALUT BOULATE
TOUJOURS PRET A DEPANNER LES NOVICES BRAVOMSN VIENS JUSTE DE PLANTER J'ESPERE QUE JE VAIS AVOIR LE TEMPS DE REPONDRE A TON MESSAGE

VOILA J'AI TELECHARGE LES LOGICIELS (Y EN A PLEIN LE BUREAU D'AILLEUR DEPUIS CETTE SALETE DE VIRUS!)

VOICI LES RAPPORTS 

BLACKLIGHT

10/04/06 23:03:37 [Info]: BlackLight Engine 1.0.47 initialized
10/04/06 23:03:37 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/04/06 23:03:37 [Note]: 7019 4
10/04/06 23:03:37 [Note]: 7005 0
10/04/06 23:03:50 [Note]: 7006 0
10/04/06 23:03:50 [Note]: 7011 1068
10/04/06 23:03:50 [Note]: 7026 0
10/04/06 23:03:51 [Note]: 7026 0
10/04/06 23:03:51 [Note]: 7024 3
10/04/06 23:03:51 [Info]: Hidden process: C:\windows\system32\etmywzvsg.exe
10/04/06 23:03:51 [Note]: FSRAW library version 1.7.1020
10/04/06 23:04:31 [Info]: Hidden file: c:\WINDOWS\system32\etmywzvsg.dat
10/04/06 23:04:31 [Note]: 10002 1
10/04/06 23:04:32 [Info]: Hidden file: C:\windows\system32\etmywzvsg.exe
10/04/06 23:04:32 [Note]: 10002 1
10/04/06 23:04:32 [Info]: Hidden file: c:\WINDOWS\system32\etmywzvsg_nav.dat
10/04/06 23:04:32 [Note]: 10002 1
10/04/06 23:04:32 [Info]: Hidden file: c:\WINDOWS\system32\etmywzvsg_navps.dat
10/04/06 23:04:32 [Note]: 10002 1
10/04/06 23:05:41 [Info]: Hidden file: c:\WINDOWS\Prefetch\ETMYWZVSG.EXE-3AEC679C.pf
10/04/06 23:05:41 [Note]: 10002 1
10/04/06 23:11:46 [Note]: 7007 0


ET CELUI DE SMITFRAUDFIX

SmitFraudFix v2.100

Rapport fait à 23:17:48,21, 04/10/2006
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jean-philippe


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jean-philippe\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\JEAN-P~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=hex(1):05,00,73,00,6f,00,63,00,6b,00,73,00,70,00,79,00,2e,00,64,\


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

IL DOIT Y AVOIR ENCORE QUELQUES SALOPERIES CAR L'ORDI EST ENCORE TRES LENT ET IL PLANTE ENCORE DE TEMPS EN TEMPS
MAIS MOIS J'AI REUSSI A NAVIGUER SUR GOOGLE PAS MAL DE TEMPS HIER SOIR

MERCI D'AVANCE

A PLUS BOULATE

Utilisateur anonyme · Answer

Salut Piepou,

je vois clair tu sais ? lol
tu peux supprimer --> SmitraudFix


tu es infecté, donc méthode à suivre ci-dessous:

Télécharge BruteForce Uninstaller ici: 
http://www.merijn.org/files/bfu.zip 
Créé un nouveau dossier sur le bureau par exemple, nomme le CCM, dezippe le fichier telechargé à l'interieur


Ensuite, télécharge EGDACCESS : 

Fais un clic droit ici:
 http://metallica.geekstogo.com/EGDACCESS.bfu et choisis "fichier" , "enregistrer sous" enregistre le sur le "bureau" puis mets le dans le dossier CCM que tu as créer, tu aura donc les deux fichiers BFU.exe et EGDACCESS.bfu à l'interieur de ce dossier CCM

----------
Lance "BruteForce Uninstaller" en cliquant sur BFU.exe 
 Clic sur le petit dossier jaune, et clique sur : EGDACCESS.bfu 
 Coches la case "Show log" after script ends 
 Clique sur Execute pour que le fix fasse son boulot 

Attends que le message Complete script execution apparaîsse et clique sur OK. 
Un rapport va s'afficher dans la fenetre du programme, copie et colle dans le bloc-notes, puis sauvegardes le.
Clique Exit pour fermer le programme BFU. 



Ensuite, lance Blacklight en double cliquant sur blbeta.exe et accepte la licence. 
Clique sur Scan pour lancer l'analyse. 
Une fois fait, selectionnes chaques fichiers trouvés et clic sur "RENAME" 
Puis valide. 
Réponds oui aux messages d'avertissements et te demandant si tu autorises le reboot du pc. 

------------------ 

Après le reboot du pc, les fichiers : 

C:\windows\system32\etmywzvsg.exe 
c:\WINDOWS\system32\etmywzvsg.dat 
c:\WINDOWS\system32\etmywzvsg_nav.dat 
c:\WINDOWS\system32\etmywzvsg_navps.dat 
c:\WINDOWS\Prefetch\ETMYWZVSG.EXE-3AEC679C.pf

devraient être visible et pouvoir être supprimés sans aucuns soucis. 
Blacklight ne les supprimes pas, il les renommes simplement et il va falloir que tu les supprimes toi même: 
Vas dans C:\WINDOWS\system32\ et recherches et effaces: 


C:\windows\system32\etmywzvsg.exe.ren
c:\WINDOWS\system32\etmywzvsg.dat.ern
c:\WINDOWS\system32\etmywzvsg_nav.dat.ren
c:\WINDOWS\system32\etmywzvsg_navps.dat.ren
c:\WINDOWS\Prefetch\ETMYWZVSG.EXE-3AEC679C.pf.ren

Une fois fait, poste le rapport de BFU que tu auras sauvegardé et un nouveau rapport de blacklight stp

PIEPIOU · Answer

BRAVO BOULATE
LA MANIP A L'AIR D'ETRE UN PEU PLUS COMPLEXE ALORS JE COPIE TON MESSAGE SUR MA CLE POUR L'IMPRIMER DEMAIN AU BOULOT ET JE T'ENVOI LE NOUVEAU RAPPORT DEMAIN SOIR JE PENSE

MERCI ET A DEMAIN

Utilisateur anonyme · Answer

OK PIEPOU PAS DE SOUCIS 

A DEMAIN ! SANS MAJUSCULES JESPERE

PIEPIOU · Answer

bonsoir boulate
j'ai fini les manips et voici les resultats
tu vois je commence a devenir un peu moins mauvais et même que j'ecris avec les minuscules ...........

BFU v1.00.9
Windows XP SP2 (WinNT 5.01.2600 SP2)
Script started at 00:36:35, on 06/10/2006

Option Delete files to Recycle Bin: Yes
Failed: DllUnregister C:\WINDOWS\system32\MSWBM32.DLL|1 (file not found)
Failed: DllUnregister C:\Program Files\MailSkinner\OESkinner.dll|1 (file not found)
Failed: FolderDelete C:\Program Files\dialpass (folder not found)
Failed: FolderDelete C:\Program Files\eghtmldialer (folder not found)
Failed: FolderDelete C:\Program Files\egroup (folder not found)
Failed: FolderDelete C:\Program Files\Instant Access (folder not found)
Failed: FolderDelete C:\Program Files\MailSkinner (folder not found)
Failed: FolderDelete C:\Program Files\InternetGameBox (folder not found)
Failed: FolderDelete C:\Program Files\GoRecord2 (folder not found)
Failed: FolderDelete C:\Program Files\GoAstro (folder not found)
Failed: FolderDelete C:\Program Files\SudoPlanet (folder not found)
Failed: FolderDelete C:\Program Files\WebMediaPlayer (folder not found)
Failed: DllUnregister C:\WINDOWS\mslagent\2_mslagent.dll|1 (file not found)
Failed: DllUnregister C:\WINDOWS
avmpc\2_navmpc.dll|1 (file not found)
Failed: FolderDelete C:\WINDOWS\mslagent (folder not found)
Failed: FolderDelete C:\WINDOWS
avmpc (folder not found)
Failed: FolderDelete C:\WINDOWS\wintrim (folder not found)
Failed: FolderDelete C:\WINDOWS\wincomp (folder not found)
Failed: FolderDelete C:\WINDOWS\winmgts (folder not found)
Failed: FolderDelete C:\WINDOWS\simcss (folder not found)
Failed: FolderDelete C:\WINDOWS\mc (folder not found)
Failed: FileDelete C:\DOCUME~1\JEAN-P~1\LOCALS~1\Temp\msn720.fdr (operation failed)
Failed: FileDelete C:\DOCUME~1\JEAN-P~1\LOCALS~1\Temp\~DF868.tmp (operation failed)
Failed: FolderDelete C:\WINDOWS\Temp	mp00003959 (operation failed)
Script completed.

pour ce qui est du rapport de blacklight il indique qu'il y a aucunes erreurs

je ne sais pas si cela suffit merci de me tenir au courant

a plus boulate et merci

Utilisateur anonyme · Answer

Salut Piepou

peux tu mettre un rapport BlackLigt stp (si ça fonctionne bien sûr)

PIEPIOU · Answer

bonojur boulate,
avant de partir au boulot j'ai reussi a me connecter sur internet et j'ai vu ton message.
j'ai fiat ce matin un scan avec blacklight et voici je pense le rapport.
(la date ne correspond pas mais l'heure oui)
l'analyse indique aucune erreur:

10/07/06 08:30:04 [Info]: BlackLight Engine 1.0.47 initialized
10/07/06 08:30:04 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/07/06 08:30:04 [Note]: 7019 4
10/07/06 08:30:04 [Note]: 7005 0
10/07/06 08:30:08 [Note]: 7006 0
10/07/06 08:30:08 [Note]: 7011 1224
10/07/06 08:30:08 [Note]: 7026 0
10/07/06 08:30:09 [Note]: 7026 0
10/07/06 08:30:39 [Note]: FSRAW library version 1.7.1020
10/07/06 08:48:33 [Note]: 2000 1012
10/07/06 08:48:33 [Note]: 2000 1012
10/07/06 08:48:33 [Note]: 2000 1012
10/07/06 08:54:10 [Note]: 7007 0


je serai de retour ce soir sur le net en attendant je vais effectuer ma derniere journée de travail
a ce soir boulate

salut

Utilisateur anonyme · Answer

Salut PiePou

dès ton retour fais ça stp

Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2 (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour  faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici avec un nouveau rapport hijackthis  stp

https://www.bitdefender.com/toolbox/

PIEPIOU · Answer

salut boulepate
c'est pas que j'ai oublier de t'envoyer les rapports c'est que je n'arrive pas a les effectuer!!

depuis hier soir j'essaye de faire le scan avec le lien que tu indique le pb c'est que ca plant avant la fin 
alors je recommence et je te ferais parvenir les rapports lorsque cela fonctionnera.
j'ai toujours le souci avec le pc qui plante quand il veut

a bientot j'espere

tchao

PIEPIOU · Answer

SALUT BOULEPATE
j'ai pas oublier mais impossible de faire le scan en entier le pc continu de planter
je ne paut pas rester connecter sur internet suffisement longtemps tous les programmes ferment les uns derriere les autres
j'ai donc fini par eteindre l'ordi hier soir!!!!!!!!!!!

a+ si dieu veut

Utilisateur anonyme · Answer

Salut Piepiou,

remet un rapport hijackthis stp

PIEPIOU · Answer

bonsoir boulepate,

malgre toute les difficultes rencontrées j'ai reussi a faire un rapport que voici:

Logfile of HijackThis v1.99.1
Scan saved at 19:38:06, on 09/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Apps\ActivBoard
hksrv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\System32\DRIVERS\WtSrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Softwin\BitDefender8\bdmcon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\program files\softwin\bitdefender8\bdnagent.exe
C:\Program Files\Softwin\BitDefender8\bdswitch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\APPS\Packard Bell Companion\Packard Bell Companion.exe
C:\Program Files\Microsoft Money\System\urlmap.exe
C:\abcde.exe.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://portail.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://portail.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender8\bdswitch.exe
O4 - HKCU\..\Run: [PreAnnotate] C:\WINDOWS\System32\PreAnntt.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\binesources\WebMenuImg.htm
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: Suggestions - {2223664C-1942-4276-9A2D-E8D8F547C5D2} - res://EffiPeled (file missing)
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Alice ADSL - {90B20080-B44A-451F-985F-B5F6BD63C9FC} - https://portail.free.fr/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=https://portail.free.fr/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard
hksrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\System32\DRIVERS\WtSrv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

par contre c'est une vrai galere
le pc plante de plus en plus
mon fils a mis des ventes sur ebay il n'arrive plus a les suivre!!!!

je mange et j'essaye de revenir tout a l'heure
merci et a +

Utilisateur anonyme · Answer

Salut Piepiou,

as tu un message d'erreur quand le Pc plante ?

Tu vas faire ça, peut- être Bitdefender qui fait des siennes..

Télécharge sans installer(pour le moment) Avast
Même chose ici, avec Kerio(pare--feu)
Dès que tu as téléchargé des deux logiciels, déconectte toi complétement d'Internet.

Désintalle Bitdefender 8, dès que c'est fait, redémare ton ordi(pense à couper la connexion) puis fait un nettoyage avec Ccleaner.

Tu installes l'anti-virus Avast dès que c'est fait, ne redémarre par l'ordinateur tout de suite, tu installes Kerio une fosi que c'est finit alors Kerio te demandera de redemarré l'ordi tu acceptes.NE REMET PAS TA CONNEXION MAINTENANT


Ensuite, tu Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"(si il manques des lignes c'est normal)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize 
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\bdmcon.exe 
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe 
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe" 
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender8\bdswitch.exe 
O4 - HKCU\..\Run: [PreAnnotate] C:\WINDOWS\System32\PreAnntt.exe 
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot 
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Suggestions - {2223664C-1942-4276-9A2D-E8D8F547C5D2} - res://EffiPeled (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - download.bitdefender.com/resources/scan8/oscan8.cab 
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll


Clic sur "demarrer", "executer", tape: services.msc ,cherche dans la liste cette ligne, fais un clic droit dessus choisis "propriétés" et régle la sur "désactivé"

NVIDIA Driver Helper Service


celle la sur "manuel"

ewido anti-spyware 4.0 guard
Virtual CD v4 Security service
WinTab Service


Tu refais un nettoyage avec Ccleaner pusi tu rallumes ta connexion Internet, Avast ce mettra à jour et tu aura des alertes de Kerio, c'est normal! 

Dès que tu as fait ça remet un rapport hijackthis stp


Avast: (anti-virus gratuit en français!)
Avast

Kerio: (pare-feu, qui reste gratuit après la periode d'essai!)
Kerio
-tutoriel: pour configurer et comprendre l'utilisation de Kerio
kerio.probb.fr/index.htm

PIEPIOU · Answer

bonjour boulepate,
j'ai reussi a me connecter avant de prendre le train pour paris ce matin
j'ai copier ton message pour l'imprimer au boulot
j'ai juste le message "ereur serieuse" au redemarrage sinon rien d'autre
des que je peut je fais les manips

a bientot

salut et merci

PIEPIOU · Answer

bonsoir boulepate
je suis de retour de paris 
je ferais la manip de main mais faut il vraiment que je supprime bitdefender??????
je l'ai installer il n'y a pas longtemps et il fonctionnait bien avant de prendre egdaccess (je sais pas comment d'ailleur!!)

ca fait un moment que l'on bataille pour detruire cette saloperie de virus est ce que l'on va y arriver boulepate???????????

en tout cas meme si c'est difficile d'avoir l'ordi qui redemarre sans arret moi je ne lache pas il faut que je le detruise ce virus
a demain boulepate

PIEPIOU · Answer

salut boulepate

je n'ai pas eu le temps de faire la manip 
tu ne m'as pas repondu au message 32 au sujet de l'obligation de virer bitdefender

enfin je ferais quand même la manip des que j'aurais 5mn je te fait entierement confiance

a  bientot

merci boulepate

Utilisateur anonyme · Answer

Salut Piepiou,


Désinstalle juste pour le moment Bitdefender nettoye ta base de registre avec Ccleaner  puis réinstalle le pour voir ce que ça donne :-)

PIEPIOU · Answer

SALUT BOULEPATE
j'ai fait les manips du message 30
j'ai desinstaller bitdefender et mis avast et kerio
voici le rapport;

Logfile of HijackThis v1.99.1
Scan saved at 23:40:35, on 13/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Apps\ActivBoard
hksrv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\DRIVERS\WtSrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Microsoft Money\System\urlmap.exe
C:\abcde.exe.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://portail.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://portail.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\binesources\WebMenuImg.htm
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Alice ADSL - {90B20080-B44A-451F-985F-B5F6BD63C9FC} - https://portail.free.fr/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=https://portail.free.fr/
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard
hksrv.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\System32\DRIVERS\WtSrv.exe

que faut il encoer faire et faut il que je conserve tous les pgm telechargés??  (ewido,combofix,blicklight.....)

suite au prochain épisode

merci boulepate je vais me coucher il est minuit et je bosse demain

a demain soir pour la suite


tchao

Utilisateur anonyme · Answer

Salut Piepiou

non, tu peux jeter: smitfraudfix, blacklight, combofix .. garde Ewido il te sera utile scannes ton Pc de temps en temps avec lui ;-)


Ton rapport hijackthis est propre, ou en sont tes problèmes ?

A++

PIEPIOU · Answer

bon et bien c'est pas mieu voir même pire!!!!!!!!!!
en effet je suis content que le rapport hijackthis soit propre mais l'ordi lui est encore pas trop au point...
maintenant il plante en mettant une page bleu comme quoi windows est obligé de s'arreter pour ne pas endomagé le systeme et il transfert la memoire???????????

j'ai essayé de faire une analyse avec avast mais je n'arrive pas a aller au bout le pc plante
il a quand même reperé 2 infections que j'ai de suite supprimées:
win32:pcacme  et  win32:pskill.e

par contre avec regcleaner c"est propre

je suis desolé de devoir encore te dire que ce n'est pas terminer!!!!!!!!

bon j'attend la suite en esperant rester assez longtemps en connection pour pouvoir t'envoyer les messages

a+ boulepate

Utilisateur anonyme · Answer

Salut PiePiou,

attention avec RegCleaner il à tendance à avoir la main lourde.

Clic sur démarrer, poste de travail, clic droit sur C:, propriétés, onglet "outils" clic sur "vérifier maintenant" coches les deux cases, puis "ok" un message va apparaitre, réponds "oui" puis redémarre ton Pc et laisse le finir, tu me dira quoi il en ressort

A++

PIEPIOU · Answer

bonjour boulepate,
je vois que tu es toujours pret a faire feu,c'est magnifique.
ce matin j'ai réussi a faire une analyse en entier avec avast
un exploit!!!peut être allons nous y arriver.....
il a encore deceler quelques erreurs 
j'ai fait aussi une analyse avec ewido

j'ai fait la manip de ton message 38 j'ai redemarrer et a part la lenteur du pc qui rame il n'y a pas eu de message
je reste en connection aujourd'hui pour verifier si le pc reste allumé et je te tiens au courant ce soir
merci et a +
bon dimanche

PIEPIOU · Answer

bon me voici de retour et bilan de la journée

le pc n'a pas redemarrer et la mule est toujours en fonction
par contre je surfe sur internet avec msn et il vient de se couper sans raison.

pour le reste ca a tenu la journée nous sommes en net progrés

voila pour aujourd'hui
a + boulepate

je vais essayé de graver un cd maintenant car j'ai flamber 10 cd le graveur ne va pas jusqu'a la fin

Utilisateur anonyme · Answer

Salut PiePiou,

ok, c'est cool, pour ton problème avec MSN il faurdrait que tu télécharges Opéra ou FireFox et de laisser de côté MSN car c'est basé sur IE et ton problème doit provenir de spywares encore cachès.

Télécharge ce logiciel, installe le, clic sur "updates" pour le mettre à jour puis fais un scan complet de ton système puis dis moi ce qu'il te trouve stp

Spycatcher Express Free: (en anglais, gratuit)
http://download.tenebril.com/pub/bin/spycatcher-express.exe

Si t'as besoin d'un traducteur en Anglais:
https://translate.google.com/

A++

PIEPIOU · Answer

salut boulepate,
tu as plus d'un tour dans ton sac!!!!!!!!
je pige pas super l'anglais mais voici le compte rendu du scan de spycatcher (qui porte bien son nom on dirait)

21 ask et 4 quarantaine

voici le detail si j'ai bien recopié:

ARCBALL.OCX
AVSredirect.dll
Back Web  =quarantaine
bdoscandel.exe
bdupod.dll
Conducent FlexPack =quarantaine
DIVXWMPExtType.dll
fxfileop.dll
GSTPLT32.DLL
Inspexep =quarantaine
ipsupd.dll
lhtool.exe
meta4.exe
MOTA113.exe
oscan81.ocx x
smab.dll
SWSC.exe
TourigCarFR.DLL
ucinst32.dll
UCMfg.exe
UnGins.exe
WildTagent =quarantaine
WMCRRS.exe
x.264.exe
x2.64.exe


voila le travail

et maintenant c'est quoi qu'on fait????????????

a+ boulepate

Utilisateur anonyme · Answer

Salut PiePiou,

merci, pour ce rapport fait manuellement ! 


Rends toi sur ce site, dans le haut clic sur "choisir" une fenêtre va s'ouvrir tu cherches l'emplacement des fichiers ci-dessous(clic sur "trace" dans spycatcher pour verifier ou ils se trouvent) puis une fois que tu as trouvé le fichier clic sur "send" analyse chcuns des fichiers ci-dessous:

S'il te marque Nothing à chaques lignes c'est qu'il y a rien s'il marque autre chose alors cherche et supprime le(s) fichier(s)

ARCBALL.OCX 
bdupod.dll 
lhtool.exe 
TourigCarFR.DLL 
ucinst32.dll 
UCMfg.exe


WMCRRS.exe < à supprimer
x.264.exe  < supprime les deux


choisis "remove" dans spycatcher pour ceux ci-dessous

Conducent FlexPack 
Back Web
WildTagent
Inspexep

A++

PIEPIOU · Answer

et voila ca y est je decroche!!!!

cette fois je la comprend pas la manip mon boulepate.
d'abord c'est quoi le site ou il faut que je me rende???
j'ai réussi a trouver les emplacements avec "traces" et apres je fais quoi?
pour ce qui est de changer "remove" ca c'est ras mais pour le reste la je coince
(je savais bien que j'etais leger en informatique!!!)
tu as du courage pour continuer a me venir en aide
je sais pas si c'est aussi lonnnnnng avec les autres pb mais je viens de voir que c'est le 44eme message....
bravo!!!!!!

a+boulepate j'attend avec le papier de la manip sous les yeux

ps:j'ai arreter msn et je suis en connection avec firefox
autre chose j'ai voulu graver un cd pour mon fils et le graveur y va plus jusqu'au bout c'est le 11eme cd a la poubelle
je passe vraiment pour un gros nul aux yeux de mon fils!!!!

Utilisateur anonyme · Answer

bah c'est sûr que tu peux pas comprendre si tu n'as pas le site !

http://www.virustotal.com/en/virustotalx.html

une fois que tu as fait ça on verra pour ton problème de graveur si il persiste
PS: achéte un Cd-Rw comme ça si la gravure merde tu pourra l'effacer et l'utiliser à nouveau ;-)

PIEPIOU · Answer

bonsoir boulepate
merci de ton aide voici le résultat de la derniere manip
j'ai fait le scan des dossiers et c'est ras
le seul souci c'est que je n'arrive pas a trouver bdupod.dll pour le scan
c'est la même chose pour supprimer les 2 dossiers x.264.exe je n'arrive pas a les trouver
il se trouve qu'avec traces j'obtiens windows/systeme32/co...
mais je n'arrive pas trouver ce dossier
(les 3 dossiers ont ce même chemin)

comeent doit je faire

encore merci j'attend il ne me reste que ces 3 dossiers a traiter

ps:il y a un autre dossier mis en quarantaine par spycatcher
(cela fait maintenant 26 dossiers)
il s'agit de Recommended removal

Utilisateur anonyme · Answer

Salut PiePiou,

dans SpyCathcher change quarantaine contre remove pour celui la:

Recommended removal

même chose avec les autres tu mets sur remove !

PIEPIOU · Answer

bonsoir boulepate
c'est ok tous les dossiers en quanataine sont remove
par contre tu ne m'a pas dit comment je dois faire pour les dossiers que je ne trouve pas????

le pc plante mois mais il plante toujours
il est aussi tres lent

merci et a plus   (peut etre même ce soir)

Utilisateur anonyme · Answer

Salut PiePiou,

ce que tu ne trouves pas sert toi de Spycatcher est dans la liste des fichiers qu'il t'as trouvès, tu règles ce que tu n'as pas trouvès sur "remove"

Tu as ton Cd Xp ?

PIEPIOU · Answer

salut boulepate
bravo pour la rapidité de la reponse
j'ai mis remove sur  les 3 dossiers impossibles a trouver et donc impossibles à scanner avec "virustotal"
bdupod.dll      x.264.exe    et    x2.64.exe

pour le cd xp j'ai pas car ce logiciel etait fourni avec le pc quand je l'ai acheté

par contre si tu me demande ca c'est que ca sent pas bon du tout!!!!!!

il va falloir tout virer et tout reinstaller???????

a de suite boulepate merci

Utilisateur anonyme · Answer

Ah bah ça c'est con lol 

vu que ton problème persiste je vois pas d'autres solutions mise à part une réinstallation de Windows, je ne sais pas si tu peux le faire avec le Pc que tu as ?? c'est indiqué à l'écran; choisir "installation" puis "réparation"

PIEPIOU · Answer

bon je vois que l'histoire touche a sa fin
si je reinstalle windows mes dossiers vont etre supprimés et je ne peut pas les sauvegardés le graveur y plante lui aussi
es tu sur que c'est l'ultime solution
personne a reusi a se debarrasser de ce virus?

j'ai aucun cd des logiciels de base:windows,money,.....

ou je trouve installation et reparation a l'ecran?

a plus merci

PIEPIOU · Answer

coucou boulepate ca marche encore....
le pc viens de redemarrer avec un ecran bleu indiquant:  
IRQL_NOT_LESS_OR_EQUAL
et a l'ouverture de windows je suis arrivé sur la page utilitaire de configuration

les points suivants sont ils normaux:

reglage sur "demarrage selectif"

dans "system.ini" je vois des nom pas catholiques:
   (386enh)
        woafont=opp850.FON
        EGA80WOA.FON=EGA80850.FON
        EGA40WOA.FON=EGA40850.FON
        CGA80WOA.FON=CGA80850.FON
        CGA40WOA.FON=CGA40850.FON

les "ega" sont ils normaux????

dans win.ini

je trouve (indigo rose)
                   (clone cd)
faut il enlever

n'y aurait il pas des choses a enlever dans cet utilitaire??

a plus boulepate et merci

PIEPIOU · Answer

resalut boulepate
avant d'aller me coucher j'ai refait un scan avec "spycatcher"
le niveau de protection est sur medium
j'ai fait un custom scan voici le resultat
memory=ras
registry=1
disks=4

4 nouveaux dossiers en quarantaine:

eDonkey
Final Ares Comple...
Home Watcher
RAdmin

est ce je dois mettre le niveau de protection sue hight et refaire un scan??

merci de continuer a m'aider

a + boulepate

Utilisateur anonyme · Answer

Tu peux le mettre en Hight pour voir le résultat  ;-)

PIEPIOU · Answer

salut boulepate
je vois que tu es toujours interressé de pouvoir virer ce satané virus!!!!
c'est super de ta part
j'ai fait tourner en hight mais il n'a pas fini (environ 90000 fichiers)
il a stoppé mais c'etait presque fini

par contre le pc s'arrete toujours sans raison mais pour l'instant a part qu'il est tres lent nous arrivons a faire à peu pres ce que nous voulons

j'espere neanmoins que je pourrais enlever le virus sans avoir a tout enlever

sinon par rapport au message 53 est ce que tout est normal?

merci boulepate et a ce soir je vais bosser

PIEPIOU · Answer

il est plus la boulepate?????
hier soir j'ai abandoné l'ordi faisait que redemarrere
j'ai eteint toute la nuit et ce matin ca a l'air d'aller
(en plus il va vite c'est super mais ca ne va pas durer)
voici les dernieres nouvelles
pour l'instant je n'arrive pas a faire l'analyse en entier pour te donner le resultat en hight
est ce que les infos du message 53 sont a etudiées ou c'est rien??

merci et a bientot

Utilisateur anonyme · Answer

Salut PiePiou ,

si j'suis là ! 
Alors pour le mesage r3 tout est ok pour indigo rose et clonde cd ça appartient à des logiciels si tu ne les as plus tu peux décocher la case

Remets un rapport hijackthis stp

PIEPIOU · Answer

bonjour boulepate
merci de continuer a me donner tes precieux conseils
je passe mon temps a faire des analyses des dossiers
j'ai par exemple fait un scan rapide du dossier "windows" avec avast et il a trouver une infection mise en quarantaine:
windows\systemestore.ins\c:\oemcust	ools\w

voici le rapprot que tu demande

Logfile of HijackThis v1.99.1
Scan saved at 10:41:43, on 22/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Apps\ActivBoard
hksrv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft Money\System\urlmap.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\abcde.exe.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aliceadsl.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://portail.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Program Files\SpyCatcher 2006\SCActiveBlock.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Program Files\SpyCatcher 2006\SpyCatcher.exe" reminder
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: SpyCatcher Protector.lnk = C:\Program Files\SpyCatcher 2006\Protector.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\binesources\WebMenuImg.htm
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Alice ADSL - {90B20080-B44A-451F-985F-B5F6BD63C9FC} - https://portail.free.fr/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aliceadsl.fr
O20 - AppInit_DLLs: interceptor.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: C-DillaSrv - Unknown owner - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard
hksrv.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\System32\DRIVERS\WtSrv.exe

en esperant que tu trouvera d'autres erreurs

a desuite

merci

PIEPIOU · Answer

a il est plus la boulepate???????

je ne sais plus ce que je doit faire

merci de ton aide a bientot

Utilisateur anonyme · Answer

Salut PiePiou,

me revoilà :-)
Si Avast à mit un virus en quarantaine te fait plus de soucis, le virus sera inactif.

On va enlever quelque petite chose du démarrage rien ne sera supprimé

Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"

O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Program Files\SpyCatcher 2006\SpyCatcher.exe" reminder 
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto 
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe 
O4 - Global Startup: SpyCatcher Protector.lnk = C:\Program Files\SpyCatcher 2006\Protector.exe


Clic sur "demarrer", "executer", tape: services.msc ,cherche dans la liste cette ligne, fais un clic droit dessus choisis "propriétés" et régle la sur "désactivé"

ewido anti-spyware 4.0 guard


Mise à part ça ton rapport est propre, tu peux faire ici un autre scan anti-virus en ligne pour verifier ;-)

Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2(en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour  faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici stp

_Online Scanner
_Kaspersky Online Scanner
_My Computer

https://www.kaspersky.fr/downloads


A++ et désolé du retard

PIEPIOU · Answer

salut boulepate et encore merci de continuer ton aide 

j'ai fait les manips du message 61 at voici le rapport du scan en ligne:

   

KASPERSKY ONLINE SCANNER REPORT
Sunday, October 29, 2006 2:14:57 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 29/10/2006
Kaspersky Anti-Virus database records: 222547
Scan Settings
Scan using the following antivirus database 	standard
Scan Archives 	true
Scan Mail Bases 	true
Scan Target 	My Computer
A:\
C:\
Q:\
R:\
Scan Statistics
Total number of scanned objects 	94585
Number of viruses found 	0
Number of infected objects 	0 / 0
Number of suspicious objects 	0
Duration of the scan process 	01:40:07

Infected Object Name 	Virus Name 	Last Action
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat 	Object is locked 	skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat 	Object is locked 	skipped
C:\Documents and Settings\jean-philippe\Cookies\index.dat 	Object is locked 	skipped
C:\Documents and Settings\jean-philippe\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	Object is locked 	skipped
C:\Documents and Settings\jean-philippe\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	Object is locked 	skipped
C:\Documents and Settings\jean-philippe\Local Settings\Historique\History.IE5\index.dat 	Object is locked 	skipped
C:\Documents and Settings\jean-philippe\Local Settings\Historique\History.IE5\MSHist012006102920061030\index.dat 	Object is locked 	skipped
C:\Documents and Settings\jean-philippe\Local Settings\Temp	mp 	Object is locked 	skipped
C:\Documents and Settings\jean-philippe\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	Object is locked 	skipped
C:\Documents and Settings\jean-philippe
tuser.dat 	Object is locked 	skipped
C:\Documents and Settings\jean-philippe
tuser.dat.LOG 	Object is locked 	skipped
C:\Documents and Settings\jean-philippe\UserData\index.dat 	Object is locked 	skipped
C:\Documents and Settings\LocalService\Cookies\index.dat 	Object is locked 	skipped
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	Object is locked 	skipped
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	Object is locked 	skipped
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat 	Object is locked 	skipped
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	Object is locked 	skipped
C:\Documents and Settings\LocalService\NTUSER.DAT 	Object is locked 	skipped
C:\Documents and Settings\LocalService
tuser.dat.LOG 	Object is locked 	skipped
C:\Documents and Settings\NetworkService\Cookies\index.dat 	Object is locked 	skipped
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	Object is locked 	skipped
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	Object is locked 	skipped
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat 	Object is locked 	skipped
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	Object is locked 	skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT 	Object is locked 	skipped
C:\Documents and Settings\NetworkService
tuser.dat.LOG 	Object is locked 	skipped
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat 	Object is locked 	skipped
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db 	Object is locked 	skipped
C:\Program Files\Alwil Software\Avast4\DATA\log
shield.log 	Object is locked 	skipped
C:\Program Files\Alwil Software\Avast4\DATAeport\Protection résidente.txt 	Object is locked 	skipped
C:\System Volume Information\_restore{66829C5E-D009-4D8B-B5F1-64BB4A51985F}\RP536\change.log 	Object is locked 	skipped
C:\WINDOWS\$NtUninstallQ308387$\spuninst\spuninst.exe 	Object is locked 	skipped
C:\WINDOWS\$NtUninstallQ308387$\spuninst\spuninst.inf 	Object is locked 	skipped
C:\WINDOWS\$NtUninstallQ308402$\spcmdcon.sys 	Object is locked 	skipped
C:\WINDOWS\$NtUninstallQ308402$\spuninst\spuninst.exe 	Object is locked 	skipped
C:\WINDOWS\$NtUninstallQ308402$\spuninst\spuninst.inf 	Object is locked 	skipped
C:\WINDOWS\$NtUninstallQ308402$\srrstr.dll 	Object is locked 	skipped
C:\WINDOWS\$NtUninstallQ308677$\spuninst\spuninst.exe 	Object is locked 	skipped
C:\WINDOWS\$NtUninstallQ308677$\spuninst\spuninst.inf 	Object is locked 	skipped
C:\WINDOWS\$NtUninstallQ308677$\userenv.dll 	Object is locked 	skipped
C:\WINDOWS\$NtUninstallQ308678$\msobmain.dll 	Object is locked 	skipped
C:\WINDOWS\$NtUninstallQ308678$\msobshel.htm 	Object is locked 	skipped
C:\WINDOWS\$NtUninstallQ308678$\spuninst\spuninst.exe 	Object is locked 	skipped
C:\WINDOWS\$NtUninstallQ308678$\spuninst\spuninst.inf 	Object is locked 	skipped
C:\WINDOWS\$NtUninstallQ315000$
etsetup.exe 	Object is locked 	skipped
C:\WINDOWS\$NtUninstallQ315000$\spuninst\spuninst.exe 	Object is locked 	skipped
C:\WINDOWS\$NtUninstallQ315000$\spuninst\spuninst.inf 	Object is locked 	skipped
C:\WINDOWS\$NtUninstallQ315000$\ssdpapi.dll 	Object is locked 	skipped
C:\WINDOWS\$NtUninstallQ315000$\ssdpsrv.dll 	Object is locked 	skipped
C:\WINDOWS\$NtUninstallQ315000$\upnp.dll 	Object is locked 	skipped
C:\WINDOWS\Debug\PASSWD.LOG 	Object is locked 	skipped
C:\WINDOWS\SchedLgU.Txt 	Object is locked 	skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log 	Object is locked 	skipped
C:\WINDOWS\Sti_Trace.log 	Object is locked 	skipped
C:\WINDOWS\system32\config\Antivirus.Evt 	Object is locked 	skipped
C:\WINDOWS\system32\config\AppEvent.Evt 	Object is locked 	skipped
C:\WINDOWS\system32\config\DEFAULT 	Object is locked 	skipped
C:\WINDOWS\system32\config\default.LOG 	Object is locked 	skipped
C:\WINDOWS\system32\config\SAM 	Object is locked 	skipped
C:\WINDOWS\system32\config\SAM.LOG 	Object is locked 	skipped
C:\WINDOWS\system32\config\SecEvent.Evt 	Object is locked 	skipped
C:\WINDOWS\system32\config\SECURITY 	Object is locked 	skipped
C:\WINDOWS\system32\config\SECURITY.LOG 	Object is locked 	skipped
C:\WINDOWS\system32\config\SOFTWARE 	Object is locked 	skipped
C:\WINDOWS\system32\config\software.LOG 	Object is locked 	skipped
C:\WINDOWS\system32\config\SysEvent.Evt 	Object is locked 	skipped
C:\WINDOWS\system32\config\SYSTEM 	Object is locked 	skipped
C:\WINDOWS\system32\config\system.LOG 	Object is locked 	skipped
C:\WINDOWS\system32\h323log.txt 	Object is locked 	skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR 	Object is locked 	skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP 	Object is locked 	skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER 	Object is locked 	skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP 	Object is locked 	skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP 	Object is locked 	skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA 	Object is locked 	skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP 	Object is locked 	skipped
C:\WINDOWS\Temp\Perflib_Perfdata_6ec.dat 	Object is locked 	skipped
C:\WINDOWS\wiadebug.log 	Object is locked 	skipped
C:\WINDOWS\wiaservc.log 	Object is locked 	skipped
C:\WINDOWS\WindowsUpdate.log 	Object is locked 	skipped
Scan process completed.

je reste pret pour la prochaine etape

a bientot boulepate

salut

Utilisateur anonyme · Answer

Salut PiePiou,

ton rapport me semble propre
Je ne vois rien de suspect

Ou en est ton problème ?

PIEPIOU · Answer

salut boulepate,
je suis connecté depuis ce matin et l'ordi n'a pas planté.
je n'ose pas dire que c'est bon parde que je n'en suis pas certain.

j'ai par contre pas refait de tentative avec le graveur j'attend avant d'etre sur de la situation.

peut etre a force d'enlever des fichiers contaminés le virus est enlevés aussi.

(je ne crois pas parce que lors du 1er scan l'ordi a planté j'ai reussi qu'a la 2eme tentative.)

je te tiens au courant boulepate

merci en attendant la suite

a+

Utilisateur anonyme · Answer

ok PiePiou,

pense à acheter un Cd Rw comme ça si la gravure plante tu pourra l'effacer et recommencer ;-)

PIEPIOU · Answer

salut boulepate
voici des nouvelles comme tu as suivi depuis le début tout mes soucis,
et bien c'est pas super je me suis habitué a la situation!!!!!!!
l'ordi plante moins, mais il plante encore.
impossible de graver les cd, le graveur est trés lent et il ne va pas jusqu'a la fin.
mon fils ne peut plus jouer avec fifa et aussi d'autres jeux.
je pense donc que le cadeau de noel sera un pc tout neuf en esperant pouvoir encore me servir de celui-ci pour mes messages et pour surfer sur le net.
merci pour tout et a bientot.

salut

Virus EGDACCESS81072.DLL

60 réponses

Votre réponse

Discussions similaires

Newsletters