[Virus]Ordi infecté par dialer italien + pub

semas -  
 Utilisateur anonyme -
Bonjour,

Depuis quelque temps j'ai un dialer italien qui s'affiche et je n'arrive pas à le supprimer.
De plus j'ai pas mal de pubs qui apparaissent.
Tout ceci est arrivé lorsque je suis arrivé à la fin de l'essai de norton qui était fournit avec mon ordi que j'ai depuis 3 mois.
Une semaine avant l'expiration de norton j'ai donc cherché un antivirus gratuit (j'ai installé avast) et apres j'ai viré norton.
Alors simple coincidence ou pas je ne sais pas mais c'est tres désagréble en tout cas.

Je précise que je n'y connais pas grand chose donc si vous pouviez utiliser un vocabulaire simple se serait sympa.

Merci d'avance pour votre aide.
Configuration: XP familiale version 2002 service pack 2

25 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    Salut,

    fait ça pour verifier l'etat du Pc

    Télécharge HijackThis:
    http://www.infos-du-net.com/telecharger/HijackThis.html

    Installe le dans son propre dossier:
    -clic droit sur le bureau, choisis "nouveau dossier" puis installe le dedans.
    Lance le, clic sur "do a system scan and save logfile"
    Puis copie et colle le rapport ici stp

    en même temps

    Télécharge SmitfraudFix (enregistre le sur le "bureau")
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip

    décompresse SmitfraudFix
    Lance le fichier SmitfraudFix ou SmitfraudFix.cmd et choisis l option 1 copie le rapport ici stp
    0
    1. semas
       
      Alors le rapport de Hijackthis:

      Logfile of HijackThis v1.99.1
      Scan saved at 22:43:00, on 29/10/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
      C:\WINDOWS\System32\FTRTSVC.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Fichiers communs\{B83FFC05-07D9-1036-0629-060425060021}\Update.exe
      C:\WINDOWS\system32\crunner\cproc.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
      C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
      C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\WINDOWS\explorer.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\TEMP\win78.tmp.exe
      C:\Documents and Settings\Compaq_Propriétaire\Bureau\his\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://forum-auto.caradisiac.com/forum/1384-anciennes/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
      O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
      O4 - HKLM\..\Run: [WOOTASKBARICON] "C:\PROGRA~1\Wanadoo\GestMaj.exe" TaskBarIcon.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [IpWins] C:\Program Files\ipwins\ipwins.exe
      O4 - HKLM\..\Run: [fkarhqj.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\fkarhqj.dll,lsurynf
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKCU\..\Run: [WOOKIT] "C:\PROGRA~1\Wanadoo\Shell.exe" appLaunchClientZone.shl|DEFAULT

      cnx|PARAM


      O4 - HKCU\..\Run: [cprocsvc] C:\WINDOWS\system32\crunner\cproc.exe
      O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
      O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
      O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
      O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
      O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
      O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
      O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
      O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
      O20 - AppInit_DLLs: dxclib303562752.dll
      O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
      O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
      O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
      O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe



      Puis le rapport de SmitFraudFix:

      SmitFraudFix v2.117

      Rapport fait à 22:46:44,82, 29/10/2006
      Executé à partir de C:\Documents and Settings\Compaq_Propri‚taire\Bureau\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
      Fix executé en mode normal

      »»»»»»»»»»»»»»»»»»»»»»»» C:\


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

      C:\WINDOWS\.protected PRESENT !

      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Compaq_Propri‚taire


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Compaq_Propri‚taire\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


      »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\COMPAQ~1\Favoris


      »»»»»»»»»»»»»»»»»»»»»»»» Bureau


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


      »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"="dxclib303562752.dll"


      »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin


      Voila les deux rapports que tu m'as demandé.

      Merci de ton aide
      0
  2. Utilisateur anonyme
     
    Salut,

    Clic sur démarrer, poste de travail, C:, program files et supprime ce dossier:

    DeluxeCommunications

    Clic sur démarrer, rechercher et supprime ces fichiers:

    Dxcknwrd.dll
    Dxccwrd.dll
    dxclib303562752.dll
    fkarhqj.dll

    Clic sur démarrer, poste de travail, C:, Windows, system32, et supprime ce dossier:

    crunner

    ***Si un fichier persiste lors de la suppression fait ceci:
    -Redemarres ton pc, dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaitre choisis "mode sans echec" attends un peu.. puis vas supprimer les fichiers/dossiers qui persistaient, vides ta corbeille et redemarres normalement

    Clic sur "demarrer", "executer", tape: services.msc ,cherche dans la liste cette ligne, fais un clic droit dessus choisis "propriétés" et régle la sur "désactivé"

    France Telecom Routing Table Service

    Telecharge, installe puis mets à jour ce logiciel(Ewido), une fois que c'est fait, fais un scan complet de ton système, supprime (delete) tout ce qu'il te trouve puis colle le rapport ici
    Ewido: (reste gratuit après la période d'essai)
    Ewido

    et en même temps

    Télécharge lopxp:
    http://pageperso.aol.fr/balltrap34/lopxp.zip

    dézippe-le sur ton bureau puis double-clic sur le fichier "lopxp.bat"
    quand il à terminé, un rapport s'ouvre : fais un copier-coller puis mets le ici

    A++
    0
  3. Qc001 Messages postés 256 Statut Membre 17
     
    Salut Boulepate.

    Juste de passage. Pas de O2 ou O20-Winlogon, et ceci :

    O4 - HKLM\..\Run: [fkarhqj.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\fkarhqj.dll,lsurynf

    C'est Vundo. Ce genre de O4 apparaît avec Vundo depuis deux semaines environ. VundoFix voit ces dlls maintenant.

    Bon succès à vous deux..
    0
  4. Qc001 Messages postés 256 Statut Membre 17
     
    Encore moi... Je pourrais être un peu plus gentil et faire avancer un brin..

    semas : fais tout ce que Boulepate te demande, et ensuite fais ceci ;

    Fais un clic droit sur l'icône de HijackThis!, et choisis Renommer,

    Si tu vois Hijackthis.exe >> renomme en Vundo.exe
    Si tu vois Hijackthis >> renomme en Vundo
    Valide avec [Entrée]

    Fais un scan avec l'outil HijackThis! renommé, et poste le rapport ici (avec les autres demandés).
    ===================

    Autre petite note : semas nous parle d'un dialer Italien (titre de la discussion) ; ces dialers s'installent souvent avec Vundo. Avec HijackThis! renommé, nous devrions voir quelque chose comme ceci :

    O20 - Winlogon Notify: win###32 - C:\WINDOWS\SYSTEM32\win###32.dll

    Les "###" sont aléatoires. Si tout va bien avec Ewido, celui-ci devrait bouffer le dll, et nous verrons "(file missing)" au bout de la ligne. On fixe la ligne et c'est tout pour cette peste.

    @+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. semas
     
    Salut,

    Je fais ce que vous me dites ce soir quand je rentre du boulot.
    Merci de votre aide.
    0
  7. semas
     
    J'ai essayé de faire ce que tu me dis mais j'ai un probleme.
    Quand je redémarre en mode sans echec je tombe sur un ecran noir avec marqué dans chaque coin "mode sans echec" et apres rien alors je peux pas supprimer les fichier que tu m'as dit.
    0
  8. Qc001 Messages postés 256 Statut Membre 17
     
    Salut semas ;

    Ça peut être causé par l'une des bestioles. Fais donc la manip de renommer HijackThis!, puis poste un nouveau rapport. On attaquera Vundo, et on verra pour la suite ;-)

    @+
    0
  9. semas
     
    Ca y est j'y suis arrivé à tout supprimer.
    Cependant je n'ai pas trouvé ce fichier dxclib303562752.dll.

    Je continue la suite.
    0
  10. semas
     
    Alors voici le rapport de Ewido:

    ---------------------------------------------------------
    ewido anti-spyware - Scan Report
    ---------------------------------------------------------

    + Created at: 20:11:13 30/10/2006

    + Scan result:

    HKLM\SOFTWARE\Classes\CLSID\{A8BD6820-6ED7-423E-9558-2D1486B0FEEA} -> Adware.DeluxeCommunications : No action taken.
    HKLM\SOFTWARE\DeluxeCommunications -> Adware.DeluxeCommunications : No action taken.
    HKLM\SOFTWARE\DeluxeCommunications\Internet Explorer -> Adware.DeluxeCommunications : No action taken.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\DeluxeCommunications -> Adware.DeluxeCommunications : No action taken.
    HKU\S-1-5-21-417197154-2214682600-4119218851-1008\Software\DeluxeCommunications -> Adware.DeluxeCommunications : No action taken.
    HKU\S-1-5-21-417197154-2214682600-4119218851-1008\Software\DeluxeCommunications\Internet Explorer -> Adware.DeluxeCommunications : No action taken.
    HKU\S-1-5-21-417197154-2214682600-4119218851-1008\Software\Microsoft\Windows\CurrentVersion\Run\\DeluxeCommunications -> Adware.DeluxeCommunications : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\tinst26.exe -> Adware.DriveCleaner : No action taken.
    C:\Program Files\PrintView\__delete_on_reboot__P_R_I_N_T_H_~_1_._D_L_L_ -> Adware.PrintView : No action taken.
    C:\Program Files\PrintView\pvmodule.exe -> Adware.PrintView : No action taken.
    [3764] C:\PROGRA~1\PRINTV~1\PRINTH~1.DLL -> Adware.PrintView : No action taken.
    C:\Program Files\Fichiers communs\{383FFC05-07D9-1036-0629-060425060021}\MyToolBar.dll -> Adware.Softomate : No action taken.
    C:\Program Files\Fichiers communs\{B83FFC05-07D9-1036-0629-060425060021}\Update.exe -> Adware.Softomate : No action taken.
    C:\Program Files\Fichiers communs\{B83FFC05-07D9-1036-0629-060425060021}\services.dll -> Adware.Softomate : No action taken.
    [1584] C:\Program Files\Fichiers communs\{B83FFC05-07D9-1036-0629-060425060021}\Update.exe -> Adware.Softomate : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\i97C.tmp -> Adware.SurfSide : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\u3.tmp -> Adware.SurfSide : No action taken.
    C:\Program Files\Common Files\misc002\DXC.exe -> Adware.SurfSide : No action taken.
    C:\WINDOWS\system32\efcywtu.dll -> Adware.Virtumonde : No action taken.
    C:\Program Files\Common Files\Companion Wizard\compwiz.exe -> Adware.WinAntiVirus : No action taken.
    C:\WINDOWS\system32\SpOrder.dll -> Adware.WinAntiVirus : No action taken.
    HKU\S-1-5-21-417197154-2214682600-4119218851-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2178F3FB-2560-458F-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus : No action taken.
    C:\WINDOWS\Temp\idd127.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd129.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd159.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd15A.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd1682.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd1684.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd1687.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd168E.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd1693.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd18B.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd1BD.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd1D.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd1EF.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd221.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd253.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd284.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd3C.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd5.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd5B.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd6.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd7.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd79.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd8A.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd90.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\idd91.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\iddC6.tmp.exe -> Dialer.Small : No action taken.
    C:\WINDOWS\Temp\iddF8.tmp.exe -> Dialer.Small : No action taken.
    K:\RECYCLER\S-1-5-21-299502267-1078081533-682003330-1002\Dd1.EXE/AOW_DEMO_EURO\actofwar.exe -> Heuristic.Win32.Backdoor.IrcBot : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\tinst4.exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@247realmedia[1].txt -> TrackingCookie.247realmedia : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@247realmedia[3].txt -> TrackingCookie.247realmedia : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@2o7[2].txt -> TrackingCookie.2o7 : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@infrastrategy.122.2o7[1].txt -> TrackingCookie.2o7 : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@adbrite[2].txt -> TrackingCookie.Adbrite : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@adjuggler[2].txt -> TrackingCookie.Adjuggler : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@rotator.adjuggler[1].txt -> TrackingCookie.Adjuggler : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@adtech[2].txt -> TrackingCookie.Adtech : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@advertising[1].txt -> TrackingCookie.Advertising : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@atdmt[2].txt -> TrackingCookie.Atdmt : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@bluestreak[1].txt -> TrackingCookie.Bluestreak : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@cpvfeed[3].txt -> TrackingCookie.Cpvfeed : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@cpvfeed[4].txt -> TrackingCookie.Cpvfeed : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@cpvfeed[5].txt -> TrackingCookie.Cpvfeed : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@doubleclick[1].txt -> TrackingCookie.Doubleclick : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@c.enhance[2].txt -> TrackingCookie.Enhance : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@estat[1].txt -> TrackingCookie.Estat : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@www.etracker[1].txt -> TrackingCookie.Etracker : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@as1.falkag[2].txt -> TrackingCookie.Falkag : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@fastclick[1].txt -> TrackingCookie.Fastclick : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@findwhat[1].txt -> TrackingCookie.Findwhat : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@c.goclick[2].txt -> TrackingCookie.Goclick : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@server.iad.liveperson[1].txt -> TrackingCookie.Liveperson : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@image.masterstats[1].txt -> TrackingCookie.Masterstats : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@mediaplex[1].txt -> TrackingCookie.Mediaplex : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@stat.onestat[2].txt -> TrackingCookie.Onestat : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@overture[1].txt -> TrackingCookie.Overture : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@perf.overture[1].txt -> TrackingCookie.Overture : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@stats1.reliablestats[3].txt -> TrackingCookie.Reliablestats : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@serving-sys[1].txt -> TrackingCookie.Serving-sys : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@weborama[1].txt -> TrackingCookie.Weborama : No action taken.
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : No action taken.
    C:\WINDOWS\system32\rjjbcgoe.dll -> Trojan.BHO.g : No action taken.

    ::Report end

    Et le rapport de lopxp:

    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    Le volume dans le lecteur K s'appelle semas films
    Le num‚ro de s‚rie du volume est 8078-FE11

    R‚pertoire de K:\

    26/10/2006 10:09 <REP> '06_10_26_00
    25/10/2006 15:10 <REP> '06_10_25_00
    10/10/2006 22:16 <REP> WA6P
    29/08/2006 18:24 <REP> divers logiciel ordi
    29/08/2006 18:23 <REP> vu
    23/07/2006 13:39 <REP> found.001
    07/05/2006 14:19 <REP> found.000
    02/05/2003 20:59 <REP> RECYCLER
    02/05/2003 19:55 <REP> System Volume Information
    0 fichier(s) 0 octets
    9 R‚p(s) 7ÿ830ÿ601ÿ728 octets libres

    ******************************************
    Recherche dans Program files

    Le dossier C:\Program Files\C2Media n'existe pas

    *************** Fin du rapport ****************
    0
  11. semas
     
    Revoila le rapport de lopxp j'avais fait une mauvaise manip. Désolé.

    Rapport fait à 20:15:15,12 le 30/10/2006

    Le volume dans le lecteur C s'appelle PRESARIO
    Le num‚ro de s‚rie du volume est B83F-FC05

    R‚pertoire de C:\Documents and Settings\Administrateur\Application Data

    30/10/2006 19:03 62 desktop.ini
    30/10/2006 19:02 <REP> Identities
    30/10/2006 19:02 <REP> Microsoft
    30/10/2006 19:02 <REP> ..
    30/10/2006 19:02 <REP> Real
    30/10/2006 19:02 <REP> .
    1 fichier(s) 62 octets
    5 R‚p(s) 22558629888 octets libres
    Le volume dans le lecteur C s'appelle PRESARIO
    Le num‚ro de s‚rie du volume est B83F-FC05

    R‚pertoire de C:\Documents and Settings\All Users\Application Data

    26/10/2006 21:39 <REP> Spybot - Search & Destroy
    15/09/2006 07:07 <REP> Adobe
    13/09/2006 12:51 <REP> Google
    12/09/2006 18:24 <REP> Windows Genuine Advantage
    12/09/2006 18:19 <REP> HP
    05/09/2006 18:37 <REP> Macrovision
    18/08/2006 13:20 <REP> nView_Profiles
    02/01/2006 21:37 <REP> Hewlett-Packard
    02/01/2006 21:29 <REP> Symantec
    02/01/2006 21:14 <REP> CyberLink
    02/01/2006 21:12 <REP> InstallShield
    02/01/2006 21:08 <REP> Sonic
    02/01/2006 21:07 1545 hpzinstall.log
    02/01/2006 20:51 <REP> SBSI
    26/10/2005 23:34 <REP> Microsoft
    26/10/2005 23:34 <REP> ..
    26/10/2005 23:34 <REP> .
    23/11/2004 16:13 62 desktop.ini
    2 fichier(s) 1607 octets
    16 R‚p(s) 22558625792 octets libres
    Le volume dans le lecteur C s'appelle PRESARIO
    Le num‚ro de s‚rie du volume est B83F-FC05

    R‚pertoire de C:\Documents and Settings\Compaq_Propri‚taire\Application Data

    30/10/2006 18:47 64 Dxcuknwrd.dll
    25/10/2006 15:11 560 ViewerApp.dat
    12/10/2006 08:44 <REP> Ultimate Cleaner
    10/10/2006 22:17 704 update.log
    10/10/2006 22:16 <REP> Logs
    09/10/2006 18:56 <REP> HPQ
    13/09/2006 15:39 <REP> Google
    13/09/2006 09:59 <REP> AdobeUM
    25/08/2006 13:22 <REP> HP
    21/08/2006 22:21 <REP> vlc
    21/08/2006 17:21 <REP> Gearbox Software
    20/08/2006 20:14 <REP> Microsoft Web Folders
    20/08/2006 20:02 <REP> Adobe
    20/08/2006 13:49 <REP> CyberLink
    18/08/2006 23:22 <REP> Sun
    18/08/2006 13:13 <REP> Macromedia
    18/08/2006 07:18 62 desktop.ini
    18/08/2006 07:18 <REP> Identities
    18/08/2006 07:18 <REP> Microsoft
    18/08/2006 07:18 <REP> ..
    18/08/2006 07:18 <REP> .
    18/08/2006 07:18 <REP> Real
    4 fichier(s) 1390 octets
    18 R‚p(s) 22558625792 octets libres
    Le volume dans le lecteur C s'appelle PRESARIO
    Le num‚ro de s‚rie du volume est B83F-FC05

    R‚pertoire de C:\Documents and Settings\Default User\Application Data

    18/08/2006 07:17 <REP> Real
    26/10/2005 23:34 <REP> Microsoft
    26/10/2005 23:34 <REP> Identities
    26/10/2005 23:34 <REP> ..
    26/10/2005 23:34 <REP> .
    23/11/2004 16:13 62 desktop.ini
    1 fichier(s) 62 octets
    5 R‚p(s) 22558625792 octets libres
    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    Le volume dans le lecteur C s'appelle PRESARIO
    Le num‚ro de s‚rie du volume est B83F-FC05

    R‚pertoire de C:\WINDOWS\Tasks

    27/10/2005 00:30 <REP> ..
    27/10/2005 00:30 <REP> .
    23/11/2004 15:29 6 SA.DAT
    05/08/2004 12:00 65 desktop.ini
    2 fichier(s) 71 octets
    2 R‚p(s) 22ÿ558ÿ625ÿ792 octets libres

    ******************************************
    Recherche dans Program files

    Le dossier C:\Program Files\C2Media n'existe pas

    *************** Fin du rapport ****************
    0
  12. semas
     
    Alors j'ai renommé hijackthis en Vundo.

    Voici le rapport:

    Logfile of HijackThis v1.99.1
    Scan saved at 20:20:49, on 30/10/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
    C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\Program Files\ewido anti-spyware 4.0\ewido.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\TEMP\win27E.tmp.exe
    C:\Documents and Settings\Compaq_Propriétaire\Bureau\his\vundo.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://forum-auto.caradisiac.com/forum/1384-anciennes/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
    O2 - BHO: (no name) - {037892F6-DA0A-46DF-B751-17B32475E76B} - C:\WINDOWS\system32\geeda.dll
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - C:\WINDOWS\system32\vhaxxyeb.dll
    O2 - BHO: (no name) - {2DCA775B-618B-103F-76B6-0989E0783DF7} - C:\WINDOWS\system32\chzrvol.dll
    O2 - BHO: (no name) - {4F661911-B001-260C-07C7-02FD8E5316E2} - C:\WINDOWS\system32\mayeutb.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: PrintViewBHO Class - {D4E0C464-30CE-4075-9A10-71FD106C2847} - C:\PROGRA~1\PRINTV~1\PRINTH~1.DLL (file missing)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] "C:\PROGRA~1\Wanadoo\GestMaj.exe" TaskBarIcon.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [IpWins] C:\Program Files\ipwins\ipwins.exe
    O4 - HKLM\..\Run: [fkarhqj.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\fkarhqj.dll,lsurynf
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
    O4 - HKCU\..\Run: [WOOKIT] "C:\PROGRA~1\Wanadoo\Shell.exe" appLaunchClientZone.shl|DEFAULT

    cnx|PARAM


    O4 - HKCU\..\Run: [cprocsvc] C:\WINDOWS\system32\crunner\cproc.exe
    O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
    O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
    O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
    O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O20 - Winlogon Notify: geeda - C:\WINDOWS\system32\geeda.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O20 - Winlogon Notify: winnuz32 - C:\WINDOWS\SYSTEM32\winnuz32.dll
    O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
    O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
    O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    0
  13. Qc001 Messages postés 256 Statut Membre 17
     
    Salut :-)

    Merci pour les rapports ! Bon, ben Ewido n'a pas vu le dialer Italien. Pas grave... Beaucoup de Vundo par contre.

    Pour Ewido, tu n'as pas laissé l'outil fixer les fichiers infectieux, alors faut recommencer avec de nouveaux réglages. On va donc refaire Ewido et supprimer ce dialer, puis on attaquera Vundo.
    =======================

    Afin de voir tous les fichiers/dossiers cachés :

    * Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau.
    * Double-clique sur le "Poste de Travail"
    * Du menu "Outils", clique Options des dossiers...
    * De la nouvelle fenêtre, choisis l'onglet Affichage
    * Sous "Fichiers et dossiers", coche la case Afficher le contenu des dossiers système
    * Sous "Fichiers et dossiers cachés", clique le bouton Afficher les fichiers et dossiers cachés
    * Décoche la case Masquer les extensions des fichiers dont le type est connu
    * Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail.
    --------------------------------------------

    Imprime ces instructions, ou colle-les dans un fichier texte pour lecture en mode Sans Échec :

    Lance HijackThis! (renommé) et clique "Do a system scan only", puis coche ces lignes :

    R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)

    O2 - BHO: PrintViewBHO Class - {D4E0C464-30CE-4075-9A10-71FD106C2847} - C:\PROGRA~1\PRINTV~1\PRINTH~1.DLL (file missing)

    O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)

    O4 - HKLM\..\Run: [IpWins] C:\Program Files\ipwins\ipwins.exe

    O4 - HKCU\..\Run: [cprocsvc] C:\WINDOWS\system32\crunner\cproc.exe

    O20 - Winlogon Notify: winnuz32 - C:\WINDOWS\SYSTEM32\winnuz32.dll
    O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)


    Clique sur "Fix checked", puis ferme HijackThis!
    -------------------------------------

    Toujours en Sans Échec : avec l'Explorateur Windows, recherche et supprime ces fichiers/dossiers, s'ils existent :

    C:\WINDOWS\System32\winnuz32.dll << fichier
    C:\WINDOWS\System32\crunner << dossier
    C:\Program Files\ipwins << dossier

    Ferme l'Explorateur.
    ----------------------

    - Relance Ewido et clique sur le bouton "Scanner" (au haut),
    - Clique l'onglet "Settings"
    - Clique sur "Recommended actions" et choisis "Quarantine"
    - Sur la droite, coche "Automatically generate report after every scan"
    - Décoche "Only if Threats are found"
    - Clique l'onglet "Scan" et fais un "Complete System Scan"
    - En fin de scan, tu cliques sur Apply all actions
    - Clique sur "Save report", puis "Save report as.." et choisis l'endroit (Bureau c'est Ok)
    - Ferme Ewido
    ------------------------------------

    Redémarre en mode Normal.

    Télécharge VundoFix (par Atribune) de ce lien :
    http://www.atribune.org/ccount/click.php?id=4

    * Suavegarde-le sur ton Bureau.
    * Double-clique VundoFix.exe afin de le lancer
    * Clique sur le bouton Scan for Vundo
    * Lorsque le scan est complété, clique sur le bouton Remove Vundo
    * Une invite te demandera si tu veux supprimer les fichiers, clique YES
    * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
    * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
    * Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
    =====================

    Poste les rapports suivants :

    - VundoFix
    - Ewido
    - Nouveau HijackThis!

    Bon succès ;-)
    0
  14. semas
     
    Salut,

    Alors voici le rapport Vundofix:

    VundoFix V6.2.0

    Checking Java version...

    Java version is 1.5.0.5

    Java version is 1.5.0.8

    Scan started at 20:53:03 08/10/2006

    Listing files found while scanning....

    No infected files were found.

    Beginning removal...

    VundoFix V6.2.1

    Checking Java version...

    Java version is 1.5.0.5

    Java version is 1.5.0.8

    Scan started at 20:17:26 09/10/2006

    Listing files found while scanning....

    VundoFix V6.2.1

    Checking Java version...

    Java version is 1.5.0.5

    Java version is 1.5.0.8

    Scan started at 20:19:34 09/10/2006

    Listing files found while scanning....

    No infected files were found.

    Beginning removal...

    VundoFix V6.2.6

    Checking Java version...

    Java version is 1.5.0.5

    Java version is 1.5.0.8

    Scan started at 17:57:17 31/10/2006

    Listing files found while scanning....

    C:\WINDOWS\system32\chzrvol.dll
    C:\WINDOWS\system32\idhmcok.dll
    C:\WINDOWS\system32\mayeutb.dll
    C:\WINDOWS\system32\vhaxxyeb.dll
    C:\WINDOWS\system32\gbbvvbgp.exe
    C:\WINDOWS\system32\geeda.dll
    C:\WINDOWS\system32\adeeg.ini
    C:\WINDOWS\system32\adeeg.bak1
    C:\WINDOWS\system32\adeeg.bak2
    C:\WINDOWS\system32\adeeg.ini2
    C:\WINDOWS\system32\adeeg.tmp

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\chzrvol.dll
    C:\WINDOWS\system32\chzrvol.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\idhmcok.dll
    C:\WINDOWS\system32\idhmcok.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\mayeutb.dll
    C:\WINDOWS\system32\mayeutb.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\vhaxxyeb.dll
    C:\WINDOWS\system32\vhaxxyeb.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\gbbvvbgp.exe
    C:\WINDOWS\system32\gbbvvbgp.exe Has been deleted!

    Attempting to delete C:\WINDOWS\system32\geeda.dll
    C:\WINDOWS\system32\geeda.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\adeeg.ini
    C:\WINDOWS\system32\adeeg.ini Has been deleted!

    Attempting to delete C:\WINDOWS\system32\adeeg.bak1
    C:\WINDOWS\system32\adeeg.bak1 Has been deleted!

    Attempting to delete C:\WINDOWS\system32\adeeg.bak2
    C:\WINDOWS\system32\adeeg.bak2 Has been deleted!

    Attempting to delete C:\WINDOWS\system32\adeeg.ini2
    C:\WINDOWS\system32\adeeg.ini2 Has been deleted!

    Attempting to delete C:\WINDOWS\system32\adeeg.tmp
    C:\WINDOWS\system32\adeeg.tmp Has been deleted!

    Performing Repairs to the registry.
    Done!

    Ensuite le rapport Ewido: (l'nalyse ne mode sans echec fut tres longue)

    ---------------------------------------------------------
    ewido anti-spyware - Scan Report
    ---------------------------------------------------------

    + Created at: 08:14:50 31/10/2006

    + Scan result:

    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@247realmedia[1].txt -> TrackingCookie.247realmedia : Cleaned with backup (quarantined).
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned with backup (quarantined).
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@ivwbox[2].txt -> TrackingCookie.Ivwbox : Cleaned with backup (quarantined).
    C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Cleaned with backup (quarantined).

    ::Report end

    Et enfin le rapport hiackthis :
    comme je ne savais pas si il fallait que j'utilise le hijackthis normal ou renommé j'ai utilisé le renommé.

    Logfile of HijackThis v1.99.1
    Scan saved at 19:07:42, on 31/10/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\ewido anti-spyware 4.0\ewido.exe
    C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
    C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Documents and Settings\Compaq_Propriétaire\Bureau\his\vundo.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://forum-auto.caradisiac.com/forum/1384-anciennes/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {2DCA775B-618B-103F-76B6-0989E0783DF7} - C:\WINDOWS\system32\chzrvol.dll (file missing)
    O2 - BHO: (no name) - {4F661911-B001-260C-07C7-02FD8E5316E2} - C:\WINDOWS\system32\mayeutb.dll (file missing)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
    O2 - BHO: (no name) - {8B7D0B44-96CE-4455-AF53-8CD2EE2020D6} - C:\WINDOWS\system32\geeda.dll (file missing)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\system32\picsdgep.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] "C:\PROGRA~1\Wanadoo\GestMaj.exe" TaskBarIcon.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [fkarhqj.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\fkarhqj.dll,lsurynf
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
    O4 - HKCU\..\Run: [WOOKIT] "C:\PROGRA~1\Wanadoo\Shell.exe" appLaunchClientZone.shl|DEFAULT

    cnx|PARAM


    O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
    O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
    O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
    O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O20 - Winlogon Notify: winnuz32 - C:\WINDOWS\SYSTEM32\winnuz32.dll
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
    O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
    O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

    Voila pour les rapports.
    Lors de la suppression des fichiers que tu m'as dit en mode sans echec j'ai pas pu supprimer le fichier winnuz32.dll
    0
  15. Qc001 Messages postés 256 Statut Membre 17
     
    Merci à nouveau pour les rapports. Beau travail !

    Il reste néanmoins ce dialer à virer (pas de problème..), et puis y a un nouveau fichier inconnu qui se pointe. Plan de match :

    - Virer le dialer
    - Faire analyser ce fichier
    - Soumettre ce fichier aux experts, si nécessaire, et puis on le vire ;-)

    Au boulot..
    ===============================

    Télécharge KillBox (par Option^Explicit) de ce lien : http://www.downloads.subratam.org/KillBox.exe

    ..et sauvegarde-le sur ton Bureau.

    - Double-clique killbox.exe
    - Choisis l'option Delete on reboot

    "Copie" la ligne entière en gras ci-bas (sélectionne-la avec ta souris >> clic droit dessus >> "Copier") :

    C:\WINDOWS\SYSTEM32\winnuz32.dll

    - Clique sur le menu "File" de KillBox (en haut à gauche) et choisis Paste from clipboard

    - Coche Unregister .dll Before Deleting

    - Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)
    Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.
    Si tu ne reçois pas ce message, redémarre le PC normalement.

    Après le redémarrage, lance HijackThis! et clique "Do a system scan only", puis coche ces lignes :

    ------------------------------------
    O2 - BHO: (no name) - {2DCA775B-618B-103F-76B6-0989E0783DF7} - C:\WINDOWS\system32\chzrvol.dll (file missing)
    O2 - BHO: (no name) - {4F661911-B001-260C-07C7-02FD8E5316E2} - C:\WINDOWS\system32\mayeutb.dll (file missing)

    O2 - BHO: (no name) - {8B7D0B44-96CE-4455-AF53-8CD2EE2020D6} - C:\WINDOWS\system32\geeda.dll (file missing)

    O4 - HKLM\..\Run: [fkarhqj.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\fkarhqj.dll,lsurynf

    O20 - Winlogon Notify: winnuz32 - C:\WINDOWS\SYSTEM32\winnuz32.dll (file missing)
    ---------------------------------

    Ferme toutes les fenêtres actives autres que HijackThis!, y compris le navigateur, et clique "Fix checked". Ferme HijackThis!

    Maintenant, nous allons faire analyser ce fichier. Va sur ce lien :
    http://www.virustotal.com/en/virustotalx.html

    - Clique sur "Parcourir..." (au haut)
    - Recherche ce fichier :

    C:\WINDOWS\System32\picsdgep.dll

    - Double clique dessus afin de le sélectionner
    - Clique sur le bouton Send (au haut à droite de la page)
    - Tu verras apparaître les résultats ; ça prend environ 1 à 2 minutes
    - Lorsque le scan est terminé, Copie/Colle les résultats dans ta prochaine réponse, avec un nouveau log HijackThis! également. Merci :-)

    Suite aux résultats de l'analyse, je te donnerai la suite.

    @+
    0
  16. semas
     
    Voila le rapport virustotalx:

    Antivirus Version Update Result
    AntiVir 7.2.0.34 10.31.2006 no virus found
    Authentium 4.93.8 10.31.2006 no virus found
    Avast 4.7.892.0 10.31.2006 no virus found
    AVG 386 11.01.2006 no virus found
    BitDefender 7.2 11.01.2006 no virus found
    CAT-QuickHeal 8.00 10.31.2006 no virus found
    ClamAV devel-20060426 11.01.2006 no virus found
    DrWeb 4.33 11.01.2006 no virus found
    eTrust-InoculateIT 23.73.42 11.01.2006 no virus found
    eTrust-Vet 30.3.3172 11.01.2006 no virus found
    Ewido 4.0 10.31.2006 no virus found
    Fortinet 2.82.0.0 11.01.2006 suspicious
    F-Prot 3.16f 10.31.2006 no virus found
    F-Prot4 4.2.1.29 10.31.2006 no virus found
    Ikarus 0.2.65.0 10.31.2006 no virus found
    Kaspersky 4.0.2.24 11.01.2006 no virus found
    McAfee 4885 10.31.2006 no virus found
    Microsoft 1.1609 11.01.2006 no virus found
    NOD32v2 1.1846 10.31.2006 no virus found
    Norman 5.80.02 11.01.2006 no virus found
    Panda 9.0.0.4 11.01.2006 Suspicious file
    Sophos 4.10.0 10.26.2006 no virus found
    TheHacker 6.0.1.109 10.30.2006 no virus found
    UNA 1.83 10.31.2006 no virus found
    VBA32 3.11.1 10.31.2006 no virus found
    VirusBuster 4.3.15:9 10.31.2006 no virus found

    Aditional Information
    File size: 60436 bytes
    MD5: 39fd9c9668f0252080a6ce5cfe2be685
    SHA1: 5da7a7f5df278d471599ea26c2723dad95d4596d

    Ensuite le rapport hijackthis:

    Logfile of HijackThis v1.99.1
    Scan saved at 11:57:30, on 01/11/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    C:\Program Files\ewido anti-spyware 4.0\ewido.exe
    C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
    C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
    C:\Documents and Settings\Compaq_Propriétaire\Bureau\his\vundo.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://forum-auto.caradisiac.com/forum/1384-anciennes/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\system32\picsdgep.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] "C:\PROGRA~1\Wanadoo\GestMaj.exe" TaskBarIcon.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
    O4 - HKCU\..\Run: [WOOKIT] "C:\PROGRA~1\Wanadoo\Shell.exe" appLaunchClientZone.shl|DEFAULT

    cnx|PARAM


    O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
    O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
    O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
    O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
    O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
    O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

    Merci encore de ton aide.
    0
  17. Qc001 Messages postés 256 Statut Membre 17
     
    Bonsoir semas ; me revoilà enfin...

    Bon, l'analyse chez VirusTotal ne retourne rien des compagnies d'antivirus ; cependant, mes recherches sur la clé de registre qui lance ce fichier me disent qu'il est effectivement mauvais (et de nom aléatoire). Nous allons le soumettre aux experts, et ensuite le virer. Les autres logs consultés en recherche avaient tous du Vundo, alors Atribune sera intéressé par ce fichier. Nous ne prenons aucun risque majeur à le virer de toute façon, même s'il était légitime, car son utilité en tant que "Browser Helper Object" n'est pas critique au fonctionnement du PC.
    ====================

    Va sur ce site :
    http://www.uploadmalware.com/
    ...pour uploader un fichier douteux pour analyse.

    *"Your Username:" - Entre ton pseudo sur ce forum
    *"Topic Where File Was Requested:" - Copie/colle le lien vers cette discussion
    *"File(s) To Submit:" - Case "1" - Bouton "Parcourir..." pour naviguer vers ce fichier :

    C:\WINDOWS\System32\picsdgep.dll

    *"Comments Or Further Info:" - Mentionne ceci :

    "Mark asked me to submit this random BHO .dll, which appeared after running VundoFix v.6.2.6.
    CLSID : {F18F04B0-9CF1-4b93-B004-77A288BEE28B} doesn't appear random, but new, and seen with Vundo."

    *Cliquez sur Send File

    *Merci :-)
    ------------------------------

    Lance HijackThis! et clique "Do a system scan only", puis coche cette ligne :

    O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\system32\picsdgep.dll

    Ferme toutes les fenêtres actives, autres que HijackThis!, y compris le navigateur, puis clique "Fix checked". Ferme HijackThis!

    Redémarre l'ordi, puis scanne avec HijackThis! à nouveau et poste le rapport ici s'il te plaît.

    À bientôt ;-)
    0
  18. semas
     
    Salut,

    Voila le rapport:

    Logfile of HijackThis v1.99.1
    Scan saved at 19:19:38, on 02/11/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\ewido anti-spyware 4.0\ewido.exe
    C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
    C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
    C:\Documents and Settings\Compaq_Propriétaire\Bureau\his\vundo.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://forum-auto.caradisiac.com/forum/1384-anciennes/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] "C:\PROGRA~1\Wanadoo\GestMaj.exe" TaskBarIcon.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [WOOKIT] "C:\PROGRA~1\Wanadoo\Shell.exe" appLaunchClientZone.shl|DEFAULT

    cnx|PARAM


    O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
    O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
    O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
    O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
    O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
    O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

    J'ai posté comme tu m'as dit sur le site.
    0
  19. Qc001 Messages postés 256 Statut Membre 17
     
    Bonsoir semas :-)

    Le fichier est bien chez Uploadmalware ; Merci !

    Je regarde tes rapports, et tout me semble propre maintenant. Faisons un peu de ménage à présent :

    Tu peux supprimer les programmes suivants :

    - SmitfraudFix
    - Lopxp
    - VundoFix
    - KillBox
    ----------------------------------
    Si tu veux conserver HijackThis!, prière de le renommer en son nom original ; clic droit sur l'icône du programme >> "Renommer" :

    - Si tu vois vundo.exe > > renomme en HijackThis.exe
    - Si tu vois vundo >> renomme en HijackThis
    **L'orthographe doit être exact.
    ---------------------------------

    Petite ligne à fixer, donc lance HijackThis! et clique "Do a system scan only", puis coche cette ligne :

    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

    Ferme toutes les autres fenêtres actives, navigateur inclus, et clique "Fix checked". Pas nécessaire de poster un nouveau rapport ;-)
    -------------------------------

    En prévention, prière d'aller dans le Panneau de Configuration >> Ajout/Suppression de Programmes, et désinstalle ceci :

    J2SE Runtime Environment 5.0 Update 5

    **Conserve la version Update 8 qui est plus sécure.

    Ferme le Panneau de config.
    -------------------------------

    As-tu toujours des soucis ?

    À bientôt..
    0
  20. semas
     
    Merci de ton aide, j'ai l'impression que mon ordi rame moins.

    Sinon dans la fenetre suppression des programmes j'ai des trucs bizar.

    BufferChm
    CueTour
    Destinations
    DeviceFunctionQfolder
    eSupportQfolder
    FullDPAppQFolder
    InstantShareDevices
    OptionalContentQFolder
    RandMap
    TrayApp

    C'est normal?
    0
  21. semas
     
    Ah oui j'ai ca aussi.
    Sur mes pages internet par exemple sur ce forum ou sur mon forum automobile ben j'ai un triangle jaune qui s'affiche en bas à gauche de la page et du coup j'ai des photos qui ne s'affichent pas. Il faut que je fasse clic droit et afficher l'image por la voir.

    Tu sais comment faire pour enlever ce problème?
    0
  • 1
  • 2