[Virus]Ordi infecté par dialer italien + pub

Question

Bonjour,

Depuis quelque temps j'ai un dialer italien qui s'affiche et je n'arrive pas à le supprimer. 
De plus j'ai pas mal de pubs qui apparaissent.
Tout ceci est arrivé lorsque je suis arrivé à la fin de l'essai de norton qui était fournit avec mon ordi que j'ai depuis 3 mois.
Une semaine avant l'expiration de norton j'ai donc cherché un antivirus gratuit (j'ai installé avast) et apres j'ai viré norton.
Alors simple coincidence ou pas je ne sais pas mais c'est tres désagréble en tout cas.

Je précise que je n'y connais pas grand chose donc si vous pouviez utiliser un vocabulaire simple se serait sympa.

Merci d'avance pour votre aide.

Utilisateur anonyme · Answer

Salut,

fait ça pour verifier l'etat du Pc

Télécharge HijackThis: 
http://www.infos-du-net.com/telecharger/HijackThis.html

Installe le dans son propre dossier:
-clic droit sur le bureau, choisis "nouveau dossier" puis installe le dedans.
Lance le, clic sur "do a system scan and save logfile" 
Puis copie et colle le rapport ici stp


en même temps


Télécharge SmitfraudFix (enregistre le sur le "bureau")
http://siri.urz.free.fr/Fix/SmitfraudFix.zip

décompresse SmitfraudFix
Lance le fichier SmitfraudFix ou SmitfraudFix.cmd et choisis l option 1 copie le rapport ici stp

Utilisateur anonyme · Answer

Salut,

Clic sur démarrer, poste de travail, C:, program files et supprime ce dossier:

DeluxeCommunications


Clic sur démarrer, rechercher et supprime ces fichiers:

Dxcknwrd.dll
Dxccwrd.dll
dxclib303562752.dll
fkarhqj.dll


Clic sur démarrer, poste de travail, C:, Windows, system32, et supprime ce dossier:

crunner

***Si un fichier persiste lors de la suppression fait ceci:
-Redemarres ton pc, dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaitre choisis "mode sans echec" attends un peu.. puis vas supprimer les fichiers/dossiers qui persistaient, vides ta corbeille et redemarres normalement


Clic sur "demarrer", "executer", tape: services.msc ,cherche dans la liste cette ligne, fais un clic droit dessus choisis "propriétés" et régle la sur "désactivé"

France Telecom Routing Table Service


Telecharge, installe puis mets à jour ce logiciel(Ewido), une fois que c'est fait, fais un scan complet de ton système, supprime (delete) tout ce qu'il te trouve puis colle le rapport ici 
Ewido:  (reste gratuit après la période d'essai)
Ewido

et en même temps

Télécharge lopxp:
http://pageperso.aol.fr/balltrap34/lopxp.zip

dézippe-le sur ton bureau puis double-clic sur le fichier "lopxp.bat"
quand il à terminé, un rapport s'ouvre : fais un copier-coller puis mets le ici

A++

Qc001 · Answer

Salut Boulepate.

Juste de passage. Pas de O2 ou O20-Winlogon, et ceci :

O4 - HKLM\..\Run: [fkarhqj.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\fkarhqj.dll,lsurynf

C'est Vundo. Ce genre de O4 apparaît avec Vundo depuis deux semaines environ. VundoFix voit ces dlls maintenant.

Bon succès à vous deux..

Qc001 · Answer

Encore moi... Je pourrais être un peu plus gentil et faire avancer un brin..

semas : fais tout ce que Boulepate te demande, et ensuite fais ceci ;

Fais un clic droit sur l'icône de HijackThis!, et choisis Renommer,

Si tu vois Hijackthis.exe >> renomme en Vundo.exe
Si tu vois Hijackthis >> renomme en Vundo
Valide avec [Entrée]

Fais un scan avec l'outil HijackThis! renommé, et poste le rapport ici (avec les autres demandés).
===================

Autre petite note : semas nous parle d'un dialer Italien (titre de la discussion) ; ces dialers s'installent souvent avec Vundo. Avec HijackThis! renommé, nous devrions voir quelque chose comme ceci :

O20 - Winlogon Notify: win###32 - C:\WINDOWS\SYSTEM32\win###32.dll

Les "###" sont aléatoires. Si tout va bien avec Ewido, celui-ci devrait bouffer le dll, et nous verrons "(file missing)" au bout de la ligne. On fixe la ligne et c'est tout pour cette peste.

@+

semas · Answer

Salut,

Je fais ce que vous me dites ce soir quand je rentre du boulot.
Merci de votre aide.

semas · Answer

J'ai essayé de faire ce que tu me dis mais j'ai un probleme.
Quand je redémarre en mode sans echec je tombe sur un ecran noir avec marqué dans chaque coin "mode sans echec" et apres rien alors je peux pas supprimer les fichier que tu m'as dit.

Qc001 · Answer

Salut semas ;

Ça peut être causé par l'une des bestioles. Fais donc la manip de renommer HijackThis!, puis poste un nouveau rapport. On attaquera Vundo, et on verra pour la suite ;-)

@+

semas · Answer

Ca y est j'y suis arrivé à tout supprimer.
Cependant je n'ai pas trouvé ce fichier dxclib303562752.dll.

Je continue la suite.

semas · Answer

Alors voici le rapport de Ewido:

---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 20:11:13 30/10/2006

+ Scan result:

HKLM\SOFTWARE\Classes\CLSID\{A8BD6820-6ED7-423E-9558-2D1486B0FEEA} -> Adware.DeluxeCommunications : No action taken.
HKLM\SOFTWARE\DeluxeCommunications -> Adware.DeluxeCommunications : No action taken.
HKLM\SOFTWARE\DeluxeCommunications\Internet Explorer -> Adware.DeluxeCommunications : No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\DeluxeCommunications -> Adware.DeluxeCommunications : No action taken.
HKU\S-1-5-21-417197154-2214682600-4119218851-1008\Software\DeluxeCommunications -> Adware.DeluxeCommunications : No action taken.
HKU\S-1-5-21-417197154-2214682600-4119218851-1008\Software\DeluxeCommunications\Internet Explorer -> Adware.DeluxeCommunications : No action taken.
HKU\S-1-5-21-417197154-2214682600-4119218851-1008\Software\Microsoft\Windows\CurrentVersion\Run\\DeluxeCommunications -> Adware.DeluxeCommunications : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\tinst26.exe -> Adware.DriveCleaner : No action taken.
C:\Program Files\PrintView\__delete_on_reboot__P_R_I_N_T_H_~_1_._D_L_L_ -> Adware.PrintView : No action taken.
C:\Program Files\PrintView\pvmodule.exe -> Adware.PrintView : No action taken.
[3764] C:\PROGRA~1\PRINTV~1\PRINTH~1.DLL -> Adware.PrintView : No action taken.
C:\Program Files\Fichiers communs\{383FFC05-07D9-1036-0629-060425060021}\MyToolBar.dll -> Adware.Softomate : No action taken.
C:\Program Files\Fichiers communs\{B83FFC05-07D9-1036-0629-060425060021}\Update.exe -> Adware.Softomate : No action taken.
C:\Program Files\Fichiers communs\{B83FFC05-07D9-1036-0629-060425060021}\services.dll -> Adware.Softomate : No action taken.
[1584] C:\Program Files\Fichiers communs\{B83FFC05-07D9-1036-0629-060425060021}\Update.exe -> Adware.Softomate : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\i97C.tmp -> Adware.SurfSide : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\u3.tmp -> Adware.SurfSide : No action taken.
C:\Program Files\Common Files\misc002\DXC.exe -> Adware.SurfSide : No action taken.
C:\WINDOWS\system32\efcywtu.dll -> Adware.Virtumonde : No action taken.
C:\Program Files\Common Files\Companion Wizard\compwiz.exe -> Adware.WinAntiVirus : No action taken.
C:\WINDOWS\system32\SpOrder.dll -> Adware.WinAntiVirus : No action taken.
HKU\S-1-5-21-417197154-2214682600-4119218851-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2178F3FB-2560-458F-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus : No action taken.
C:\WINDOWS\Temp\idd127.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd129.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd159.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd15A.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd1682.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd1684.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd1687.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd168E.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd1693.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd18B.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd1BD.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd1D.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd1EF.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd221.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd253.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd284.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd3C.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd5.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd5B.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd6.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd7.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd79.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd8A.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd90.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\idd91.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\iddC6.tmp.exe -> Dialer.Small : No action taken.
C:\WINDOWS\Temp\iddF8.tmp.exe -> Dialer.Small : No action taken.
K:\RECYCLER\S-1-5-21-299502267-1078081533-682003330-1002\Dd1.EXE/AOW_DEMO_EURO\actofwar.exe -> Heuristic.Win32.Backdoor.IrcBot : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\tinst4.exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@247realmedia[1].txt -> TrackingCookie.247realmedia : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@247realmedia[3].txt -> TrackingCookie.247realmedia : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@2o7[2].txt -> TrackingCookie.2o7 : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@infrastrategy.122.2o7[1].txt -> TrackingCookie.2o7 : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@adbrite[2].txt -> TrackingCookie.Adbrite : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@adjuggler[2].txt -> TrackingCookie.Adjuggler : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@rotator.adjuggler[1].txt -> TrackingCookie.Adjuggler : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@adtech[2].txt -> TrackingCookie.Adtech : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@advertising[1].txt -> TrackingCookie.Advertising : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@atdmt[2].txt -> TrackingCookie.Atdmt : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@bluestreak[1].txt -> TrackingCookie.Bluestreak : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@cpvfeed[3].txt -> TrackingCookie.Cpvfeed : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@cpvfeed[4].txt -> TrackingCookie.Cpvfeed : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@cpvfeed[5].txt -> TrackingCookie.Cpvfeed : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@doubleclick[1].txt -> TrackingCookie.Doubleclick : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@c.enhance[2].txt -> TrackingCookie.Enhance : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@estat[1].txt -> TrackingCookie.Estat : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@www.etracker[1].txt -> TrackingCookie.Etracker : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@as1.falkag[2].txt -> TrackingCookie.Falkag : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@fastclick[1].txt -> TrackingCookie.Fastclick : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@findwhat[1].txt -> TrackingCookie.Findwhat : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@c.goclick[2].txt -> TrackingCookie.Goclick : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@server.iad.liveperson[1].txt -> TrackingCookie.Liveperson : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@image.masterstats[1].txt -> TrackingCookie.Masterstats : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@mediaplex[1].txt -> TrackingCookie.Mediaplex : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@stat.onestat[2].txt -> TrackingCookie.Onestat : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@overture[1].txt -> TrackingCookie.Overture : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@perf.overture[1].txt -> TrackingCookie.Overture : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@stats1.reliablestats[3].txt -> TrackingCookie.Reliablestats : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@serving-sys[1].txt -> TrackingCookie.Serving-sys : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@weborama[1].txt -> TrackingCookie.Weborama : No action taken.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : No action taken.
C:\WINDOWS\system32\rjjbcgoe.dll -> Trojan.BHO.g : No action taken.

::Report end

Et le rapport de lopxp:

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur K s'appelle semas films
Le num‚ro de s‚rie du volume est 8078-FE11

R‚pertoire de K:\

26/10/2006 10:09 <REP> '06_10_26_00
25/10/2006 15:10 <REP> '06_10_25_00
10/10/2006 22:16 <REP> WA6P
29/08/2006 18:24 <REP> divers logiciel ordi
29/08/2006 18:23 <REP> vu
23/07/2006 13:39 <REP> found.001
07/05/2006 14:19 <REP> found.000
02/05/2003 20:59 <REP> RECYCLER
02/05/2003 19:55 <REP> System Volume Information
0 fichier(s) 0 octets
9 R‚p(s) 7ÿ830ÿ601ÿ728 octets libres

******************************************
Recherche dans Program files

Le dossier C:\Program Files\C2Media n'existe pas

*************** Fin du rapport ****************

semas · Answer

Revoila le rapport de lopxp j'avais fait une mauvaise manip. Désolé.

Rapport fait à 20:15:15,12 le 30/10/2006

Le volume dans le lecteur C s'appelle PRESARIO
Le num‚ro de s‚rie du volume est B83F-FC05

R‚pertoire de C:\Documents and Settings\Administrateur\Application Data

30/10/2006 19:03 62 desktop.ini
30/10/2006 19:02 <REP> Identities
30/10/2006 19:02 <REP> Microsoft
30/10/2006 19:02 <REP> ..
30/10/2006 19:02 <REP> Real
30/10/2006 19:02 <REP> .
1 fichier(s) 62 octets
5 R‚p(s) 22558629888 octets libres
Le volume dans le lecteur C s'appelle PRESARIO
Le num‚ro de s‚rie du volume est B83F-FC05

R‚pertoire de C:\Documents and Settings\All Users\Application Data

26/10/2006 21:39 <REP> Spybot - Search & Destroy
15/09/2006 07:07 <REP> Adobe
13/09/2006 12:51 <REP> Google
12/09/2006 18:24 <REP> Windows Genuine Advantage
12/09/2006 18:19 <REP> HP
05/09/2006 18:37 <REP> Macrovision
18/08/2006 13:20 <REP> nView_Profiles
02/01/2006 21:37 <REP> Hewlett-Packard
02/01/2006 21:29 <REP> Symantec
02/01/2006 21:14 <REP> CyberLink
02/01/2006 21:12 <REP> InstallShield
02/01/2006 21:08 <REP> Sonic
02/01/2006 21:07 1545 hpzinstall.log
02/01/2006 20:51 <REP> SBSI
26/10/2005 23:34 <REP> Microsoft
26/10/2005 23:34 <REP> ..
26/10/2005 23:34 <REP> .
23/11/2004 16:13 62 desktop.ini
2 fichier(s) 1607 octets
16 R‚p(s) 22558625792 octets libres
Le volume dans le lecteur C s'appelle PRESARIO
Le num‚ro de s‚rie du volume est B83F-FC05

R‚pertoire de C:\Documents and Settings\Compaq_Propri‚taire\Application Data

30/10/2006 18:47 64 Dxcuknwrd.dll
25/10/2006 15:11 560 ViewerApp.dat
12/10/2006 08:44 <REP> Ultimate Cleaner
10/10/2006 22:17 704 update.log
10/10/2006 22:16 <REP> Logs
09/10/2006 18:56 <REP> HPQ
13/09/2006 15:39 <REP> Google
13/09/2006 09:59 <REP> AdobeUM
25/08/2006 13:22 <REP> HP
21/08/2006 22:21 <REP> vlc
21/08/2006 17:21 <REP> Gearbox Software
20/08/2006 20:14 <REP> Microsoft Web Folders
20/08/2006 20:02 <REP> Adobe
20/08/2006 13:49 <REP> CyberLink
18/08/2006 23:22 <REP> Sun
18/08/2006 13:13 <REP> Macromedia
18/08/2006 07:18 62 desktop.ini
18/08/2006 07:18 <REP> Identities
18/08/2006 07:18 <REP> Microsoft
18/08/2006 07:18 <REP> ..
18/08/2006 07:18 <REP> .
18/08/2006 07:18 <REP> Real
4 fichier(s) 1390 octets
18 R‚p(s) 22558625792 octets libres
Le volume dans le lecteur C s'appelle PRESARIO
Le num‚ro de s‚rie du volume est B83F-FC05

R‚pertoire de C:\Documents and Settings\Default User\Application Data

18/08/2006 07:17 <REP> Real
26/10/2005 23:34 <REP> Microsoft
26/10/2005 23:34 <REP> Identities
26/10/2005 23:34 <REP> ..
26/10/2005 23:34 <REP> .
23/11/2004 16:13 62 desktop.ini
1 fichier(s) 62 octets
5 R‚p(s) 22558625792 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C s'appelle PRESARIO
Le num‚ro de s‚rie du volume est B83F-FC05

R‚pertoire de C:\WINDOWS\Tasks

27/10/2005 00:30 <REP> ..
27/10/2005 00:30 <REP> .
23/11/2004 15:29 6 SA.DAT
05/08/2004 12:00 65 desktop.ini
2 fichier(s) 71 octets
2 R‚p(s) 22ÿ558ÿ625ÿ792 octets libres

******************************************
Recherche dans Program files

Le dossier C:\Program Files\C2Media n'existe pas

*************** Fin du rapport ****************

semas · Answer

Alors j'ai renommé hijackthis en Vundo.

Voici le rapport:

Logfile of HijackThis v1.99.1
Scan saved at 20:20:49, on 30/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\TEMP\win27E.tmp.exe
C:\Documents and Settings\Compaq_Propriétaire\Bureau\his\vundo.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://forum-auto.caradisiac.com/forum/1384-anciennes/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
O2 - BHO: (no name) - {037892F6-DA0A-46DF-B751-17B32475E76B} - C:\WINDOWS\system32\geeda.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - C:\WINDOWS\system32\vhaxxyeb.dll
O2 - BHO: (no name) - {2DCA775B-618B-103F-76B6-0989E0783DF7} - C:\WINDOWS\system32\chzrvol.dll
O2 - BHO: (no name) - {4F661911-B001-260C-07C7-02FD8E5316E2} - C:\WINDOWS\system32\mayeutb.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: PrintViewBHO Class - {D4E0C464-30CE-4075-9A10-71FD106C2847} - C:\PROGRA~1\PRINTV~1\PRINTH~1.DLL (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] "C:\PROGRA~1\Wanadoo\GestMaj.exe" TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [IpWins] C:\Program Files\ipwins\ipwins.exe
O4 - HKLM\..\Run: [fkarhqj.dll] C:\WINDOWS\system32undll32.exe C:\WINDOWS\system32\fkarhqj.dll,lsurynf
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [WOOKIT] "C:\PROGRA~1\Wanadoo\Shell.exe" appLaunchClientZone.shl|DEFAULT
cnx|PARAM
O4 - HKCU\..\Run: [cprocsvc] C:\WINDOWS\system32\crunner\cproc.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: geeda - C:\WINDOWS\system32\geeda.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winnuz32 - C:\WINDOWS\SYSTEM32\winnuz32.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

Qc001 · Answer

Salut :-)

Merci pour les rapports ! Bon, ben Ewido n'a pas vu le dialer Italien. Pas grave... Beaucoup de Vundo par contre.

Pour Ewido, tu n'as pas laissé l'outil fixer les fichiers infectieux, alors faut recommencer avec de nouveaux réglages. On va donc refaire Ewido et supprimer ce dialer, puis on attaquera Vundo.
=======================

Afin de voir tous les fichiers/dossiers cachés :

* Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau.
* Double-clique sur le "Poste de Travail"
* Du menu "Outils", clique Options des dossiers...
* De la nouvelle fenêtre, choisis l'onglet Affichage
* Sous "Fichiers et dossiers", coche la case Afficher le contenu des dossiers système
* Sous "Fichiers et dossiers cachés", clique le bouton Afficher les fichiers et dossiers cachés
* Décoche la case Masquer les extensions des fichiers dont le type est connu
* Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail.
--------------------------------------------

Imprime ces instructions, ou colle-les dans un fichier texte pour lecture en mode Sans Échec :

Lance HijackThis! (renommé) et clique "Do a system scan only", puis coche ces lignes :

R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)

O2 - BHO: PrintViewBHO Class - {D4E0C464-30CE-4075-9A10-71FD106C2847} - C:\PROGRA~1\PRINTV~1\PRINTH~1.DLL (file missing)

O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)

O4 - HKLM\..\Run: [IpWins] C:\Program Files\ipwins\ipwins.exe

O4 - HKCU\..\Run: [cprocsvc] C:\WINDOWS\system32\crunner\cproc.exe

O20 - Winlogon Notify: winnuz32 - C:\WINDOWS\SYSTEM32\winnuz32.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

Clique sur "Fix checked", puis ferme HijackThis!
-------------------------------------

Toujours en Sans Échec : avec l'Explorateur Windows, recherche et supprime ces fichiers/dossiers, s'ils existent :

C:\WINDOWS\System32\winnuz32.dll << fichier
C:\WINDOWS\System32\crunner << dossier
C:\Program Files\ipwins << dossier

Ferme l'Explorateur.
----------------------

- Relance Ewido et clique sur le bouton "Scanner" (au haut),
- Clique l'onglet "Settings"
- Clique sur "Recommended actions" et choisis "Quarantine"
- Sur la droite, coche "Automatically generate report after every scan"
- Décoche "Only if Threats are found"
- Clique l'onglet "Scan" et fais un "Complete System Scan"
- En fin de scan, tu cliques sur  Apply all actions
- Clique sur "Save report", puis "Save report as.." et choisis l'endroit (Bureau c'est Ok)
- Ferme Ewido
------------------------------------

Redémarre en mode Normal.

Télécharge VundoFix (par Atribune) de ce lien :
http://www.atribune.org/ccount/click.php?id=4

* Suavegarde-le sur ton Bureau.
* Double-clique VundoFix.exe afin de le lancer
* Clique sur le bouton Scan for Vundo
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
=====================

Poste les rapports suivants :

- VundoFix
- Ewido
- Nouveau HijackThis!

Bon succès ;-)

semas · Answer

Salut,

Alors voici le rapport Vundofix:

VundoFix V6.2.0

Checking Java version...

Java version is 1.5.0.5

Java version is 1.5.0.8

Scan started at 20:53:03 08/10/2006

Listing files found while scanning....

No infected files were found.


Beginning removal...

VundoFix V6.2.1

Checking Java version...

Java version is 1.5.0.5

Java version is 1.5.0.8

Scan started at 20:17:26 09/10/2006

Listing files found while scanning....


VundoFix V6.2.1

Checking Java version...

Java version is 1.5.0.5

Java version is 1.5.0.8

Scan started at 20:19:34 09/10/2006

Listing files found while scanning....

No infected files were found.


Beginning removal...

VundoFix V6.2.6

Checking Java version...

Java version is 1.5.0.5

Java version is 1.5.0.8

Scan started at 17:57:17 31/10/2006

Listing files found while scanning....

C:\WINDOWS\system32\chzrvol.dll
C:\WINDOWS\system32\idhmcok.dll
C:\WINDOWS\system32\mayeutb.dll
C:\WINDOWS\system32\vhaxxyeb.dll
C:\WINDOWS\system32\gbbvvbgp.exe
C:\WINDOWS\system32\geeda.dll
C:\WINDOWS\system32\adeeg.ini
C:\WINDOWS\system32\adeeg.bak1
C:\WINDOWS\system32\adeeg.bak2
C:\WINDOWS\system32\adeeg.ini2
C:\WINDOWS\system32\adeeg.tmp

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\chzrvol.dll
C:\WINDOWS\system32\chzrvol.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\idhmcok.dll
C:\WINDOWS\system32\idhmcok.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\mayeutb.dll
C:\WINDOWS\system32\mayeutb.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\vhaxxyeb.dll
C:\WINDOWS\system32\vhaxxyeb.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\gbbvvbgp.exe
C:\WINDOWS\system32\gbbvvbgp.exe Has been deleted!

 Attempting to delete C:\WINDOWS\system32\geeda.dll
C:\WINDOWS\system32\geeda.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\adeeg.ini
C:\WINDOWS\system32\adeeg.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\adeeg.bak1
C:\WINDOWS\system32\adeeg.bak1 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\adeeg.bak2
C:\WINDOWS\system32\adeeg.bak2 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\adeeg.ini2
C:\WINDOWS\system32\adeeg.ini2 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\adeeg.tmp
C:\WINDOWS\system32\adeeg.tmp Has been deleted!

Performing Repairs to the registry.
Done!


Ensuite le rapport Ewido: (l'nalyse ne mode sans echec fut tres longue)

---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

 + Created at:	08:14:50 31/10/2006

 + Scan result:	



C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@247realmedia[1].txt -> TrackingCookie.247realmedia : Cleaned with backup (quarantined).
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned with backup (quarantined).
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@ivwbox[2].txt -> TrackingCookie.Ivwbox : Cleaned with backup (quarantined).
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Cleaned with backup (quarantined).


::Report end



Et enfin le rapport hiackthis :
comme je ne savais pas si il fallait que j'utilise le hijackthis normal ou renommé j'ai utilisé le renommé.

Logfile of HijackThis v1.99.1
Scan saved at 19:07:42, on 31/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Compaq_Propriétaire\Bureau\his\vundo.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://forum-auto.caradisiac.com/forum/1384-anciennes/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2DCA775B-618B-103F-76B6-0989E0783DF7} - C:\WINDOWS\system32\chzrvol.dll (file missing)
O2 - BHO: (no name) - {4F661911-B001-260C-07C7-02FD8E5316E2} - C:\WINDOWS\system32\mayeutb.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: (no name) - {8B7D0B44-96CE-4455-AF53-8CD2EE2020D6} - C:\WINDOWS\system32\geeda.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\system32\picsdgep.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] "C:\PROGRA~1\Wanadoo\GestMaj.exe" TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [fkarhqj.dll] C:\WINDOWS\system32undll32.exe C:\WINDOWS\system32\fkarhqj.dll,lsurynf
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [WOOKIT] "C:\PROGRA~1\Wanadoo\Shell.exe" appLaunchClientZone.shl|DEFAULT
cnx|PARAM
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winnuz32 - C:\WINDOWS\SYSTEM32\winnuz32.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe





Voila pour les rapports.
Lors de la suppression des fichiers que tu m'as dit en mode sans echec j'ai pas pu supprimer le fichier winnuz32.dll

Qc001 · Answer

Merci à nouveau pour les rapports. Beau travail !

Il reste néanmoins ce dialer à virer (pas de problème..), et puis y a un nouveau fichier inconnu qui se pointe. Plan de match :

- Virer le dialer
- Faire analyser ce fichier
- Soumettre ce fichier aux experts, si nécessaire, et puis on le vire ;-)

Au boulot..
===============================

Télécharge KillBox (par Option^Explicit) de ce lien : http://www.downloads.subratam.org/KillBox.exe

..et sauvegarde-le sur ton Bureau.

- Double-clique killbox.exe
- Choisis l'option Delete on reboot

"Copie" la ligne entière en gras ci-bas (sélectionne-la avec ta souris >> clic droit dessus >> "Copier") :

C:\WINDOWS\SYSTEM32\winnuz32.dll

- Clique sur le menu "File" de KillBox (en haut à gauche) et choisis Paste from clipboard

- Coche Unregister .dll Before Deleting

- Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)
Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.
Si tu ne reçois pas ce message, redémarre le PC normalement.


Après le redémarrage, lance HijackThis! et clique "Do a system scan only", puis coche ces lignes :

------------------------------------
O2 - BHO: (no name) - {2DCA775B-618B-103F-76B6-0989E0783DF7} - C:\WINDOWS\system32\chzrvol.dll (file missing)
O2 - BHO: (no name) - {4F661911-B001-260C-07C7-02FD8E5316E2} - C:\WINDOWS\system32\mayeutb.dll (file missing)

O2 - BHO: (no name) - {8B7D0B44-96CE-4455-AF53-8CD2EE2020D6} - C:\WINDOWS\system32\geeda.dll (file missing)

O4 - HKLM\..\Run: [fkarhqj.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\fkarhqj.dll,lsurynf

O20 - Winlogon Notify: winnuz32 - C:\WINDOWS\SYSTEM32\winnuz32.dll (file missing)
---------------------------------

Ferme toutes les fenêtres actives autres que HijackThis!, y compris le navigateur, et clique "Fix checked". Ferme HijackThis!

Maintenant, nous allons faire analyser ce fichier. Va sur ce lien :
http://www.virustotal.com/en/virustotalx.html

- Clique sur "Parcourir..." (au haut)
- Recherche ce fichier :

C:\WINDOWS\System32\picsdgep.dll

- Double clique dessus afin de le sélectionner
- Clique sur le bouton Send (au haut à droite de la page)
- Tu verras apparaître les résultats ; ça prend environ 1 à 2 minutes
- Lorsque le scan est terminé, Copie/Colle les résultats dans ta prochaine réponse, avec un nouveau log HijackThis! également. Merci :-)


Suite aux résultats de l'analyse, je te donnerai la suite.

@+

semas · Answer

Voila le rapport virustotalx:

Antivirus Version Update Result 
AntiVir 7.2.0.34 10.31.2006  no virus found 
Authentium 4.93.8 10.31.2006  no virus found 
Avast 4.7.892.0 10.31.2006  no virus found 
AVG 386 11.01.2006  no virus found 
BitDefender 7.2 11.01.2006  no virus found 
CAT-QuickHeal 8.00 10.31.2006  no virus found 
ClamAV devel-20060426 11.01.2006  no virus found 
DrWeb 4.33 11.01.2006  no virus found 
eTrust-InoculateIT 23.73.42 11.01.2006  no virus found 
eTrust-Vet 30.3.3172 11.01.2006  no virus found 
Ewido 4.0 10.31.2006  no virus found 
Fortinet 2.82.0.0 11.01.2006 suspicious 
F-Prot 3.16f 10.31.2006  no virus found 
F-Prot4 4.2.1.29 10.31.2006  no virus found 
Ikarus 0.2.65.0 10.31.2006  no virus found 
Kaspersky 4.0.2.24 11.01.2006  no virus found 
McAfee 4885 10.31.2006  no virus found 
Microsoft 1.1609  11.01.2006  no virus found 
NOD32v2 1.1846 10.31.2006  no virus found 
Norman 5.80.02 11.01.2006  no virus found 
Panda 9.0.0.4 11.01.2006 Suspicious file 
Sophos 4.10.0 10.26.2006  no virus found 
TheHacker 6.0.1.109 10.30.2006  no virus found 
UNA 1.83 10.31.2006  no virus found 
VBA32 3.11.1 10.31.2006  no virus found 
VirusBuster 4.3.15:9 10.31.2006 no virus found 


Aditional Information 
File size: 60436 bytes 
MD5: 39fd9c9668f0252080a6ce5cfe2be685 
SHA1: 5da7a7f5df278d471599ea26c2723dad95d4596d 


Ensuite le rapport hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 11:57:30, on 01/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Documents and Settings\Compaq_Propriétaire\Bureau\his\vundo.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://forum-auto.caradisiac.com/forum/1384-anciennes/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\system32\picsdgep.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] "C:\PROGRA~1\Wanadoo\GestMaj.exe" TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [WOOKIT] "C:\PROGRA~1\Wanadoo\Shell.exe" appLaunchClientZone.shl|DEFAULT
cnx|PARAM
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe



Merci encore de ton aide.

Qc001 · Answer

Bonsoir semas ; me revoilà enfin...

Bon, l'analyse chez VirusTotal ne retourne rien des compagnies d'antivirus ; cependant, mes recherches sur la clé de registre qui lance ce fichier me disent qu'il est effectivement mauvais (et de nom aléatoire). Nous allons le soumettre aux experts, et ensuite le virer. Les autres logs consultés en recherche avaient tous du Vundo, alors Atribune sera intéressé par ce fichier. Nous ne prenons aucun risque majeur à le virer de toute façon, même s'il était légitime, car son utilité en tant que "Browser Helper Object" n'est pas critique au fonctionnement du PC.
====================

Va sur ce site :
http://www.uploadmalware.com/
...pour uploader un fichier douteux pour analyse.

*"Your Username:" - Entre ton pseudo sur ce forum
*"Topic Where File Was Requested:" - Copie/colle le lien vers cette discussion
*"File(s) To Submit:" - Case "1" - Bouton "Parcourir..." pour naviguer vers ce fichier :

C:\WINDOWS\System32\picsdgep.dll

*"Comments Or Further Info:" - Mentionne ceci :

"Mark asked me to submit this random BHO .dll, which appeared after running VundoFix v.6.2.6.
CLSID : {F18F04B0-9CF1-4b93-B004-77A288BEE28B} doesn't appear random, but new, and seen with Vundo."

*Cliquez sur Send File

*Merci :-) 
------------------------------

Lance HijackThis! et clique "Do a system scan only", puis coche cette ligne :

O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\system32\picsdgep.dll

Ferme toutes les fenêtres actives, autres que HijackThis!, y compris le navigateur, puis clique "Fix checked". Ferme HijackThis!

Redémarre l'ordi, puis scanne avec HijackThis! à nouveau et poste le rapport ici s'il te plaît.

À bientôt ;-)

semas · Answer

Salut,

Voila le rapport:

Logfile of HijackThis v1.99.1
Scan saved at 19:19:38, on 02/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Documents and Settings\Compaq_Propriétaire\Bureau\his\vundo.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://forum-auto.caradisiac.com/forum/1384-anciennes/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] "C:\PROGRA~1\Wanadoo\GestMaj.exe" TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [WOOKIT] "C:\PROGRA~1\Wanadoo\Shell.exe" appLaunchClientZone.shl|DEFAULT
cnx|PARAM
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe


J'ai posté comme tu m'as dit sur le site.

Qc001 · Answer

Bonsoir semas :-)

Le fichier est bien chez Uploadmalware ; Merci !

Je regarde tes rapports, et tout me semble propre maintenant. Faisons un peu de ménage à présent :

Tu peux supprimer les programmes suivants :

- SmitfraudFix
- Lopxp
- VundoFix
- KillBox
----------------------------------
Si tu veux conserver HijackThis!, prière de le renommer en son nom original ; clic droit sur l'icône du programme >> "Renommer" :

- Si tu vois vundo.exe  > > renomme en HijackThis.exe
- Si tu vois vundo >> renomme en HijackThis
**L'orthographe doit être exact.
---------------------------------

Petite ligne à fixer, donc lance HijackThis! et clique "Do a system scan only", puis coche cette ligne :

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Ferme toutes les autres fenêtres actives, navigateur inclus, et clique "Fix checked". Pas nécessaire de poster un nouveau rapport ;-)
-------------------------------

En prévention, prière d'aller dans le Panneau de Configuration >> Ajout/Suppression de Programmes, et désinstalle ceci :

J2SE Runtime Environment 5.0 Update 5

**Conserve la version Update 8 qui est plus sécure.

Ferme le Panneau de config.
-------------------------------

As-tu toujours des soucis ?

À bientôt..

semas · Answer

Merci de ton aide, j'ai l'impression que mon ordi rame moins.

Sinon dans la fenetre suppression des programmes j'ai des trucs bizar.

BufferChm
CueTour
Destinations
DeviceFunctionQfolder
eSupportQfolder
FullDPAppQFolder
InstantShareDevices
OptionalContentQFolder
RandMap
TrayApp

C'est normal?

semas · Answer

Ah oui j'ai ca aussi.
Sur mes pages internet par exemple sur ce forum ou sur mon forum automobile ben j'ai un triangle jaune qui s'affiche en bas à gauche de la page et du coup j'ai des photos qui ne s'affichent pas. Il faut que je fasse clic droit et afficher l'image por la voir.

Tu sais comment faire pour enlever ce problème?

Qc001 · Answer

Salut semas ;

"mon ordi rame moins"... C'est déjà ça ;-)

Voici pour tes questions :

1) Ces 10 entrées dans Ajout/Suppresion de programmes sont toutes liées à un software Hewlett-Packard (un scanner je crois). Google est mon meilleur ami :-)

2) Le triangle jaune que tu vois sur CCM au bas, à gauche, indique qu'il y a des erreurs sur la page web. Normal.

Quand je vais sur ton forum d'autos, il y a un bouclier jaune qui apparaît (au bas, à gauche) ; celui-ci indique qu'Internet Explorer a bloqué une ou des fenêtres publicitaires "intempestives". Une barre spéciale apparaît également, juste sous la barre d'adresses ; tu peux faire un clic droit dedans et authoriser les pubs pour ce site (temporairement ou de façon permanente). J'aime bien le 'Cuda 1970...

Tu pourrais changer les options du bloqueur de pubs dans IE, mais je ne te le conseille pas ! Celui-ci peut stopper des infections, alors faut le laisser activé.

J'espère avoir pu répondre à tes questions...

@+

semas · Answer

Salut,

Merci pour les renseignements.

Tu connais alors forum-auto.com. J'ai un sujet sur la restauration de ma Triumph TR7 mon pseudo est semas.

Encore merci pour ton aide.

Qc001 · Answer

Oups j'avais pas vu ta réponse :-(

Ben disons que je ne le connaissais pas ce forum avant maintenant ;-)

Très bien, je dois avouer :-)

Je viens tout juste de lire les deux premières pages de ton aventure avec la TR7. Wow... et le diluant !!! lol.. Je devrai terminer ma lecture...

J'espère que l'ordi va bien ! Et toutes mes félicitations aux nouveaux parents ;-)

anthony · Answer

Logfile of HijackThis v1.99.1
Scan saved at 13:20:32, on 20/12/2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
C:\WINDOWS\System32\FreezeScreenSaver.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ISHOST.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ismini.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
C:\WINDOWS\System32undll32.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Program Files\Fichiers communs\{649A4CAC-0710-1036-0111-061005050021}\Update.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\cool.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\TEMP\idd311.tmp.exe
C:\WINDOWS\TEMP\idd312.tmp.exe
C:\WINDOWS\TEMP\idd316.tmp.exe
C:\Program Files\BitTorrent\bittorrent.exe
C:\Program Files\Project64 1.6\Project64.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\bamargera\Mes documents\hidjackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{349A4~1\Bar888.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\AntivirusFirewall\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\AntivirusFirewall\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\System32\drvmul.dll,startup
O4 - HKLM\..\Run: [frsvabb.dll] C:\WINDOWS\System32undll32.exe C:\WINDOWS\System32\frsvabb.dll,mhomdtd
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Antivirus Firewall.lnk = C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
O4 - Global Startup: E-Compagnon.lnk = C:\Program Files\ColiPoste\e-COMO\e-COMO.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\AntivirusFirewall\Anti-Spyware\blockpopups.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.trasferimento.biz/l/4d8cd21364c2b8adf1081e6ef79df70c_35.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game04.zylom.com/activex/zylomgamesplayer.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Antivirus Firewall (BackWeb Plug-in - 6588780) - Securitoo Portal - C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
O23 - Service: FreezeScreenSaver - Unknown owner - C:\WINDOWS\System32\FreezeScreenSaver.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

Utilisateur anonyme · Answer

Merci de créer un nouveau post !

[Virus]Ordi infecté par dialer italien + pub

25 réponses

cnx|PARAM

cnx|PARAM

cnx|PARAM

cnx|PARAM

cnx|PARAM

Votre réponse

Discussions similaires

Newsletters